端口聚合及端口安全配置
配置端口聚合提供冗余备份链路
1 实验原理
端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。
2 实验步骤
(1)交换机A的基本配置
switchA#conf t
switchA(config)#vlan 10
switchA(config-vlan)#name sales
switchA(config-vlan)#exit
switchA(config)#int fa0/5
switchA(config-if)#switchport access vlan 10 switchA(config)#exit
switchA#sh vlan id 10
(2)在交换机switchA上配置端口聚合
switchA(config)#int aggregateport 1
switchA(config-if)#switchport mode trunk
switchA(config-if)#exit
switchA(config)#int range fa0/1-2
switchA(config-if-range)#port-group 1
switchA(config-if-range)#exit
switchA#sh aggregatePort 1summary
(3)在交换机B上基本配置(同(1))
(4)在交换机switchB上配置端口聚合(同(2))(5)验证测试
验证当交换机之间一条链路断开时,PC1和PC2任能互相通信。
C:\>Ping 192.168.10.30 –t
配置端口安全
1 实验原理
交换机的端口安全特性可以只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络,并且可以限制端口接入的设备数量,防止用户将过多的设备接到网络中。
2 实验步骤
(1)启用端口安全特性
Switch#conf
Switch(config)#int fa0/1
Switch(config-if)#switchport port-security
(2)手工配置PC1的MAC地址为安全地址
Switch(config-if)#switchport port-security mac-address MACa
(3)配置端口最多允许1个安全MAC地址,即保证只有1个PC1可以接入到此端口
Switch(config-if)#switchport port-security maximum 1
(4)配置当产生地址违规时关闭端口
Switch(config-if)#switchport port-security violation
shutdown
(5)验证测试
将PC1 接入FA0/1端口,PC1与PC2能互相PING 通。
(6)验证测试
将PC3 接入FA0/1端口,PC3与PC2不能互相PING 通。
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
思科自防御网络安全方案典型配置
思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。
2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP 电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN:总部ISR3845 路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换 机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不 同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 (P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与 MARS以及IPS进行横向联动,自动拦截攻击。 o安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分 区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
配置交换机端口聚合
配置交换机端口聚合(思科、华为、锐捷) 2008-08-18 16:27 思科命令行配置: CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)#channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过 interface port-channel 1 进入端口通道 华为端口聚合配置: 华为交换机的端口聚合可以通过以下命令来实现: S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1是起始端口号,port_num2是终止端口号。 ingress/ingress-egress这个参数选项一般选为ingress-egress。 在做端口聚合的时候请注意以下几点: 1、每台华为交换机只支持1个聚合组 2、每个聚合组最多只能聚合4个端口。 3、参加聚合的端口号必须连续。 对于聚合端口的监控可以通过以下命令来实现: S3026(config)#show link-aggregation [master_port_num] 其中master_port_num是参加聚合的端口中端口号最小的那个端口。 通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置: Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)#port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#interface aggregateport n(n为AP号) 来直接创建一个AP(如果AP n不存在)。 配置aggregate port的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡,选择使用的算法: dst-mac:根据输入报文的目的MAC地址进行流量分配。在AP各链路中,目的MAC地址相同的报文被送到相同的接口,目的MAC不同的报文分配到不同的接口
链路聚合配置命令
目录 1 链路聚合配置命令................................................................................................................................ 1-1 1.1 链路聚合配置命令............................................................................................................................. 1-1 1.1.1 description .............................................................................................................................. 1-1 1.1.2 display lacp system-id ............................................................................................................ 1-2 1.1.3 display link-aggregation member-port.................................................................................... 1-2 1.1.4 display link-aggregation summary.......................................................................................... 