mac 查看端口_端口安全 思科实验:

最新推荐文章于 2022-12-31 23:15:29 发布
最新推荐文章于 2022-12-31 23:15:29 发布
阅读量216 收藏
点赞数
文章标签: mac 查看端口

主要此处的PC1是用Router模拟,改了个图标。

a4353facbb209887f980630cbee5c519.png

先看一下SW1的E0/1接口的2层信息,默认管理模式为dynamic auto或者 dynamic desirable,下图中显示我的是 dynamic desirable,这种情况下就算接口工作在access状态,Port security也是不可启用的,所以先把接口管理模式设置为access。

e69274366517252dbd3e11cc3f22f6da.png

把接口管理状态改为access

bff771e3d685f231a8e6e6380c3a3006.png

现在我们再看一下,接口的管理模式。发现已经改为access模式。

ab23cc1391eaa93dcad4b8a0aa5f91f5.png

小操作:

我们先不开启port security,先到router上,no shutdown 在开启,先让switch学习到一个MAC地址信息,来测试一下这个接口当被黑客攻击的时候switchMAC地址表信息是怎样。

让router不停更换MAC地址,来让switch不停学习。为了模拟真实写 我们在交换机创建一个vlan ,把接口划到vlan中去。

7fd41b252f916d80d5e44e83cab544a5.png

创建vlan100,把e0/0接口划分到vlan100中。

cdb39bb5c1e6c1797cae675621063499.png

在SW1上面查看一下mac地址,发现已经有了vlan100的地址,接口为E0/1

7ed5e7e5410da4b8ede0234e6473fa3c.png

去R1上面看一下mac地址,看看是不是交换机上面这个。下图mac地址和上图一致。

86d742a94767529b68de807e1b9e88f6.png

R1的接口MAC地址为aabb.cc00.5000

Router源MAC地址是不可以改的,但是不修改MAC地址情况下能够让router通过这个接口发送帧的时候来改变源MAC地址,这个是可以的,我们修改下。

R1(config)#int e0/0 进入接口

R1(config-if)#mac-address 1234.1234.1234设置MAC

c18680205cda9910db553e03688fb4ae.png

现在就是设置了一个管理型的MAC地址,再来看下R1的MAC地址。

70b2205c3254dcaa9e71d1192e822f7c.png

Bia的地址依旧是本身的地址,就是说 router ROM中源MAC没有改变,但是在发送数据的时候会使用 1234.1234.1234,在去ping广播,之后查看 SWITCH MAC地址。

f381727f0f8a081e9e79a2dc4619601c.png

现在是同一vlan和接口学习2个MAC地址,不停的修改MAC让switch不停学习,最终MAC地址表会学习慢 ,导致正常的PC不能学习,收到流量就会泛红。我们现在把这个接口MAC地址信息去掉

R1(config)#int e0/0

R1(config-if)#no mac-address 1234.1234.1234

98f8f970ac2001c3a4b549658eb3ff75.png

现在在switch上把e0/0接口关闭,让MAC地址还原。接着在接口上启用快速端口,开启

int e0/0

Shutdown

spanning-tree portfast

no shutdown

732fa989b3cdaefa146046f8cc7ed825.png

在switch接口上开启 port security ,记得先开access,

SW1(config)#int e0/0

SW1(config-if)#switchport port-security 开启

SW1(config-if)#switchport port-security violation shutdown设置shutdown

SW1(config-if)#switchport port-security maximum 1 最大白名单

897a1447e521a4ba89e20c34f7d26b56.png

开启之后 查看接口的port security信息

6c067c3c03b7c27249dea55fef3a64fe.png

上图信息:

port security:enabled 开启状态

Port staus : 是Secure-up 表示该接口被保护 接口是UP

Violation Mode: 惩罚的行为是shutdown

aximum MAC Addresses 允许最大学习MAC地址是一个

Total MAC Addresses 当前已经学习到一个,是aabb.cc00.1000:10 这个地址 所属于vlan100

下面在R1上对switch发起攻击 把MAC地址修改

0513c4c6fe92d497278682601c6b708c.png

修改完MAC,发现switch就会报告日志,说这个接口出现了一个问题,SW1已经把这个接口改为err-disable state状态,因为学习到一个黑名单地址,这个地址是1234.1234.1234

