6.3.1.2 Packet Tracer - Layer 2 Security

最新推荐文章于 2024-01-16 19:22:24 发布
最新推荐文章于 2024-01-16 19:22:24 发布
阅读量432 收藏 2
点赞数
文章标签: 网络 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56182387/article/details/130583021
版权

Packet Tracer - 第 2 层安全

注:完整步骤在结尾,前段注重分析。

目标

· 将 Central 交换机指定为根网桥。

·         保护生成树参数的安全,以防止 STP 恶意操纵 攻击。

·         启用端口安全以防御 CAM 表泛洪攻击。

背景/ 场景

最近网络遭到了一些 攻击。出于此原因,网络管理员向您分配了 配置第 2 层安全的任务。

为实现最佳性能和安全性,管理员 希望确保根网桥为 3560 Central 交换机。为 防止生成树恶意操纵攻击,管理员希望确保 STP 参数是安全的。为防止 CAM 表溢出攻击, 网络管理员决定配置端口安全,以限制 每个交换机端口可以获知的 MAC 地址数量。如果 MAC 地址数量超过设置限制,管理员希望 关闭端口。

已使用 以下信息对所有交换机设备进行了预配置:

o    启用 密码:ciscoenpa55

o    控制台 密码:ciscoconpa55

o    SSH 用户名和密码:SSHadmin/ciscosshpa55

第 1 部分:配置根 网桥

步骤 1:确定 当前根网桥。

步骤 2:指定 Central 作为主要根网桥。

spanning-tree vlan 1 root primary

步骤 3:指定 SW-1 作为次根网桥

spanning-tree vlan 1 root secondary

步骤 4:验证 生成树的配置。

发出 show spanning-tree 命令,验证 Central 是根网桥。

Central# show spanning-tree

VLAN0001

   Spanning tree enabled protocol ieee

   Root ID  Priority      24577

            Address       00D0.D31C.634C

            This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

第 2 部分:抵御 STP 攻击

保护 STP 参数的安全以防止 STP 操纵 攻击。

步骤 1:在所有接入端口上启用 PortFast。

在连接 单个工作站或服务器的接入端口上配置 PortFast,这使上述端口能够更快切换为活动状态。在 SW-A 和 SW-B 上的 连接接入端口上,使用 spanning-tree portfast 命令。

步骤 2:在所有接入端口上启用 BPDU 防护。


spanning-tree portfast
spanning-tree bpduguard enable

BPDU 防护功能有助于防止接入端口上出现非法 交换机和欺骗操作。在 SW-A 和 SW-B 接入端口上启用 BPDU 防护。

注意:在接口配置模式下使用 spanning-tree bpduguard enable 命令,或在 全局配置模式下使用 spanning-tree portfast bpduguard default 命令,即可在 各个端口上启用生成树 BPDU 防护。为了便于对本练习进行评分, 请使用 spanning-tree bpduguard enable 命令。

步骤 3:启用根 防护。

spanning-tree guard root

可以在交换机上并非 根端口的所有端口上启用根防护。最好将根防护部署在连接其他非根 交换机的端口上。使用 show spanning-tree 命令确定各交换机上 根端口的位置。

在 SW-1 上,在端口 F0/23 和 F0/24 上启用根防护。 在 SW-2 上,在端口 F0/23 和 F0/24 上启用根防护。

第 3 部分:配置 端口安全并禁用未使用的端口

步骤 1:在连接到主机的所有端口上配置 基本端口安全。

应对 SW-A 和 SW-B 上的所有接入端口执行此操作程序。将获知的 MAC 地址的最大数量设置为 2, 允许动态获知 MAC 地址,并将违规操作设置为关闭。

注意:交换机端口必须配置为接入 端口,才能启用端口安全功能。

为什么在连接 到其他交换机设备的端口上没有启用端口安全?

