端口安全、端口快速、生成树配置

已于 2023-11-23 20:37:16 修改
阅读量251 收藏
点赞数
文章标签: 网络 服务器 linux
于 2023-11-18 23:13:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77775268/article/details/134482103
版权

一、端口安全

关于端口安全有如下几个操作:

(一)Mac-address

        1.在 PC0执行 ipconfig  /all 命令 查看 PC0的IP和MAC地址

ipconfig /all

         2.配置交换机端口的 MAC 地址绑定

Switch(config)#int f0/1                   //进入 f0/1 端口

Switch(config-if)#switchport port-security             //开启交换机的端口安全功能

Switch(config-if)#switchport port-security mac-address 0030.a3a5.c48d      //端口和 MAC地址的绑定

Switch#show port-security address           //查看地址安全绑定配置

 

(二)Maximum

        1.在端口f0/1和 f0/2 设置了端口安全,允许关联的 MAC 地址最多为一个,而且只有第一个关联的 MAC 地址可以通过交换机发送帧。

SW1(config)#int range f0/1-2

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport port-security maximum 1

         2.如果具有不同 MAC 地址的另一台设备也试图向交换机发送帧,那么,端口会由于 violation 命令被关闭。

SW1(config-if-range)#switchport port-security violation shutdown

图1 两台主机均未pingPC1之前

图2 第一个关联的MAC地址正常连接

图3 另一台MAC地址无法连接

图4 F0/1接口禁用

(三)Violation

        1.#shutdown:端口成为err-disable状态,相当于关闭端口,默认处理方式(见图4)

那么我们应该如何恢复端口启动呢?

SW1(config-if-range)#shutdown

SW1(config-if-range)#no shutdown

         为什么要这样做?

        计算机不知道你是否知道其违规,所以要先shutdown关闭端口,以便清除任何违规状态或标记。这样做可以确保端口在重新启用时不再处于违规状态,再no shutdown 重启。

        2.#restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组

(此时已经PC0 pingPC1 3次)当再次ping时,SecurityViolation由12变为16.

        3.#protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组

改为protect

SW1(config)#int range f0/1-2

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport port-security

SW1(config-if-range)#switchport port-security violation protect

SW1(config-if-range)#end

当PC0再次ping PC1时,SecurityViolation仍为16.

 二、端口快速

为什么不能在生成树的交换机上做?

生成树协议是防止网络中的环路,并确保只有一条活跃路径。在生成树的运行中,端口状态经历了阻塞、侦听、学习和最终的转发状态。这个过程是为了确保在激活端口时不会引入环路。PortFast会跳过这些阶段,可能导致网络环路的形成。

当开启了BPDU防护,即BPDU Guard ,用于检测并关闭接收到 BPDU 报文的端口。如果交换机的端口接收到 BPDU 报文,BPDU Guard 将禁用该端口,以防止潜在的网络环路。

包括:根ID、路径开销、桥ID、端口ID
优先级是:根ID >路径开销>桥ID>端口ID(值越小优先级越先)

SW1(config)#int range f0/1-2

SW1(config-if-range)#spanning-tree portfast                //开启端口快速

SW1(config-if-range)#spanning-tree bpduguard enable          //开启bpdu防护模式

         用PC0 ping PC1 无法连接

C:\>ping 10.1.1.2

Pinging 10.1.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.1.1.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

