2网络设备的安全与应用实践

1、第2章 网络设备的平安与运用实际物理平安；路由器平安；交换机平安；效力器平安；客户机平安。.2.1 物理平安计算机系统无论是硬件还是软件都不可防止存在发生缺点的能够，但并不是发生缺点就一定意味着该系统完全失效。计算机系统大多拥有“容错才干，即允许存在某些错误，虽然系统硬件有缺点或程序有错误，仍能正确执行特定算法和提供系统效力。.2.1.1 网络的冗余平安采用“冗余技术是实现计算机容错的主要手段；冗余设计的目的是：系统运转不受部分缺点的影响，缺点部件的维护对整个系统的功能实现没有影响，并可以实如今线维护，使缺点部件得到及时的修复；系统的可用性目的可以用两个参数进展简单的描画：一个是平均无缺点时间

2、(MTBF)，MTBF普通指产品在两次缺点之间的平均时间间隔，是产品的平均寿命的目的之一；另一个是平均修复时间(MTBR)，MTTR普通指产品的缺点维修所需的平均修复时间，是产品可维修性的衡量目的，MTTR越短表示易恢复性越好。.网络拓扑设计的冗余链路.供电系统的冗余机房设备属于一级负荷，按一级负荷的供电要求必需保证两个以上独立的电源点供电；对于城市供电而言相对比较稳定，普通不会长时间停电，假设停电也将是区域性停电，因此可思索运用UPS作为备份电源，采用市电+UPS后备电池相结合的供电方式。.电源维护 为计算机信息系统设备的可靠运转提供能源保证，例如运用不延续电源、纹波抑制器、电源调理软件等。

3、可归纳为两个方面：对任务电源的任务延续性的维护如不延续电源UPS，Uninterruptible Power Supply；对任务电源的任务稳定性的维护如纹波抑制器。.2.1.2 网络设备的冗余中心交换机冗余中心交换机中电源模块的缺点率相对较高，为了保证中心交换机的正常运转，普通思索在中心交换机上增配一块电源模块，实现该部件的冗余；效力器冗余采用配置两台DHCP效力器来动态地给客户机分配IP地址，为了保证系统的可靠性，还可采用部件冗余技术、RAID技术；存储设备冗余选择刻录光驱、磁带机、磁盘阵列等设备冗余；网络边境设备冗余.8双机容错与集群系统双机容错系统 双机容错系统经过软硬件的严密配合，将

4、两台独立效力器在网络中表现为单一的系统，提供应客户一套具有单点缺点容错才干，且性价比优越的用户运用系统运转平台。双机容错技术可以自动检测运用或效力器缺点，并可将其在另一台可用的效力器上快速重新启动；而用户只会觉察到瞬间的效力暂停。.91.双机互备援Dual Active根本简介 所谓双机热备互援就是两台主机均为任务机，在正常情况下，两台任务机均为信息系统提供支持，并相互监视对方的运转情况。当一台主机出现异常时，不能支持信息系统正常运营，另一主机那么自动接纳异常机的任务，继续主持信息的运营，从而保证信息系统可以不延续的运转，而到达不停机的功能。.102.双机热备份Hot Standby根本简介

5、所谓双机热备份就是一台主机为任务机，另一台主机为备份机，在系统正常情况下，任务机为信息系统提供支持，备份机监视任务机的运转情况。当任务机出现异常，不能支持信息系统运营时，备份机自动接纳任务机的任务，继续支持信息的运营，从而保证信息系统可以不延续的运转。.11集群系统 集群，英文称号为Cluster，通俗地说，集群是这样一种技术：它至少将两个系统衔接到一同，使多台效力器可以像一台机器那样任务或者看起来好似一台机器。用户从来不会认识到集群系统底层的节点，在他/她们看来，集群是一个系统，而非多个计算机系统。并且集群系统的管理员可以随意添加和删改集群系统的节点。采用集群系统通常是为了提高系统的稳定性和

6、网络中心的数据处置才干及效力才干。.12集群系统在集群系统中，一切的计算机拥有一个共同的称号，集群内任一系统上运转的效力可被一切的网络客户所运用。集群必需可以协调管理各分别组件的错误和失败，假设其中一台效力器失效，其它的效力器就会接纳这台效力器所运转的运用，并将共享磁盘柜上的相应数据区接纳过来。其接纳过程如以下图所示.磁盘阵列存储器的编码容错方案 廉价冗余磁盘阵列RAIDRedundent Array of Inexpensive Disks是由美国加州大学伯克利分校的D.A. Patterson教授在1988年提出的。也简称为“磁盘阵列。RAID将一组磁盘驱动器用某种逻辑方式联络起来，作为逻