1-4 1.1.5 display link-aggregation verbose............................................................................................ 1-5 1.1.6 enable snmp trap updown...................................................................................................... 1-7 1.1.7 interface bridge-aggregation .................................................................................................. 1-8 1.1.8 lacp port-priority...................................................................................................................... 1-8 1.1.9 lacp system-priority................................................................................................................. 1-9 1.1.10 link-aggregation mode........................................................................................................ 1-10 1.1.11 port link-aggregation group ................................................................................................ 1-10 1.1.12 reset lacp statistics............................................................................................................. 1-11 1.1.13 shutdown ............................................................................................................................ 1-11
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
交换机汇聚配置
(1)交换机的基本配置 (2)在交换机上创建聚合接口 (3)在交换机上配置聚合端口 (4)端口聚合增加交换机之间的传输带宽,验证当一条链路断开时仍能互相通信。 第一步:交换机A的基本配置。 SwitchA(config)#vlan 10 SwitchA(config-vlan)#name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastEthernet0/5 SwitchA(config-if)#switchport access vlan 10 验证测试:验证已创建了VLAN 10,并将0/5端口已划分到VLAN 10中。SwitchA#show vlan id 10 VLAN Name Status Ports -------------------------------------------------------------------------------------------------------- 10 sales active Fa0/5 第二步:在交换机SwitchA上配置聚合端口。 SwitchA(config)#interface aggregateport 1 !创建聚合接口AG1 SwitchA(config-if)#switchport mode trunk !配置AG模式为trunk SwitchA(config-if)#exit SwitchA(config)#interface range fastEthernet 0/1-2 !进入接口0/1和0/2 SwitchA(config-if-range)#port-group 1 !配置接口0/1和0/2属于AG1验证测试:验证接口fastEthernet0/1和0/2属于AG1。 SwitchA#show aggregatePort 1 summary !查看端口聚合组1的信息AggregatePort MaxPorts SwitchPort Mode Ports -------------------------------------------------------------------------------------------------- Ag1 8 Enabled Trunk Fa0/1, Fa0/2 注:AG1,最大支持端口数为8个,当前VLAN模式为Trunk,组成员有F0/1、F0/2。 第三步:交换机B的基本配置。 (具体步骤与SwitchA类似) 第四步:在交换机SwitchB上配置聚合端口。 (具体步骤与SwitchA类似) 第五步:验证当交换机直接的一条链路断开时,PC1与PC2仍能互相通信。 注意事项: (1)只有同类型端口才能聚合为一个AG端口。 (2)所有物理端口必须属于同一个VLAN。 (3)在锐捷交换机上最多支持8个物理端口聚合为一个AG。 (4)在锐捷交换机上最多支持6组聚合端口。 参考配置: SwitchA#show running-config !显示交换机SwitchA的全部配置 Bui lding configuration… Current configuration : 497 bytes
交换机端口安全功能配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
22_端口聚合实验
1. 实验报告如有雷同,雷同各方当次实验成绩均以0分计。 2. 当次小组成员成绩只计学号、姓名登录在下表中的。 3. 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4. 实验报告文件以PDF 格式提交。 【实验目的】理解链路聚合的配置及原理。 【实验内容】 (1)完成实验教程第三章实例3-5的实验,回答实验提出的问题及实验思考。(P99-102) (2)端口聚合和生成树都可以实现冗余链路,这两种方式有什么不同? (3)你认为本实验能实现负载平衡吗?如果不能,请讨论原因并设计方法,进行实验验证。 【实验要求】 一些重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出,) (1)【实验名称】 端口聚合提供冗余备份链路。 【实验目的】 理解链路聚合的配置及原理。 【背景描述】 假设某企业采用两台交换机组成一个局域网,由于很多数据流量是跨过交换机进行转发的,因此需要提高交换机之间的传输带宽,并实现链路冗余备份,为此网络管理员在两台交换机之间采用两根网线互连,并将相应的两个端口聚合为一个逻辑端口,现要在交换机上做适当配置来实现这一目标。 【技术原理】 端口聚合(Aggregate-port )又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 端口聚合遵循IEEE 802.3ad 协议的标准。 【实现功能】 增加交换机之间的传输带宽,并实现链路冗余备份。 【实验设备】 S3760(两台)、PC (两台)、直连线(4条) 【实验拓扑】 按照拓扑图连接网络时注意,两台交换机都配置完端口聚合后,再将两台交换机连接起来。如果先连线再配置会造成广播风暴,影响交换机的正常工作。 院系 软件学院 班 级 电政一班 组长 狄志路 学号 12330072 学生 狄志路 实验分工 狄志路 设计方案,实现操作,撰写 实验报告 警示
端口聚合及端口安全配置
