交换机端口安全防护与配置方法命令介绍
华三交换机端口安全操作
1-1
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
1.1.3 端口安全模式
对于端口安全模式的具体描述,请参见 表 1-1。
i
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
ቤተ መጻሕፍቲ ባይዱ
第1章 端口安全配置
1.1 端口安全简介
1.1.1 概述
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1x 认证和 MAC 地址认证的扩充。这种机制通过检测数据帧中的源 MAC 地址来控制非 授权设备对网络的访问,通过检测数据帧中的目的 MAC 地址来控制对非授权设备 的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时, 系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高 了系统的安全性。 非法报文包括: z 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; z 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
目录
目录
第 1 章 端口安全配置 ..............................................................................................................1-1 1.1 端口安全简介 ..................................................................................................................... 1-1 1.1.1 概述 ......................................................................................................................... 1-1 1.1.2 端口安全的特性 ....................................................................................................... 1-1 1.1.3 端口安全模式........................................................................................................... 1-2 1.2 端口安全配置任务简介....................................................................................................... 1-4 1.3 使能端口安全功能 .............................................................................................................. 1-4 1.3.1 配置准备 .................................................................................................................. 1-4 1.3.2 使能端口安全功能.................................................................................................... 1-4 1.4 配置端口允许的最大安全MAC地址数 ................................................................................ 1-5 1.5 配置端口安全模式 .............................................................................................................. 1-6 1.5.1 配置autoLearn模式.................................................................................................. 1-6 1.5.2 配置userLoginWithOUI模式 .................................................................................... 1-7 1.5.3 配置其它模式........................................................................................................... 1-7 1.6 配置端口安全的特性 .......................................................................................................... 1-8 1.6.1 配置NeedToKnow特性 ............................................................................................ 1-8 1.6.2 配置入侵检测特性.................................................................................................... 1-8 1.6.3 配置Trap特性........................................................................................................... 1-9 1.7 配置安全MAC地址 ............................................................................................................. 1-9 1.7.1 配置准备 .................................................................................................................. 1-9 1.7.2 配置安全MAC地址................................................................................................. 1-10 1.8 配置当前端口不应用服务器下发的授权信息 .................................................................... 1-10 1.9 端口安全显示和维护 ........................................................................................................ 1-10 1.10 端口安全典型配置举例................................................................................................... 1-11 1.10.1 端口安全autoLearn模式配置举例 ........................................................................ 1-11 1.10.2 端口安全userLoginWithOUI模式配置举例........................................................... 1-13 1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 ................................. 1-18 1.11 常见配置错误举例 .......................................................................................................... 1-21 1.11.1 端口安全模式无法设置 ........................................................................................ 1-21 1.11.2 无法配置端口安全MAC地址 ................................................................................ 1-21 1.11.3 用户在线情况下无法更换端口安全模式............................................................... 1-22