7、辑上的一个磁盘驱动器来运用。普通情况下，组成的逻辑磁盘驱动器的容量要小于各个磁盘驱动器容量的总和。RAID普通是在SCSI或SATA磁盘接口实现的。 . RAID提供了效力器中接入多个磁盘专指硬盘时，以磁盘阵列方式组成一个超大容量、呼应速度快、可靠性高的存储子系统。经过对数据分块和交叉存储两项技术的运用，使CPU实现经过硬件方式对数据的分块控制和对磁盘阵列中数据的并行调度等功能。运用RAID可大大加快磁盘的访问速度，缩短磁盘读写的平均排队与等待时间，并以并行方式在多个硬盘驱动器上任务，被系统视作一个单一的硬盘，以冗余技术添加其可靠性，以多个低本钱磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性

8、和高性能，目前工业界公认的规范是RAID0-RAID6。RAID被广泛地运用在效力器体系中。.RAID的优点包括以下几点：一是本钱低，功耗小，传输速率高。在RAID中，可以让很多磁盘驱动器同时传输数据，而这些磁盘驱动器在逻辑上又是一个磁盘驱动器，所以运用RAID可以到达单个的磁盘驱动器几倍、几十倍甚至上百倍的速率。二是可以提供容错功能。这是运用RAID的第二个缘由，由于普通磁盘驱动器无法提供容错功能，RAID的容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的平安性。三是在同样的容量下，RAID比起传统的大直径磁盘驱动器来，价钱要低许多。.2.2 路由器平安与运用实际路由器是网络

9、的神经中枢，是众多网络设备的重要一员；广域网就是靠一个个路由器衔接起来组成的；路由器对网络的运用和平安具有极重要的位置。.2.2.1 路由协议与访问控制路由选择及协议 路由选择是根据一定的原那么和算法在多节点的通讯子网中选择一条从源节点到目的节点的最正确途径； 路由选择算法可分为静态路由选择算法和动态路由选择算法两大类； 在路由器上利用路由选择协议自动交换路由信息，建立路由表并根据路由表转发分组。路由表可分为静态路由表和动态路由表； 在现代网络中，广泛采用的是动态路由算法。在动态路由选择算法中，运用分布式路由选择算法。在该类算法中，最常用的是间隔向量路由选择算法和链路形状路由选择算法。前者经过

10、改良，成为目前广泛运用的路由信息协议，后者那么开展成为开放式最短途径优先协议。.路由器访问控制列表(ACL) ACL是Cisco IOS所提供的一种访问控制技术； ACL技术是一种基于包过滤的流控制技术。ACL在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规那么对包进展过滤，从而到达访问控制的目的； ACL有规范ACL和扩展ACL两种。这两种类型的ACL都可以基于序列号和命名进展配置。配置ACL要留意两点，一是ACL只能过滤流经路由器的流量，对路由器本身发出的数据包不起作用；二是一个ACL中至少有一条允许语句。.2.2.2 虚拟路由器冗余协议V

11、RRPVRRP协议 VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中； 运用VRRP，可以经过手动或DHCP设定一个虚拟IP地址作为默许路由器。虚拟IP地址在路由器间共享，控制虚拟路由器IP地址的VRRP路由器称为主路由器，其它的那么为备份路由器。主路由器担任转发数据包到这些虚拟IP地址； VRRP协议中优先级范围是0-255。假设VRRP路由器的IP地址和虚拟路由器的接口IP地址一样，那么称该虚拟路由器作VRRP组中的IP地址一切者； 为了保证VRRP协议的平安性，提供了明文认证和IP头认证两种平安认证措施。. VRRP是一种容错协议，它为具有多播或广

12、播才干的局域网而设计。VRRP将局域网的一组路由器包括一个主路由器和假设干个备份路由器组织成一个虚拟路由器，称之为一个备份组； 虚拟路由器拥有本人的IP地址，备份组内的路由器也有本人的IP地址如Master的IP地址为，Backup的IP地址为。局域网内的主机仅仅知道这个虚拟路由器的IP地址而并不知道详细的Master路由器的IP地址以及Backup路由器的IP地址，它们将本人的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就经过这个虚拟的路由器来与其它网络进展通讯。.Linux下的VRRP组件在Linux操作系统下可以实现非常稳定的VRRP功能，实现该功能的软件是keep