164799d4c0c45ad3e372bc85ac7157b7.png

查看接口状态,现在e0/0变为err-disable state状态

6f7312ee303dfd264cb0a469a9de0351.png

再查看接口port security,该接口已经被惩罚处理,shutdown关闭。

c17b2d9b5350cc4ca22ac3de2c1bb612.png

再看port-security ,显示在Et0/0接口学习到一个白名单地址后,又学习到一个黑名单地址。目前接口状态已经被关闭

cd08b1a6ddb3d81d6d50a1bf658ae283.png

被处罚关闭的接口如何开启?(手工开启,因为现在本身接口物理属于开启状态,只是逻辑被关闭,所以需要在接口下先配置关闭,然后再开启。)

9929b8c18a6940069493684199d7cd4d.png

现在这个接口状态是UP,port security学习到白名单地址(刚才的伪mac地址),交换机接口特性:接口关闭以后,该接口的MAC地址表项就会没有,然后再开启以后,获取的mac地址为合法地址(1234.1234.1234.1234),把这个地址加入到了合法白名单。

2bba3e1ff7a65fe7e7f7323d0a17fd84.png

上图可以看到端口保护已经开启,为secure-up状态。最大MAC地址还是1个,现在有一个MAC地址是1234.1234.1234(伪地址)

再下图中可以看到我们当前学习到的地址为1234.1234.1234学习方式是securedynamic 动态学习到的,动态学习的缺点,只要接口shutdown之后,学习到的地址会消失。