h3c交换机端口列表命令
h3c交换机端口列表命令H3C能够提供业界覆盖最全面的交换机产品。
从园区到数据中心、盒式到箱式、从FE、GE到10G和100G,从L2到L4/7,从IPv4到IPv6,从接入到核心,用户都有最丰富的选择和灵活的组合。
下面我们一起来看看H3C交换机的端口配置命令,希望能帮助到大家!1,端口 MACa)AM命令使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。
例如:[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。
但是PC1使用该MAC地址可以在其他端口上网。
b)mac-address命令使用mac-address static命令,来完成MAC地址与端口之间的绑定。
例如:[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1[SwitchA]mac-address max-mac-count 0配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
2,IP MACa)AM命令使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。
例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的.PC机,在任何端口都无法上网。
支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。
交换机端口安全防护与配置方法命令介绍
交换机端口安全防护与配置方法命令介绍交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
今天我们来介绍一下交换机端口安全的配置内容,主要防止公司内部的网络攻击和破坏行为,详细的教程,请看下文介绍,需要的朋友可以参考下方法步骤1、配置交换机端口的最大连接数限制。
Switch#configure terminalSwitch(config)#interface range fastethernet 0/3 进行0模块第3端口的配置模式Switch(config-if)#switchport port-security 开启交换机的端口安全功能Switch(config-if)#switchport port-secruity maximum 1 配置端口的最大连接数为1Switch(config-if)#switchport port-secruity violation shutdown 配置安全违例的处理方式为shutdown2、验证测试:查看交换机的端口安全配置。
Switch#show port-security3、配置交换机端口的地址绑定Switch#configure terminalSwitch(config)#interface f astethernet 0/3Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00 06.1bde.13b4 ip-address 172.16.1.55 配置IP 地址和MAC 地址的绑定4、验证测试:查看地址安全绑定配置。
Switch#show port-security address5、查看主机的IP 和MAC 地址信息。
在主机上打开CMD 命令提示符窗口,执行ipconfig /all 命令。
cisco交换机安全配置设定命令详解
cisco交换机安全配置设定命令详解cisco交换机安全配置设定命令详解一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5hash方式switch(config)#enablesecret5pass_string其中0SpecifiesanUNENCRYPTEDpasswordwillfollow5SpecifiesanENCRYPTEDsecretwillfollow建议不要采用enablepasswordpass_sting密码,破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#servicepassword-encryption3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户switch(config)#enablesecretlevel75pass_string7/7级用户进入特权模式的密码switch(config)#enablesecret5pass_string15/15级用户进入特权模式的密码switch(config)#usernameuserAprivilege7secret5pass_userA switch(config)#usernameuserBprivilege15secret5pass_userB /为7级,15级用户设置用户名和密码,Ciscoprivilegelevel 分为0-15级,级别越高权限越大switch(config)#privilegeexeclevel7commands/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#lineconsole0switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password7pass_sting/设置加密密码switch(config-line)#login/启用登录验证方式(2):本地AAA认证switch(config)#aaanew-model/启用AAA认证switch(config)#aaaauthenticationloginconsole-ingroupacsserverlocalenable/设置认证列表console-in优先依次为ACSServer,local用户名和密码,enable特权密码switch(config)#lineconsole0switch(config-line)#loginauthenticationconsole-in/调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list18permithostx.x.x.x/设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaaauthenticationloginvty-ingroupacsserverlocalenable/设置认证列表vty-in,优先依次为ACSServer,local用户名和密码,enable特权密码switch(config)#aaaauthorizationcommands7vty-ingroupacsserverlocalif-authenticated/为7级用户定义vty-in授权列表,优先依次为ACSServer,local授权switch(config)#aaaauthorizationcommands15vty-ingroupacsserverlocalif-authenticated/为15级用户定义vty-in授权列表,优先依次为ACSServer,local 授权switch(config)#linevty015switch(config-line)#access-class18in/在线路模式下调用前面定义的标准ACL18switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#authorizationcommands7vty-in/调用设置的授权列表vty-inswitch(config-line)#authorizationcommands15vty-inswitch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见switch(config-line)#loginauthenticationvty-in/调用authentication设置的vty-in列表switch(config-line)#transportinputssh/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaagroupservertacacs+acsserver/设置AAA服务器组名switch(config-sg-tacacs+)#serverx.x.x.x/设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#serverx.