13、alived。Keepalived的VRRP功能是从Linux中VRRPD开展而来的。.Keepalived的安装 openssl的安装 popt的安装 popt的安装 安装keepalived.安装keepalived.2.2.3 路由器平安配置与运用实际路由器的本身平安；路由器访问控制的平安战略；路由协议的平安配置；路由器的网络平安配置；制止路由器的部分网络效力的平安配置；路由器实现多设备控制端口访问的配置；实现准确控制访问的路由器配置；路由器的其他平安配置。.路由器的本身平安 用户口令平安全局配置方式下运用命令service password-encryption进展配置，该命令可将明文

14、密码变为密文密码，保证用户口令的平安； 配置登录平安路由器的配置普通有控制口Console配置、Telnet配置和SNMP配置三种方法，为了保证运用Telnet配置路由器的平安，仅让路由器管理员的任务站登录而不让其他机器登录到路由器，以保证路由器配置的平安。.路由器访问控制的平安战略 严厉控制可以访问路由器的管理员；对路由器的任何一次维护都需求记录备案，要有完备的路由器的平安访问和维护记录日志； 建议不要远程访问路由器； 要严厉地为IOSCisco网际操作系统作平安备份，及时晋级和修补IOS软件，并迅速为IOS安装补丁； 要为路由器的配置文件作平安备份； 为路由器配备UPS设备，或者至少要有冗

15、余电源。. 为进入特权方式设置强健的密码，可采用enable secret不要采用enable password命令进展设置，并且启用Service password-encryption； 严厉控制CON端口的访问； 假设不运用AUX端口，那么应制止该端口，运用如下命令即可默许情况下是未被启用；假设要对权限进展分级，采用权限分级战略。.路由协议的平安配置 RIP路由协议验证OSPF路由协议验证OSPF有三种认证方法，简单口令认证、MD5认证和Null认证。在缺省时OSPF运用Null认证，也就是路由交换不经过认证EIGRP路由协议的验证EIGRP协议仅仅支持MD5认证。认证的配置有三个步骤，

16、一是在端口配置方式使MD5认证方式生效，二是密钥链要一致，三是给密钥链配置密钥。简单网管协议SNMP的平安.路由器的网络平安配置 物理构造的规划假设路由器有一个以上的局域网端口，或几台路由器并行运用，可以根据访问性质进展分类； 路由器的简单防火墙功能常用的路由器普通都有访问控制列表ACLAccess List，即包过滤防火墙功能。访问列表可用于入口Inbound，也可用于出口Outbound。它可对源IP地址和目的IP地址以及协议端口号进展过滤，用它可以控制哪些网络可以访问什么效力器资源。.制止路由器的部分网络效力的平安配置 制止Finger效力Router(config)# no ip fi

17、nger Router(config)# no service finger 制止TCP、UDP Small效力Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers 建议制止HTTP效力 Router(config)# no ip server 制止IP Source Routing Router(config)# no ip source-route 制止ARP-Proxy效力 Router(config)# no ip proxy-arp Router(config

18、-if)# no ip proxy-arp 制止IP Directed Broadcast Router(config)# no ip directed-broadcast 制止IP Classless Router(config)# no ip classless 制止ICMP协议的IP Unreachables、IP Redirects和IP Mask ReplieRouter(config)# no ip unreachables Router(config)# no ip Redirects Router(config)# no ip Mask Replies.路由器实现多设备控制端口

19、访问的配置开场配置先用Cisco 2511路由器的一个异步串行端口衔接到用户的网络中心交换机、路由器和防火墙的每一个端口这些设备各自同样需求具备串行控制口；然后再按照ip host命令对新的Cisco终端效力器进展配置；管理多个衔接 在命令行中输入主机称号，即使用一个IP主机Telnet到用户配置过的设备上，这是1号衔接。在没有断开衔接的情况下回到命令行，按下CtrlShift6，然后按下x，将显示控制台效力器提示符。一样方法进展2号衔接； 输入show sessions命令，可列出用户当前的会话。假设用户有两个会话：一个到第一台路由器，一个到第二台路由器。假设要取消其中某个会话，可输入dis

20、connect X，X为“1或“2。假设要转到某个会话，输入session number“1或“2即可。.实现准确控制访问的路由器配置路由器设置(1) 在路由器上指定可访问外界的IP地址该步骤是经过设置路由器上的IP访问限制实现的，在E0端口局域网端口上添加一个访问列表access-list ，只需指定了的IP地址允许进入；(2) 制止外界访问内部的Telnet和FTP端口在E0端口上添加一个访问列表，制止进入20、21和23端口20和21为FTP端口，23为Telnet端口；(3) 防止授权IP地址的盗用在路由器上建立一个静态ARP；(4) 在EXEC命令态下用copy run start命

