SPAN，简单交换安全，SSH安全远程登录，DHCP欺骗

最新推荐文章于 2024-01-10 19:08:01 发布

小边同学

最新推荐文章于 2024-01-10 19:08:01 发布

阅读量472

点赞数 1

分类专栏： Switch 文章标签： CISCO 安全交换

本文链接：https://blog.csdn.net/weixin_43726831/article/details/84551103

版权

Switch 专栏收录该内容

4 篇文章 1 订阅

订阅专栏

SPAN 交换端口分析仪(基于CISCO模拟器Packet Tracer7.0)

在这里插入图片描述

作用

将F0/1接口流量映射到F0/2口

配置

Switch>enable
Switch#configure terminal
Switch(config)#no ip domain-lookup
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#exec-timeout 0 0
Switch(config-line)#exit
**将F0/1口映射到F0/2口**
Switch(config)#monitor session 1 source interface f0/1
Switch(config)#monitor session 1 destination interface f0/2

RSPAN(用于同一交换网络内，基于CISCO Packet Tracer7.0)

条件

1.在同一交换网络内

2.交换机存在TRUNK干道

在这里插入图片描述

作用

将F0/1(SW1)映射到F0/2(SW2)

配置

SW1

Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#no ip domain-lookup 
SW1(config)#line console 0
SW1(config-line)#logging synchronous
SW1(config-line)#exec-timeout 0 0
SW1(config-line)#exit
SW1(config)#vlan 111
SW1(config-vlan)#remote-span
SW1(config)#monitor session 1 source interface f0/1
SW1(config)#monitor session 1 destination remote vlan 111 reflector-port f0/2
**SW1-SW2之间必须起TRUNK干道**
SW1(config)#interface f0/2
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown

SW2

Switch>enable
SW2#configure terminal
Switch(config)#hostname SW2 
SW2(config)#no ip domain-lookup 
SW2(config)#line console 0
SW2(config-line)#logging synchronous
SW2(config-line)#exec-timeout 0 0
SW2(config-line)#exit
SW2(config)#interface f0/2
SW2(config-if)#no shutdown
SW2(config-if)#exit 
SW2(config)#vlan 111
SW2(config-vlan)#remote-span
SW2(config-vlan)#exit
SW2(config)#monitor session 1 source remote vlan 111
SW2(config)#monitor session 1 destination interface f0/2

简单交换安全(基于CISCO模拟器，Packet Tracer7.0)

1.MAC地址攻击(无数个人同时访问同一台设备)

2.简单端口安全

在这里插入图片描述

1.mac-address(MAC地址获取方式)

2.maximum(最大MAC地址数量)

3.violation(惩罚机制)

在这里插入图片描述

(1)mac-address

H.H.H 为手工粘连
sticky为自动粘连

在这里插入图片描述

(2)violation

protect:当非法MAC出现时，不转发流量
restrict:当非法MAC出现，不转发流量，同时给SNMP服务器发送日志信息
shutdown:当非法MAC出现，直接关闭接口

配置

在这里插入图片描述

手工粘连

Switch>enable
Switch#configure terminal
Switch(config)#interface f0/1
Switch(config-if)#spanning-tree portfast(端口加速)
Switch(config-if)#exit
Switch(config)#hostname SW1
SW1(config)#no ip domain-lookup
SW1(config)#line console 0
SW1(config-line)#logging synchronous
SW1(config-line)#exec-timeout 0 0
SW1(config)#interface f0/1
**端口安全**
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0030.A392.2153
SW1(config-if)#switchport port-security violation shutdown
 PC1：IP为192.168.1.2
 PC2：IP为192.168.1.3

测试结果

在这里插入图片描述

(3).maximum

配置

SW1(config)#interface f0/1
SW1(config-if)#switchport port-security maximum 3
SW1(config-if)#switchport port-security mac-address sticky

测试结果

PC0能通，自动粘连第1个MAC地址

在这里插入图片描述

PC2能通，自动粘连第2个MAC地址

在这里插入图片描述

PC3能通，自动粘连第3个MAC地址

在这里插入图片描述

PC4通不了，maximum=3

在这里插入图片描述

SSH安全外壳协议

（SSH登录设备IOS版本必须携带字母K，支持安全属性配置）GNS3模拟器

在这里插入图片描述

配置

R1

R1(config)#interface f1/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#username ccna privilege 15 secret cisco
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit
R1(config)#ip domain name cisco.com
R1(config)#crypto key generate rsa general-key(默认生成512字节长度)
**仅SSH登录**
R1(config)#line vty 0 4
R1(config-line)#transport input ssh

R2

R2(config)#interface f1/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit

测试

在这里插入图片描述

DHCP欺骗（基于CISCO模拟器Packet Tracer7.0）

DHCP中继：三层架构中，非直连下进行DHCP，便于统一的部署和管理

条件：

  1、中继点ip地址必须手工配置
  2、server和中继点间必须存在可达路由

在这里插入图片描述

配置

CORE

Router>enable
Router#configure terminal 
Router(config)#hostname CORE
CORE(config)#no ip domain-lookup
CORE(config)#line console 0
CORE(config-line)#logging synchronous
CORE(config-line)#exec-timeout 0 0
CORE(config-line)#exit 
CORE(config)#interface f0/0
CORE(config-if)#ip address 172.16.1.1 255.255.255.0
CORE(config-if)#no shutdown
CORE(config-if)#exit 
**EIGRP**
CORE(config)#router eigrp 100
CORE(config-router)#no auto-summary
CORE(config-router)#network 0.0.0.0(实验环境下为了宣告方便)
**DHCP**
CORE(config)#ip dhcp pool ccna
CORE(dhcp-config)#network 192.168.1.0 255.255.255.0
CORE(dhcp-config)#default-router 172.16.1.1
CORE(dhcp-config)#dns-server 8.8.8.8

CONVERGE

Switch>enable
Switch#configure terminal
Switch(config)#hostname CONVERGE
CONVERGE(config)#no ip domain-lookup
CONVERGE(config)#line console 0
CONVERGE(config-line)#logging synchronous
CONVERGE(config-line)#exec-timeout 0 0
CONVERGE(config-line)#exit
CONVERGE(config)#ip routing
CONVERGE(config)#interface f0/1
CONVERGE(config-if)#no switchport
CONVERGE(config-if)#ip address 172.16.1.2 255.255.255.0
CONVERGE(config-if)#no shutdown
CONVERGE(config-if)#exit
**管理VLAN**
CONVERGE(config)#interface vlan 1
CONVERGE(config-if)#ip address 192.168.1.1 255.255.255.0
CONVERGE(config-if)#no shutdown
CONVERGE(config-if)#exit
**EIGRP** 
CONVERGE(config)#router eigrp 100
CONVERGE(config-router)#no auto-summary
CONVERGE(config-router)#network 0.0.0.0
CONVERGE(config-router)#exit
**定义非信任**
CONVERGE(config)#ip dhcp snooping
CONVERGE(config)#ip dhcp snooping vlan 1

CONVERGE(config)#interface vlan 1
CONVERGE(config-if)#ip helper-address 172.16.1.1  (DHCP server地址)

测试

在这里插入图片描述

CDP-CISCO设备发现协议

CONVERGE#show cdp neighbors

在这里插入图片描述

小边同学

关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
SPAN，简单交换安全，SSH安全远程登录，DHCP欺骗

SPAN 交换端口分析仪SSH安全外壳协议（SSH登录设备IOS版本必须携带字母K，支持安全属性配置）配置R1R1(config)#interface f1/0R1(config-if)#ip address 12.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config)#username ccna privilege 15 se...
复制链接

扫一扫

专栏目录