SPAN 交换端口分析仪(基于CISCO模拟器Packet Tracer7.0)
作用
将F0/1接口流量映射到F0/2口
配置
Switch>enable
Switch#configure terminal
Switch(config)#no ip domain-lookup
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#exec-timeout 0 0
Switch(config-line)#exit
**将F0/1口映射到F0/2口**
Switch(config)#monitor session 1 source interface f0/1
Switch(config)#monitor session 1 destination interface f0/2
RSPAN(用于同一交换网络内,基于CISCO Packet Tracer7.0)
条件
1.在同一交换网络内
2.交换机存在TRUNK干道
作用
将F0/1(SW1)映射到F0/2(SW2)
配置
SW1
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#no ip domain-lookup
SW1(config)#line console 0
SW1(config-line)#logging synchronous
SW1(config-line)#exec-timeout 0 0
SW1(config-line)#exit
SW1(config)#vlan 111
SW1(config-vlan)#remote-span
SW1(config)#monitor session 1 source interface f0/1
SW1(config)#monitor session 1 destination remote vlan 111 reflector-port f0/2
**SW1-SW2之间必须起TRUNK干道**
SW1(config)#interface f0/2
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown
SW2
Switch>enable
SW2#configure terminal
Switch(config)#hostname SW2
SW2(config)#no ip domain-lookup
SW2(config)#line console 0
SW2(config-line)#logging synchronous
SW2(config-line)#exec-timeout 0 0
SW2(config-line)#exit
SW2(config)#interface f0/2
SW2(config-if)#no shutdown
SW2(config-if)#exit
SW2(config)#vlan 111
SW2(config-vlan)#remote-span
SW2(config-vlan)#exit
SW2(config)#monitor session 1 source remote vlan 111
SW2(config)#monitor session 1 destination interface f0/2
简单交换安全(基于CISCO模拟器,Packet Tracer7.0)
1.MAC地址攻击(无数个人同时访问同一台设备)
2.简单端口安全
1.mac-address(MAC地址获取方式)
2.maximum(最大MAC地址数量)
3.violation(惩罚机制)
(1)mac-address
H.H.H 为手工粘连
sticky为自动粘连
(2)violation
protect:当非法MAC出现时,不转发流量
restrict:当非法MAC出现,不转发流量,同时给SNMP服务器发送日志信息
shutdown:当非法MAC出现,直接关闭接口
配置
手工粘连
Switch>enable
Switch#configure terminal
Switch(config)#interface f0/1
Switch(config-if)#spanning-tree portfast(端口加速)
Switch(config-if)#exit
Switch(config)#hostname SW1
SW1(config)#no ip domain-lookup
SW1(config)#line console 0
SW1(config-line)#logging synchronous
SW1(config-line)#exec-timeout 0 0
SW1(config)#interface f0/1
**端口安全**
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0030.A392.2153
SW1(config-if)#switchport port-security violation shutdown
PC1:IP为192.168.1.2
PC2:IP为192.168.1.3
测试结果
(3).maximum
配置
SW1(config)#interface f0/1
SW1(config-if)#switchport port-security maximum 3
SW1(config-if)#switchport port-security mac-address sticky
测试结果
PC0能通,自动粘连第1个MAC地址
PC2能通,自动粘连第2个MAC地址
PC3能通,自动粘连第3个MAC地址
PC4通不了,maximum=3
SSH安全外壳协议
(SSH登录设备IOS版本必须携带字母K,支持安全属性配置)GNS3模拟器
配置
R1
R1(config)#interface f1/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#username ccna privilege 15 secret cisco
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit
R1(config)#ip domain name cisco.com
R1(config)#crypto key generate rsa general-key(默认生成512字节长度)
**仅SSH登录**
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R2
R2(config)#interface f1/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
测试
DHCP欺骗(基于CISCO模拟器Packet Tracer7.0)
DHCP中继:三层架构中,非直连下进行DHCP,便于统一的部署和管理
条件:
1、中继点ip地址必须手工配置
2、server和中继点间必须存在可达路由
配置
CORE
Router>enable
Router#configure terminal
Router(config)#hostname CORE
CORE(config)#no ip domain-lookup
CORE(config)#line console 0
CORE(config-line)#logging synchronous
CORE(config-line)#exec-timeout 0 0
CORE(config-line)#exit
CORE(config)#interface f0/0
CORE(config-if)#ip address 172.16.1.1 255.255.255.0
CORE(config-if)#no shutdown
CORE(config-if)#exit
**EIGRP**
CORE(config)#router eigrp 100
CORE(config-router)#no auto-summary
CORE(config-router)#network 0.0.0.0(实验环境下为了宣告方便)
**DHCP**
CORE(config)#ip dhcp pool ccna
CORE(dhcp-config)#network 192.168.1.0 255.255.255.0
CORE(dhcp-config)#default-router 172.16.1.1
CORE(dhcp-config)#dns-server 8.8.8.8
CONVERGE
Switch>enable
Switch#configure terminal
Switch(config)#hostname CONVERGE
CONVERGE(config)#no ip domain-lookup
CONVERGE(config)#line console 0
CONVERGE(config-line)#logging synchronous
CONVERGE(config-line)#exec-timeout 0 0
CONVERGE(config-line)#exit
CONVERGE(config)#ip routing
CONVERGE(config)#interface f0/1
CONVERGE(config-if)#no switchport
CONVERGE(config-if)#ip address 172.16.1.2 255.255.255.0
CONVERGE(config-if)#no shutdown
CONVERGE(config-if)#exit
**管理VLAN**
CONVERGE(config)#interface vlan 1
CONVERGE(config-if)#ip address 192.168.1.1 255.255.255.0
CONVERGE(config-if)#no shutdown
CONVERGE(config-if)#exit
**EIGRP**
CONVERGE(config)#router eigrp 100
CONVERGE(config-router)#no auto-summary
CONVERGE(config-router)#network 0.0.0.0
CONVERGE(config-router)#exit
**定义非信任**
CONVERGE(config)#ip dhcp snooping
CONVERGE(config)#ip dhcp snooping vlan 1
CONVERGE(config)#interface vlan 1
CONVERGE(config-if)#ip helper-address 172.16.1.1 (DHCP server地址)
测试
CDP-CISCO设备发现协议
CONVERGE#show cdp neighbors