思科认证CCNA考试听课笔记7
交换机安全MAC Flooding Attack:向交换机发送大量无效的MAC地址,占满其CAM表,致使正常的MAC无法学习而导致流量泛洪。
防护:设置MAC地址数限制、指定允许的MAC地址、定义违规行为(protect/restrict/shutdown)
Switchport port-security 启用端口安全,缺省这个端口只支持一个MAC地址(可以静态指定,可以动态学习)
Switchport port-security maximum 指定端口最多可以学习的MAC地址个数(VoIP端口至少要把这个值设为2,以支持一个IP电话和一台PC)
Switchport port-security aging 学到的地址缺省不过期,这命令指定地址过期时间
Switchport port-security violation {shutdown|protect|restrict}
三种方式下,当违规时端口都将变为err-disable状态,LED灯灭。Protect和restrict方式下当违规消除后端口又变为可用状态,而shutdown方式需管理员手工no shut。Protect方式不会记录违规行为,restrict和shutdown会发送SNMP Trap或syslog给LOG服务器,并把违规计数器加1.
端口安全不能配置在trunk端口,因为地址会频繁变化
802.1x:基于端口的认证
IEEE 802.1X认证成功之前,交换机端口为桔色指示灯,客户连接的端口在LAN上只允许传递可扩展的认证协议(EAPOL:EAP over LAN),CDP和生成树的STP。只有认证成功后才可以传递正常的流量。
页:
[1]