weixin_39580564
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco交换机配置端口安全性的三种方法:静态、动态、粘滞端口安全
10-01
企业网络安全涉及到方方面面。从交换机来说,首选需要保证交换机端口安全。在这篇文章,脚本之家的小编就是大家谈谈Cisco交换机配置端口安全性的三种方法的特性及优缺点,需要的朋友可以参考下
ASA虚墙配置
weixin_30750335的博客
08-03 154
asa配置ASA Version 8.0(2) <system>!hostname ASA5520enable password 2KFQnbNIdI.2KYOU encryptedno mac-address auto!interface Ethernet0/0!interface Ethernet0/0.1vlan 100!interface Ethernet0/0.2vlan...
Cisco Packet Tracer 思科交换机端口安全配置与风暴控制
Cisco Packet Tracer 思科模拟器知识分享
09-12 6303
本篇文章主要讲解网络安全技术的实现,主要是交换机的端口安全模式的启用与配置,以及网络风暴的命令,每条命令都有详细的说明与解析,望能帮助到你。
实验五 基于MAC地址划分VLAN
qq_59621600的博客
12-31 5506
实验五 基于MAC地址划分VLAN
华为/思科已知一个ip查对应mac和交换机接口
一个懒鬼的博客
02-18 4854
思路:已知一个路由器上的ip(192.168.1.x)则使用ip使用扫描工具查ip对应的mac地址,顺便看看网关mac地址,若是交换机上的ip地址跳过上面路由器的步骤,然后进行查找(可以是ip 查找也可以是mac地址查找),如果查询不到,使用网关进行查找,再然后查看mac地址对应的交换机接口。 华为交换机根据已知一个IP查他对应的MAC地址,已知终端ip:192.168.1.111.首先在核心交换机上dis arp | include 192.168.1.11 显示 IP ADDRESS MAC.
思科交换机如何根据MAC地址查所在交换机的端口
热门推荐
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
05-09 2万+
步骤 、端口号和MAC地址互查 1、查看MAC地址表 show mac address-table 通过这条命令就可看到存储在当前交换机MAC地址表,里边记录了交换机目前学习到的所有主机MAC地址与交换机端口的映射关系,二层数据正是通过查找这种映射关系发送到目的主机的,下边的MAC端口的互查命令其实就是根据已知的端口MAC地址从这张表筛选得到我们需要的映射关系...
cisco-ip-trace:跟踪IP地址到边缘Cisco交换机端口
05-25
该Python脚本将允许您输入单个IP或CIDR网络范围,并从核心Cisco路由器/交换机到边缘交换机端口跟踪关联的MAC地址。 它将输出目标IP地址,MAC地址,边缘交换机名称,端口名称,端口描述,接口模式(访问或继),...
Switch Miner:思科交换机端口映射器-开源
05-07
Switch Miner是Windows的轻量级实用程序,可充当Cisco交换机的交换机端口映射器/交换机端口发现工具。 它可以帮助网络工程师发现连接到交换机所有端口的设备。 它甚至可以通过CDP发现相邻的交换机并对其进行扫描。 ...
项目二:虚拟局域网(VLAN实验
12-14
5.Cisco Packet Tracer仿真软件 仿真软件模拟两台交换机,六台PC机。 6.交换机VLAN端口的分类: 根据交换机处理VLAN数据帧的不同,可以将交换机端口分为两类: Access端口:只能传输指定的VLAN的数据; Trunk端口...
交换机实验帮助:交换机 VLANMAC端口绑定,链路聚合,静态路由
06-15
交换机恢复出厂设置及其基本配置 1 使用telnet方式管理交换机 7 交换机文件备份 15 ...交换机端口MAC绑定 38 交换机链路聚合 46 多层交换机VLAN的划分和VLAN间路由 55 多层交换机静态路由实验 63
交换机实验要求之交换机基本配置、交换机端口的基本配置、管理MAC地址表
是小光a~
01-18 4626
交换机实验要求 实验结果参见:https://blog.csdn.net/qq_42785226/article/details/112761679 实验一 交换机基本配置 实验目的 掌握交换机命令行各操作模式的区别,以及模式之间的切换。 实验拓扑 实验步骤 1.交换机的配置方式 交换机自身没有输入/输出设备,需要通过其它计算机登录到交换机后才能配置。 根据配置交换机所需的计算机与交换机的连接方式,交换机的配置方式有两种: 带外管理(本地配置):通过交换机的Console端口进行..
三层交换机怎样设置MAC白名单?只允许指定的MAC地址上网
08-15 4006
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:1. 开启mac地址收集器不开启mac地址收集器时,WSG的实时流量图显示的mac地址都是一样的。需要开启WSG模块-其他里面的“mac地址收集器”。 这样才可以获取...
安全环境(Security Context)
weixin_33935777的博客
12-10 367
安全环境(Security Context)1、安全环境概述ASA从7.0版本开始支持虚拟防火墙,也称为单一设备内的安全环境。多环境与含有多个独立设备相似,每个环境具有自己的一套安全策略(NAT、ACL、路由等)。多环境模式几乎支持在独立设备上可配置的所有选项,但不支持某些特性,如×××、动态路由选择协议等。ASA 5505不支持多环境,5510及以上型号才支持多环境,但仅免...
思科查看IP和MAC及交换机端口的命令
weixin_34041003的博客
11-15 8104
根据IP查找MAC:sh ip arp 192.168.1.123 根据MAC查IP: sh ip arp 000f.12er.erqq 找端口:登陆到对应的交换机, sh mac add | in 000f.12er.erqq 910 000f.12er.erqq DYNAMIC Fa4/0/28 这样的话,对于需要找出一些端口问题...
CISCO网络设备安全管理常用配置命令
m0_46687377的博客
11-28 6255
网络设备安全管理 文章目录网络设备安全管理一、交换机、路由器基本配置二、VLAN三、设置DHCP服务器四、HSPR 一、交换机、路由器基本配置 1.更改名称 Switch(config)#hostname 名字 Router(config)#hostname 名字 2.配置特权模式密码 明文密码: enable password 密码 加密密码: enable secret 密码 3.保存配置 特权模式下 Switch#copy running-config startup-config 4.配置
Cisco端口安全
weixin_34265814的博客
05-13 1662
端口安全简介什么是端口安全交换机端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为“安全MAC地址”)数,允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口MAC地址绑定。交换机在转发数据包时,需要根据数据包的目标MAC地址来决定出口,因此,交换机会将MAC地址与相对应的接口记录在一张表,以供转发数据包使用,这张表就是...
如何找到这个MAC所在的交换机端口
weixin_33882452的博客
12-20 141
如何找到这个MAC所在的交换机端口 哪里没有看懂呢?楼主的解释应该比较详细了:首先: Internet 10.48.160.163 0 0011.43b2.c594 ARPA Vlan160 ...
写出开启交换机端口安全功能的命令
最新发布
06-03
开启端口安全功能并设置最大允许MAC地址数量为3个: ``` Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 3 ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值