         同时禁用端口

三、生成树配置

优先级指定

Switch(config)#spanning-tree vlan 10 priority 4096

Switch(config)#spanning-tree vlan 20 priority 8192

 此时vlan10 优先级是4096+10即4106, vlan20优先级是8192+20即8212

直接指定

Switch(config)#spanning-tree vlan 10 root primary         //主vlan

Switch(config)#spanning-tree vlan 20 root secondary        //备vlan

 Switch#show spanning-tree         //显示生成树

 此时vlan10 优先级是24586 vlan20优先级是28672

2301_77775268
关注
实训三 思科交换机快速生成树配置
wuwuliuliu0524的博客
04-29 1万+
1、聚合端口配置 端口聚合(Aggregate-port)又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。端口聚合遵循IEEE802.3ad协议的标准。 1、创建聚合端口配置接口0/1和0/2属于AG1 创建聚合接口AG1:switch(config)# interface aggregateport 1锐捷 配
Vlan、链路聚合、端口安全生成树协议
joyousmime的博客
10-18 1331
Vlan、链路聚合、端口安全生成树协议是交换机应用中的基础,这四者在应用中,链路聚合后作为生成树协议应用的一条备份链路,在应用案例中讲到的很少。本案例即设计这样一个应用案例,将四者整合到一个拓扑中,谨供大家参考。
二层交换安全
qq_45124553的博客
07-21 6533
作为通信中的重要介质--交换机,其安全通信一直是人们关注的话题,本文概述了二层交换安全的相关内容。
设置该端口快速端口 学习笔记
weixin_34284188的博客
04-12 663
设置该端口快速端口 把一个port设置了portfast,就是让那个port不再使用STP的算法。 在STP中,port有5个状态:disable、blocking、listening、learning、forwarding。 只有forwarding状态,port才能发送用户数据。如果一个port一开始是没有接 pc,一旦pc接上,就会经历blocking-&gt...
配置交换机端口安全
最新发布
m0_61869253的博客
07-20 972
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Zhong__交换机各种情况下端口快速启动方法
Zhong的博客
07-05 4515
Cisco交换机实验名称:交换机各种情况下端口快速启动方法实验人员:Zhongblog add: https://blog.csdn.net/anyedianxia实验背景:传统的802.1d标准的STP,有一些缺陷,比如当一个交换机检测到链路发生故障,再到网络重新收敛的时候,至少要等50秒的时间 因此Cisco创建了PortFast...
Packet Tracer - 第 2 层安全
傻傻的心动的博客
05-11 2896
Packet Tracer - 第 2 层安全
高级网络安全管理员 - 网络设备和安全配置交换机端口安全配置
梁辰兴的博客
10-21 3277
交换机端口安全(Port Security)是一种用于增强网络安全性的特性。从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。配置端口安全是相对比较简单的。
交换机快速生成树配置
09-02
快速生成树生成树协议的基础上增加了两种端口角色,替换端口和备份端口,分别作为根端口和指定端口的冗余端口。当根端口和冗余端口出现故障时,冗余端口不需要经过50S的收敛时间,可以直接切换到替换端口或备份端口...
快速生成树配置实验
m0_73633800的博客
09-13 1767
快速生成树的基本配置方法,理解生成树的工作原理
快速生成树1
08-08
快速生成树协议在生成树协议的基础上增加了两种端口角色,替换端口或备份端口,分别作为根端口和指定端口。当根端口或指定端口出现故障时,冗余端口不需要经过50秒的收敛时间,可以直接切换到替换端口或备份端口,...
交换机端口安全配置
06-29
交换机安全配置配置端口安全规则,实现安全配置
H3C交换机端口安全配置
01-25
包括端口安全简介、安全功能 ,安全配置安全特性,配置安全的MAC等具体操作
安全与风险】恶意软件-概念、攻击和检测
qq_53058639的博客
01-24 1192
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
RSTP、MSTP生成树协议 边缘端口、BPDU保护配置
彪哥.TOP的博客
09-26 1899
RSTP实验:实验步骤:1、交换机配置vlan及接口类型,让PC1可以ping通pc22、修改交换机优先级3、修改交换机生成树模式为RSTP[SW1]stp mode rstp4、配置e/0/0/3接口为边缘接口,观察收敛速度5、配置 BPDU保护只要边缘端口收到配置bpdu,立刻被关闭。
5.3.1 配置交换机 SSH 管理和端口安全
ammozn的博客
04-09 1110
S1(config-line)#login local //用户登录时,从本地数据库匹配用户名和密码。S1(config)#login delay 10 //配置用户登录成功后,10秒后才能再次登录。S1(config)#ip domain-name cisco.com //配置域名,配置SSH时必须配置。S1(config)#login on-success log //配置登录成功会在日志中记录。//只允许用户通过SSH远程登录到交换机进行管理。
思科PT基本命令
weixin_50439802的博客
11-22 4787
PT基础代码R2(config-if)#ppp authentication chap //在端口模式下进行协议的封装和认证时的用户名和密码指定(记住这里不发送用户名和密码,而是发送一个经过加密密码的一个字符串,也可以解释为什么这里没有sent-username命令)Switch(config)#int range f0/11 - 20 // 进入接口范围从f0/11到f0/20。Switch(config)#int range f0/1 - 10 // 进入接口范围从f0/1到f0/10。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值