培訓(xùn)np-課件7.switch-交換安全

SPOTO 模SPOTOSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換安全基二SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換機(jī)安全基 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。安全基礎(chǔ)設(shè)

接入園建筑物區(qū)分布層絡(luò)層礎(chǔ)基園區(qū)層礎(chǔ)服務(wù)器

使 列來(lái)提供安全 不要在這里施數(shù)據(jù)包處SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 設(shè)備的 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。二 分SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MACSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MACSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安如果該端口收到一個(gè)源地址SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安asyslogmessageislogged.SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安 umswitch(config-if)#switchportport-securitymac001a.a900.0001vlanswitch(config-if)#switchportport-securitybindingswitch(config-if)#switchportport-securitybinding001a.a900.0001vlan10switch(config-if)#switchportport-securityviolation{protect|restrict|SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。MAC ——端口安showport-showport-securtityinterfaceshowport-securtitySPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。的VLANID，設(shè)備可以發(fā)送SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 服務(wù)

未

目

交換機(jī)剝

文件服務(wù)

工作

者

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。數(shù)內(nèi)數(shù)內(nèi)部頭去往外部頭去往工作站Native

數(shù)

數(shù)據(jù)

工作站Native工作站NativeSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——緩解VLAN跳 VLANSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——VLAN SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——VLAN SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——VLANswitch(config)#access-list100permitip55anyswitch(config)#macaccess-listextendedBACKUP-SERVERswitch(config-ext-mac)#permitanyhost0000.1111.4444switch(config)#vlanaccess-mapXYZ10switch(config-map)#mactchipaddress100switch(config-map)#actiondropswitch(config-map)#vlanaccess-mapXYZ20switch(config-map)#actiondropswitch(config-map)#vlanaccess-mapXYZ30switch(config-map)#actionforwardswitch(config)#vlanfilterXYZvlan-list10,20SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——PrivateVLAN（私有VLAN，PVLAN）是能夠?yàn)橄嗤琕LAN內(nèi)丌同端 一對(duì)VLAN組成：PrimaryVLAN（主VLAN）和SecondaryVLANPrimarySecondary SecondarySPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——主VLANVLAN是PVLAN的高級(jí)VLAN，每個(gè)PVLAN中只有一個(gè)輔助VLANVLAN是PVLAN中的子VLAN VLAN（IsolatedVLAN）：同一個(gè) SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——雜合端口（Promiscuous）：雜合端口為主VLAN中的端口，可以不任意端口通信，包括同一個(gè)PVLAN中的端口和團(tuán)體端口。孤立端口（Isolated）：端口為VLAN中的端口，端口只能SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——配置SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——配置團(tuán)體VLAN

孤立VLAN

主VLANSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 —— switch(config)#vlan201//switch(config)#vlanswitch(config-vlan)#private-vlancommunity配置團(tuán)體VLANswitch(config)#vlan100//#//switch(config-if)switchportmodeprivate-vlanpromiscuous//SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 ——配置switch(config-if)#switchportprivate-vlanhost-association100202將團(tuán)體戒孤立switch(config-if)#interfacerangefastethernet0/3-4switch(config-if)#switchaportmodeprivate-vlanhostswitch(config-if)#switchportprivate-vlanhost-association100100201,202SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。1

2

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。DHCP偵聽(tīng)——DHCPswitch（config）#ipdhcpsnooswitch（config）#ipdhcpsnoo vlan10 limitrate10dhcp包的轉(zhuǎn)發(fā)速率，超過(guò)就接口就默認(rèn)不限制 trust//將端口變成信任端口，信任端口可以正常接收并轉(zhuǎn)DHCPOffer報(bào)文，默認(rèn)交換機(jī)的端口都是非信任端口switch#ipdhcp binding0009.3452.3ea4vlan7interfacegi1/0/10//*這樣可靜態(tài)ip和mac一個(gè)綁switch（config）ipdhcpsnoodatabasetftp:///dhcp_table//*因?yàn)榈綦姾?，這張綁定表就了，所以要選擇一個(gè)保存的地方，ftp，tftp，flash皆可。本例中的dhcp_table是文件名，showipdhcpsnoo//顯示DHCP探測(cè)狀SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。DHCP偵聽(tīng)——DHCP

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 常的ARPshowAge

arp-Interface:Interface:---InternetAddress PhysicalAddress Interface:---InternetAddress PhysicalAddress SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 原理 過(guò)程ARP Age-Age-

ArpArp00-00-00-00-00-00-00-00-00-00-

arp-Interface:Interface:---InternetAddress PhysicalAddress Interface:---InternetAddress PhysicalAddress SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 原理 過(guò)程ARP 后 Age-Age-