21、令保管所做的修正映射表.任务站配置(1) 进入“开场“设置“网络衔接“本地衔接，点击“属性后进入“本地衔接属性。(2) 选定“TCP/IP协议如图2.3所示，双击之或点击“属性按钮，出现“TCP/IP属性窗口，如图2.4所示。(3) 选定“运用下面的IP地址，在“IP地址和“子网掩码框中填写IP地址本例为1和子网掩码。(4) 在“网关项中，将路由器的E0地址本例为填入，作为默许网关。这一步对于能访问外界机器至关重要，由于在局域网中，路由器是与外界相连的独一出口。(5) 选定“运用下面的DNS效力器地址项，填写“首选DNS效力器和“备用DNS效力器。(6) 最后单击“确定按钮，重新启动计算机.路

22、由器的其他平安配置 IP欺骗的简单防护为防止对内部网络的IP欺骗，可过滤这样一些IP地址，如：Router(config)# access-list 100 deny ip 55 any log； TCP SYN的防备防护经过访问列表防备TCP SYN；经过TCP截获防备TCP SYN； Smurf进攻的防备Router(config)# access-list 108 deny ip any host 55/0 log.DDoS攻击的防备！ The Trinoo DDos systemRouter(config)# access-list 113 deny tcp any any eq 27

23、665 log Router(config)# access-list 113 deny udp any any eq 31335 log Router(config)# access-list 113 deny udp any any eq 27444 log !The Stacheldtraht DDos systemRouter(config)# access-list 113 deny tcp any any eq 16660 log Router(config)# access-list 113 deny tcp any any eq 65000 log ! The TrinityV

24、3 systemRouter(config)# access-list 113 deny tcp any any eq 33270 log Router(config)# access-list 113 deny tcp any any eq 39168 log ! The Subseven DDos system and some VariantsRouter(config)# access-list 113 deny tcp any any range 6711 6712 log .2.3 交换机平安与运用实际2.3.1 交换机平安 交换机是一种基于MAC(网卡的硬件地址)识别，能完成封装

25、转发数据包功能的网络设备； 交换机可以“学习MAC地址，并把其存放在内部地址表中，经过在数据帧的源发送者和目的接纳者之间建立暂时的交换途径，使数据帧由源地址到达目的地址； 传统交换机主要用于数据包的快速转发，强调转发性能。.交换机根底 交换机功能； 交换机的地址“学习； 交换机的转发与过滤。.交换机功能交换机可看作是一个具有流量控制的网桥，它是由背板、端口、缓冲区、逻辑控制单元和交叉矩阵等部件组成；传统以太网交换机是第二层交换机，第二层交换机是一个可以将发送端地址与接纳端地址衔接起来的网络设备。该设备根据数据帧中的头信息，未来自一个或多个输入端口的帧送到一个或多个端口，完成数据交换；. 交换机

26、任务在OSI模型中的数据链路层，因此交换机对数据包的转发是建立在MAC地址根底之上的； 传统以太网交换机的最大优点是数据交换快； 当交换机收到一个TCP/IP数据包时，会查看该数据包的目的MAC地址，然后核对本人的MAC地址表以确认应该从哪个端口把数据包发出去。 当交换机收到一个目的地址未知的数据包即MAC地址不能在其MAC地址表中找到时，交换时机把IP数据包从它每一个端口中送出去。.交换机的地址“学习交换机可以经过读取传送包的源MAC地址和记录帧进入交换机的端口来“学习网络上每个设备的地址，然后，交换机把该信息加到它的转发数据库(MAC地址表)中； 假设在一段时间内都没有被运用过的MAC地址

27、将从MAC列表中删除，经过这个时间标志来保证删除过时的地址和坚持最新的地址。CAM维护了一个准确和有用的转发数据库，即MAC地址表。.交换机的转发与过滤 当主机A发一个帧给主机B时，由于目的MAC地址(主机B的MAC地址)己在MAC地址表中存在对应项，故交换时机将此帧直接发到B所在交换机的端口，而不会再将帧发往其他端口，这样就节省了其他端口上的带宽。这就是所谓的转发与过滤； 第二层的交换机无法控制广播域。.交换机平安平安交换机含义 交换机最重要的作用是转发数据。在黑客攻击和病毒侵扰下，要可以继续坚持其高效的数据转发速率，不遭到攻击的干扰； 能对访问和存取网络信息的用户进展区分和权限控制； 配合