配置端口聚合提供冗余备份链路 1 实验原理 端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 2 实验步骤 (1)交换机A的基本配置 switchA#conf t switchA(config)#vlan 10 switchA(config-vlan)#name sales switchA(config-vlan)#exit switchA(config)#int fa0/5 switchA(config-if)#switchport access vlan 10 switchA(config)#exit switchA#sh vlan id 10 (2)在交换机switchA上配置端口聚合
switchA(config)#int aggregateport 1 switchA(config-if)#switchport mode trunk switchA(config-if)#exit switchA(config)#int range fa0/1-2 switchA(config-if-range)#port-group 1 switchA(config-if-range)#exit switchA#sh aggregatePort 1summary (3)在交换机B上基本配置(同(1)) (4)在交换机switchB上配置端口聚合(同(2))(5)验证测试 验证当交换机之间一条链路断开时,PC1和PC2任能互相通信。 C:\>Ping 192.168.10.30 –t
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
H3C端口聚合配置
手工汇聚的配置: 当交换机之间采用Trunk端口互连时,配置端口汇聚会将流量在多个端口上进行分担,即采用端口汇聚可以完成增加带宽、负载分担和链路备份的效果路由器设置。 1.建立汇聚组 [SwitchA]link-aggregation group 1 mode manual 2.进入端口E1/0/1 [SwitchA]interface Ethernet1/0/1 3.参与端口汇聚的端口必须工作在全双工模式 [SwitchA-Ethernet1/0/1]duplex full 4.参与端口汇聚的端口工作速率必须一致 [SwitchA-Ethernet1/0/1]speed 100 5.将端口加入汇聚组 [SwitchA-Ethernet1/0/1]port link-aggregation group 1 6.端口E1/0/2和E1/0/3的配置与端口E1/0/1的配置一致 7.SwitchB与SwitchA的配置顺序及配置内容相同 8.补充说明:汇聚组中各成员端口对出端口方向的数据流进行负荷分担,如果数据流是IP报文,负荷分担基于源IP和目的IP,如果数据流不是IP报文,负荷分担基于源MAC和目的MAC。 静态汇聚的配置: 1.创建静态汇聚组1 [SwitchA] link-aggregation group 1 mode static 2.将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚1 [SwitchA] interface Ethernet1/0/1 [SwitchA-Ethernet1/0/1] port link-aggregation group 1 [SwitchA-Ethernet1/0/1] interface Ethernet1/0/2 [SwitchA-Ethernet1/0/2] port link-aggregation group 1
实验4 交换机端口安全配置 (1)
实验4 交换机端口安全配置 【实验目的】 1.掌握交换机的端口安全功能; 2.控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求你对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4,该主机连接在1台RG2126上边。 【实验器材】 交换机,PC,网线。 【实验分组】 每组8人 【实验原理】 针对交换机的所有端口,配置最大连接数为1; 针对FastEthernet0/2端口进行IP地址绑定; 针对FastEthernet0/3端口进行IP+MAC地址绑定。 【实验拓扑】
【实验步骤】 步骤1配置交换机的最大连接数限制。 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能 Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 步骤2 验证交换机端口的最大连接数限制。 Switch#Show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown
配置交换机端口聚合(思科、华为、锐捷)
配置交换机端口聚合(思科、华为、锐捷) 2008-08-18 16:27 思科命令行配置:CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)# channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过interface port-channel 1 进入端口通道 华为端口聚合配置:华为交换机的端口聚合可以通过以下命令来实现: S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1 是起始端口号,port_num2 是终止端口号。ingress/ingress-egress 这个参数选项一般选为ingress-egress 。在做端口聚合的时候请注意以下几点: 1、每台华为交换机只支持1 个聚合组 2、每个聚合组最多只能聚合4 个端口。 3、参加聚合的端口号必须连续。对于聚合端口的监控可以通过以下命令来实现: S3026(config)#show link-aggregation [master_port_num] 其中master_port_num 是参加聚合的端口中端口号最小的那个端口。通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置: Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)# port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#inteface aggregateport n(n 为AP号)来直接创建一个AP(如果AP n不存在)。 配置aggregate port 的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡,选择使用的算法: dst-mac :根据输入报文的目的MAC地址进行流量分配。在AP各链路中,目的MAC地址相同的报文被送到相同的接口,目的MAC不同的报文分配到不同的接口src-mac :根据输入报文的源MAC地址进行流量分配。在AP各链路中,来自不同地址的报文分配到不同的接口,来自相同的地址的报文使用相同的接口。 ip:根据源IP与目的IP进行流量分配。不同的源IP――目的IP对的流量通过不同的端口转发,同一源IP――目的IP对通过相同的链路转发,其它的源IP―― 目的IP 对通过其它的链路转发。
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: ●端口安全介绍 ●端口安全配置 ●监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。 Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。 这三种规则的配置如下:
配置ESXi的端口聚合
配置ESXi6.0的端口聚合 由于本人只有华为S5700-48TP-SI的交换机,所以请根据实际情况配置交换机,本例中ESXi 服务器的网卡3连接交换机的3端口,网卡4连接交换机的4端口。 一、交换机配置 1、创建聚合端口组,关于配置BPDU生成树侦测协议的开启与关闭可以查阅官方的 KB,本人英文不好,看不太明白,为了使端口可以通过多个VLAN这里把端口配置成了Trunk端口模式,如果不需要多个VLAN可以把端口配置成Access模式。