ArpArp00-00-00-00-00-00-00-00-00-00-

Interface:Interface:---InternetPhysical arp-Interface:Interface:---InternetAddress PhysicalAddress SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 原理 過(guò)程ARP 后 Age-Age-

ArpArp

Interface:Interface:---InternetPhysical arp-Interface:Interface:---InternetAddress PhysicalAddress SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。理解invalidARP表SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。GratuitousGratuitousARP是一種特殊的ARPRequest/Replay報(bào)文，即SenderIP不TargetIP一致（一般用于IP Age-Age-

0000-0000-arp-

Interface:Interface:---InternetPhysical Interface:Interface:---InternetAddress PhysicalAddress SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。GratuitousARP是一種特殊的ARPRequest/Replay報(bào)文，即SenderIP不TargetIP一致（一般用于IP

RSeRSe ST ST SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。

我是 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。如何判斷是否存在使用arpa，發(fā)現(xiàn)網(wǎng)關(guān)的MACSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 arp–sipmacarpipmacSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 解決辦法網(wǎng)關(guān)設(shè)備以每秒固定數(shù)量GratuitousARPSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 解決辦法 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 原理（Dynamicarp通過(guò)DHCPSnoo 應(yīng)用場(chǎng)缺SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。DAI原理（DynamicarpDHCPDHCP SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。ipipdhcpIpdhcpvlaniparpinspectionvlanInterfacefswitchmodeipdhcp iparpinspectionDAISPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。

嗨，嗨，我是 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。

switch(config)#switch(config)#ipdhcpswitch(config)#Ipdhcpswitch(config)#Ipdhcpvlanverifymac-switch(config)#Ipsourcebinding0000.000a.000bvlan101interfaceswitch(config)#interfacerangefastethernet2/1,2/18switch(config-if)#switchportswitch(config-if)#switchportmodeaccessswitch(config-if)#ipverifysourcevlandhcp- SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換機(jī)設(shè) 使 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換機(jī)設(shè)SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換機(jī)設(shè)CDP默認(rèn)吭用的二層協(xié)議，ciscoLLDPswitch(config)#switch(config)#nocdp戒switch(config-if)#nocdpenableswitch#showcdpneighborswitch(config)#lldp戒switch(config-if)#lldpswitch#showlldpSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。交換機(jī)設(shè)switch(config)#switch(config)#usernamexyzpasswordabc123//配置用戶名和 switch(config)#cryptokeygeneratersa//生成RSA密鑰switch(config)#ipsshversion2switch(config)#linevty015switch(config-line)#loginlocalswitch(config-line)#transportinputssh SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 SDS

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 被的流量類型分為三種，Receive（Rx）SPANvlan參數(shù)進(jìn)行調(diào)整，只對(duì)filtervlan中指定的VLAN數(shù)據(jù)流量做。SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。1、配置本地Switch(config)#monitorsession1sourceinterface//設(shè)定SPAN的受控端Switch(config)#monitorsession1destinationinterface//設(shè)定SPAN 端Switch#shmonSessionSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。報(bào)文分析工SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。Wireshark簡(jiǎn) SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。Wireshark簡(jiǎn)SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。Wireshark簡(jiǎn)ip.addr==ip.src/dst==SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。Wireshark簡(jiǎn)arparporip.addr==andhttpnotipSPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。WW?SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。Wireshark簡(jiǎn)因 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。報(bào)文分析案例（背景

SVISVI10 SVI2054/24 SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。報(bào)文分析案例（背景 鏡像抓包點(diǎn) 鏡像抓包點(diǎn)

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。 SNMP的概 平臺(tái) SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SNMP的概SNMP(SimpleNetworkManagement一般 軟件開(kāi)發(fā)的底層協(xié)議，均為實(shí)現(xiàn)的主流軟件:CISCOWorks2000.HPOpenViewSolarWinds以及SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SNMP的配1設(shè)置公共名 snmp-servercommunityxxx2設(shè)置相關(guān)參數(shù)（可選snmp-servercontactsnmp-serverlocation

snmp-serverclass-id SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SNMP的配置3設(shè)置snmp-serverenabletrapssnmp-servertrap-sourcesnmp-servertrap-timeoutsnmp-serverhosttraps4關(guān)閉Noenableservicesnmp-

//指定發(fā)送的traps//關(guān)閉SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SNMP 平臺(tái)

SPOTOIT人才培訓(xùn)機(jī) 以伙伴關(guān)系幫助客戶成功，幫助員工成功，幫助合作伙伴成功。SNMPS