需求
在二层防环技术实验的基础上需满足以下需求
1、所有交换机需打开全局的MAC地址漂移检测;
2、防止监控的MAC地址表被恶意的篡改和攻击;
3、防止老师的IP地址被仿冒,入侵学校教学的相关数据。
组网图
1、MAC地址漂移检测
mac-address flapping detection //所有交换机都需要开启
2、防MAC地址篡改和攻击
动态mac地址表可以实现此功能,我们可以绑定动态mac地址
在二层交换机上绑定动态mac地址
L2_SW2
[L2_SW2]mac-address static 5489-987D-3A81 GigabitEthernet 0/0/3 vlan 300 //将mac地址与接口、vlan进行绑定,用以防止MAC地址篡改和攻击
//此处的mac地址为监控的mac地址
可以通过命令查看mac地址——第一次查看查看不到,需要两台机子进行互ping才会产生mac地址表。也可以直接看客户端后面的配置。
L2_SW3
[L2_SW3]mac-address static 5489-9803-1D9D GigabitEthernet 0/0/3 vlan 300
测试
配置好后监控终端互持续ping,二层交换机上查看动态mac地址表查看是否由对应的信息
3、防IP地址被仿冒
采用技术IP源防攻击(IPSG,IP Source Guard)
L2_SW2
[L2_SW2]int g0/0/2
[L2_SW2-GigabitEthernet0/0/2]ip source check user-bind enable //在接口下使能IPSG
[L2_SW2-GigabitEthernet0/0/2]ip source check user-bind alarm enable 使能IP报文检查告警功能
[L2_SW2-GigabitEthernet0/0/2]ip source check user-bind alarm threshold 2 //当丢弃的IP报
文超过告警阈值时,会产生告警提醒用户
[L2_SW2-GigabitEthernet0/0/2]q
[L2_SW2]user-bind static ip-address 192.168.200.1 mac-address 5489-981D-6E8E
interface g0/0/3 //可以同时绑定IP +MAC地址+vlan或者ip+mac地址等,可根据自己的需求来绑定
L2_SW3
[L2_SW3]INT G0/0/2
[L2_SW3-GigabitEthernet0/0/2]ip source check user-bind enable
[L2_SW3-GigabitEthernet0/0/2] ip source check user-bind alarm enable
[L2_SW3-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 2
[L2_SW3-GigabitEthernet0/0/2]Q
[L2_SW3]user-bind static ip-address 192.168.200.2 mac-address 5489-9871-26ED i
nterface g0/0/3