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)#tacacs-serverkeypaa_string/设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#noservicepadswitch(config)#noservicefingerswitch(config)#noservicetcp-small-serversswitch(config)#noserviceudp-small-serversswitch(config)#noserviceconfigswitch(config)#noserviceftpswitch(config)#noiphttpserverswitch(config)#noiphttpsecure-server/关闭http,https远程web管理服务,默认cisco交换机是启用的三、交换机防攻击安全加固配置MACFlooding(泛洪)和Spoofing(欺骗)攻击预防方法:有效配置交换机port-securitySTP攻击预防方法:有效配置rootguard,bpduguard,bpdufilterVLAN,DTP攻击预防方法:设置专用的nativevlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法:设置dhcpsnoopingARP攻击预防方法:在启用dhcpsnooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#intgix/x/xswitch(config-if)#swmodetrunkswitch(config-if)#swtrunkencapsdot1qswitch(config-if)#swtrunkallowedvlanx-xswitch(config-if)#spanning-treeguardloop/启用环路保护功能,启用loopguard时自动关闭rootguard接终端用户的端口上设定switch(config)#intgix/x/xswitch(config-if)#spanning-treeportfast/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。
交换机端口安全系统Port-Security超级详解
交换机端口安全Port-Security超级详解交换安全】交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:•限制交换机每个端口下接入主机的数量(MAC地址数量)•限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)•当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现:二、理解Port-Security1.Port-Security安全地址:secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。
那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址–secure MAC address。
安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC address(SecureSticky)三种方式进行配置。
当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。
2.当以下情况发生时,激活惩罚(violation):当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:•在接口下使用switchport port-security mac-address 来配置静态安全地址表项•使用接口动态学习到的MAC来构成安全地址表项•一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空。
82实验一:交换机端口聚合及端口安全配置
计算机网络工程实验
一、交换机端口聚合配置
技术原理
端口聚合(Aggregate-port)又称链路聚合,是指两台交
计 算 机 网 络 工 程
换机之间在物理上将多个端口连接起来,将多条链路聚 合成一条逻辑链路。从而增大链路带宽,解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份,其中任意一条链路断开,不会影响其他 链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准。
计算机网络工程实验
二、交换机端口安全配置
【背景描述】
你是一个公司的网络管理员,公司要求对网络进行严
计 算 机 网 络 工 程 【实验设备】
格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以 使用网络,不得随意连接其他主机。例如:某员工分 配的IP地址是172.16.1.55/24,主机MAC地址是00-061B-DE-13-B4。该主机连接在1台2126G上。
计算机网络工程实验
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配 置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
计 算 机 网 络 工 程
计算机网络工程实验
思考题
1.用Cisco Packet Tracer配置交换机端口聚合
计算机网络工程实验
一、交换机端口聚合配置
【实验拓扑】
计 算 机 网 络 工 程
F0/23 F0/5 F0/24 NIC F0/23 F0/24 F0/5
交换机端口安及认证
中恢复过来。
7
5.3.1 配置安全端口
• 端口的安全地址绑定:端口-MAC-IP绑定 – switchport port-security 打开该接口的端口安全功能 – switchport port-security [mac-address mac-address] [ address ip-address] 手工配置接口上的安全地址。 –使用指导:如果你将一个IP 地址和一个指定的 MAC地址绑定,则当帧的源MAC 地址不为这个IP 地 址绑定的MAC 时,这个帧将会被交换机丢弃。
• 应用环境:主要应用在汇聚层交换机的端口安全配置。
14
maximum 8 –Switch(config-if)# switchport port-security
violation protect //当违例发生配置接口fastethernet0/3上的端口安 全功能,实现端口+MAC+IP地址绑定。主机 MAC为00d0.f800.073c,IP为192.168.1.120 – Switch(config)# interface fastethernet 0/3 – Switch(config-if)# switchport mode access – Switch(config-if)# switchport port-security –Switch(config-if)# switchport port-security m address 00d0.f800.073c ip-address 192.168.1.120
• 验证基本同前,自己完成。 • 应用环境:主要应用在接入层交换机的端口安全配置。
13
端口安全应用配置示例
• 通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过 100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。 – 3550-1(config)#int f0/1 – 3550-1(config-if)#switchport mode access/配置端口模式为TRUNK?。 – 3550-1(config-if)#switchport port-security maximum 100 /允许此端 口通过的最大MAC地址数目为100。 – 3550-1(config-if)#switchport port-security violation protect /当 MAC地址数目超过100时,交换机继续工作,但来自新的主机的 数据帧将丢失。
H3C华为交换机配置方法命令
1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器############################################################################### #######1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router############################################################################### ###########1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置:<H3C>reset save ;<H3C>reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。