思科认证CCNA考试听课笔记7

会计考友

交换机安全MAC Flooding Attack：
向交换机发送大量无效的MAC地址，占满其CAM表，致使正常的MAC无法学习而导致流量泛洪。
防护：设置MAC地址数限制、指定允许的MAC地址、定义违规行为（protect/restrict/shutdown）
Switchport port-security 启用端口安全，缺省这个端口只支持一个MAC地址（可以静态指定，可以动态学习）
Switchport port-security maximum 指定端口最多可以学习的MAC地址个数（VoIP端口至少要把这个值设为2，以支持一个IP电话和一台PC）
  Q! ]6 a) f2 n7 \Switchport port-security aging 学到的地址缺省不过期，这命令指定地址过期时间
Switchport port-security violation {shutdown|protect|restrict}
" J* R0 y% S3 x- w5 B三种方式下，当违规时端口都将变为err-disable状态，LED灯灭。Protect和restrict方式下当违规消除后端口又变为可用状态，而shutdown方式需管理员手工no shut。Protect方式不会记录违规行为，restrict和shutdown会发送SNMP Trap或syslog给LOG服务器，并把违规计数器加1.
端口安全不能配置在trunk端口，因为地址会频繁变化
802.1x：基于端口的认证
IEEE 802.1X认证成功之前，交换机端口为桔色指示灯，客户连接的端口在LAN上只允许传递可扩展的认证协议（EAPOL：EAP over LAN），CDP和生成树的STP。只有认证成功后才可以传递正常的流量。