步骤 2:验证端口 安全。

a.     在 SW-A 上,发出命令 show port-security interface f0/1 以验证是否配置了端口安全。

SW-A# show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-up

Violation Mode             : Shutdown

Aging Time                 : 0 mins

过期 类型 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

b.     从 C1 对 C2 执行 ping 操作,并再次发出命令 show port-security interface f0/1 以验证该交换机是否获知了 C1 的 MAC 地址。

步骤 3:禁用 未使用的端口。

interface range f0/5 - 22
shutdown

禁用当前未使用的所有端口。

以下是完整的配置步骤。

Script for Central

spanning-tree vlan 1 root primary
Script for SW-1 
spanning-tree vlan 1 root secondary
interface range f0/23 - 24
spanning-tree guard root
Script for SW-2 
interface range f0/23 - 24
spanning-tree guard root
Script for SW-A 
interface range f0/1 - 4
spanning-tree portfast
spanning-tree bpduguard enable
interface range f0/1 - 22
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
interface range f0/5 - 22
shutdown
Script for SW-B 
interface range f0/1 - 4
spanning-tree portfast
spanning-tree bpduguard enable
interface range f0/1 - 22
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
interface range f0/5 - 22
shutdown

柿子一位
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
6.3.1.8 Packet Tracer - 探索网络互联设备-熟悉Packet Tracer模拟器
qq_44652559的博客
02-02 2542
6.3.1.8 Packet Tracer - 探索网络互联设备-熟悉Packet Tracer模拟器、探索网络互联设备网络拓扑和设备链接表实验过程1 哪些管理端口可用?2 East 路由器上有哪些 LAN 和 WAN 接口可用?分别有几个?3 输入show ip interface brief4 输入show interface gigabitethernet 0/0,默认带宽5 输入show interface serial 0/0/0,默认带宽6 确定交换机上的模块扩展槽。7 选择正确的模块进行连接8
思科模拟器如何给端口启用根保护
weixin_50746407的博客
03-14 1940
Cisco思科模拟器如何进行端口的根防护配置
Packet Tracer - Layer 2 Security
YueXuan_521的博客
01-10 1284
Packet Tracer - Layer 2 Security Packet Tracer - 第二层安全配置任务 目标 确保将中心交换机(3560型号)设置为根桥。 保护生成树协议参数以防止对STP的操控攻击。 启用端口安全功能以防止CAM表溢出攻击。
最近Cisco Packet Tracer 6.3~8.2.2不能登录的原因和解决方法
li_dongyun的博客
03-20 6037
​ 在我之前的文章:中国大陆用户将必须使用Cisco Packet Tracer8.2.1以上版本,否则将无法使用8.0.1~8.2中我预告了太平洋时间2023年3月16日(中国时间2023年3月17日),中国用户必须使用Cisco Packet Tracer 8.2.1,其中包括使用该工具的身份验证步骤。今天2022.3.16日15点就是太平洋时间2023年3月16日0点,大概18点的时候我测试了Cisco Packet Tracer 6.3~8.2.1各个版本,发现6.3版不能打开登录框外,其他版本可以
6.3VLAN间路由
养龟大学生的博客
07-07 443
6.3VLAN间路由 前言 部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发,因此必须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换机配合路由器来实现,也可以通过三层交换机来实现 随着不同业务的需求,现在要求不同VLAN间进行转发,不同VLAN相当于不同的广播域,不同的广播域想要互通,势必需要路由功能来进行实现 实现路由功能可以通过路由器实现,但是多个路由器的使用从费用上来看是很不现实的。我们通过交换机来实现VLAN间路由,即三层交换机 ...
10.3.1.2 Packet Tracer - Skills Integration luos.pka
06-09
10.3.1.2 Packet Tracer - Skills Integration luos.pka
6.3.1.3 Packet Tracer - Layer 2 VLAN Security
01-02
6.3.1.3 Packet Tracer - 第二层VLAN安全配置 在本实验任务中,你将使用Cisco Packet Tracer模拟环境来配置和实施第二层(数据链路层)的VLAN安全性措施。这可能包括以下几个方面: 1. **VLAN划分**:根据设备类型...
10.3.1.2 Packet Tracer - Skills Integration Challenge(1).pka
06-09
10.3.1.2 Packet Tracer - Skills Integration Challenge(1).pka
4.1.1.11 Packet Tracer - Configuring Extended ACLs Scenario 2.pka
11-01
4.1.1.11 Packet Tracer - Configuring Extended ACLs Scenario 2.pka
Cisco Packet Tracer 6.3 for Windows Instructor Version
05-05
Cisco Packet Tracer 6.2 for Windows Instructor Version
6.4.1 Packet Tracer - Implement Etherchannel
05-27
6.4.1 Packet Tracer - Implement Etherchannel Cisco Packet Tracer 思科模拟器 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All Rights Reserved
Layer 2 解决方案 (区块链)
weixin_45047825的博客
11-14 147
这些解决方案通常在不牺牲安全性的前提下,通过在链外进行处理或者使用不同的共识机制,来减轻主链上的负担,从而提高交易吞吐量并降低交易费用。//直接存入,其实这方面可以直接在上面创建一个map进行储存,participant1.transfer(balance1);//需要的时候一起提交。// 这里省略了一些检查和限制,实际上需要更多的安全性和错误处理。// 这里省略了一些检查和限制,实际上需要更多的安全性和错误处理。// 简化的状态通道合约。
Transport Layer Security
qq_41278986的博客
01-30 313
(DTLS),是一种相关的通讯协议,为基于 datagram 的应用提供安全性,通过允许它们以设计用于避免窃听,篡改或消息伪造的方式进行通讯。然而,应用通常使用 TLS,好像它在传输层一样,即使使用 TLS 的应用必须主动控制 TLS 握手的初始化以及处理身份认证证书的交换。TLS 协议的主要目标是在两个或多个通讯额计算机应用间提供安全性,包括保密性,完整性,和真实性,通过应用密码学,例如证书。结果,TLS 的安全配置涉及很多配置参数,并不是所有选项都提供上面列表中描述的所有与隐私相关的属性。
Packet Tracer - 第 2 层 VLAN 安全
傻傻的心动的博客
05-11 3310
Packet Tracer - 第 2 层 VLAN 安全
Cisco的安装汉化及基础使用详情
Gzzsk1的博客
09-24 5695
用到的汉化包和Csiro程序下载解压双击Cisco Packet Tracer 6.2 for Windows Student Version (notutorials)安装程序,进行安装接下来就是汉化了 依次打开 程序目录----languages 然后把下载文件夹里的Chinese.ptl拖到里面打开程序 依次点击 Options----Preferences选择中文语言包点击 Change Language重启程序就可以看到汉化版本。
Packet Tracer - Layer 2 VLAN Security
最新发布
YueXuan_521的博客
01-16 1321
Packet Tracer - Layer 2 VLAN Security Packet Tracer - 第二层VLAN安全配置任务 目标 在SW-1和SW-2之间建立新的冗余链路。 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。 创建一个新的管理VLANVLAN 20)并将一台管理PC连接到该VLAN。 实施ACL以防止外部用户访问管理VLAN
Cisco Packet Tracer部署wifi及其安全维护(二)
double_happy111的博客
12-31 1194
Cisco Packet Tracer部署wifi及其安全维护(二) 文章目录Cisco Packet Tracer部署wifi及其安全维护(二)前言实验要求实验拓扑图实验步骤总结 前言 之前,我们部署了简单的wifi实战项目,接下来,我们就开始提升难度了。 实验要求 完成所有设备以及PC的配置,通过配置三层交换机实现VLAN10和VLAN20之间PC的通信,同时不影响无线终端访问外币的服务器 实...
Packet Tracer - 配置交换机端口安全
傻傻的心动的博客
05-01 4056
Packet Tracer - 配置交换机端口安全
10.3.1.8packet tracer - 备份配置文件
06-09
1. 打开Packet Tracer软件并打开要备份配置文件的设备。 2. 点击设备右侧的“CLI模式”选项卡。 3. 在命令提示符下,输入“show running-config”命令以显示当前运行的配置文件。 4. 将显示的文本复制到一个文本编辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值