28、其他网络平安设备，对非授权访问和网络攻击进展监控和阻止。.平安交换机的新功能 802.1x平安认证 ； 流量控制 ； 防备DDoS攻击； 虚拟局域网VLAN； 基于ACL的防火墙功能； IDS功能。.802.1x平安认证 802.1x协议是基于端口的访问控制协议。它可以在利用IEEE 802局域网优势的根底上提供一种对衔接到局域网的用户进展认证和授权的手段，到达接受合法用户接入，维护网络平安的目的； 802.1x利用了交换式LAN架构的物理特性，实现了LAN端口上的设备认证； 在802.1x协议中，只需具备了以下三个元素才可以完成基于端口的访问控制的用户认证和授权：客户端，认证系统和认证效力器

29、。.流量控制 平安交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，防止交换机的带宽被无限制滥用。平安交换机的流量控制功能可以实现对异常流量的控制，防止网络堵塞；防备DDoS攻击平安交换机采用专门技术来防备DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络遭到DDoS攻击的要挟。.虚拟局域网VLAN VLAN可以在二层或三层交换机上实现有限的广播域。它可把网络分成一个个独立的区域，控制这些区域能否可以通讯。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP地址与MAC地址绑定功能限制用户非授权访问网络； 基于ACL的防火墙功能ACL经过

30、对网络资源的访问控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规那么表，交换机按照顺序执行这些规那么，并且处置每一个进入端口的数据包。每条规那么根据数据包的属性(如源地址、目的地址和协议)允许或回绝数据包经过。.IDS功能平安交换机的入侵检测系统IDS功能可以根据上报信息和数据流内容进展检测，在发现网络平安事件时，进展有针对性的操作，并将这些对平安事件反响的动作发送到交换机上，由交换机来实现准确的端口断开操作。实现这种联动，需求交换机支持认证、端口镜像、强迫流分类、进程数控制、端口反向查询等功能。. 平安交换机的配署 平安交换机可以配备在网络的中心位置上，这样就可以在中心交换机上

31、一致配置平安战略，做到集中控制，方便网络管理人员的监控和调整； 把平安交换机放在网络的接入层或会聚层，是另外一个选择。这样配备平安交换机的方式就是中心把权益下放到边缘，在各个边缘就开场实施平安交换机的性能，把入侵和攻击以及可疑流量阻挠在边缘之外，确保全网的平安。.2.3.2 交换机的平安配置实际配置交换机使网络对可访问站点进展控制，从而实现对本身的维护；端口平安port-secure命令定义了一个最大值，即在MAC地址表中与交换机端口相联络的所允许的最多目的MAC地址。.MAC地址表及相关信息的设置 显示MAC地址表 MAC地址表中的地址由永久地址、限制性静态地址和动态地址三种地址组成； 在S

32、witch# show MAC-address-table命令中即可看到MAC地址表； MAC地址表由地址、源端口表、目的端口和类型组成。. 设置永久地址假设设置了永久地址的目的MAC地址及其转发端口，那么该地址永久不会超时，一切的端口均可以转发帧给它。设置命令如下：Switch(config)#MAC-address-table permanentMAC Addresstype slot/port. 设置限制性静态地址限制性静态地址不但承继了永久地址的一切特性，更进一步严厉限制了源端口，平安性得到进一步加强。设置限制性静态地址的命令如下：Switch(config)#MAC-address-

33、table restricted staticMAC addresstype slot/portsource interface list 删除表项Switch#clear MAC-address-tabledynamic|permanent|restricted.配置交换机端口 认证端口Switch(config-if)#description description-string 端口速度Switch(config-if)#speed10 | 100 | auto 端口方式Switch(config-if#duplexauto | full | half.交换机口令的平安配置 密码设置为用

34、户方式设置注册密码，需求在全局配置方式下输入以下命令：Switch(config)#line con 0Switch(config-line)#password passwordSwitch(config-line)#loginSwitch(config-1)#line vty 0 15Switch(config-line)#password passwordSwitch(config-line)#login. 重配置并验证(config)#enable password level 1 noco(config)#enable password level 15 noko(config)#ex

35、it#exit.交换机端口平安配置方案与操作 激活维护功能：Switch(configif)#switchport port-sercurity 规定被允许访问的MAC地址的最大数目：Switch(config-if)switchport port-sercurity maximum max-address 静态地址配置：Switch(config-if)switchport port-sercurity MAC-address MAC-address 必需确定运用端口维护的接口Switch(config-if)switchpolt port-sercurity violationshutdo

36、wn | restrict | protect. 配置方案1 - 基于端口的MAC地址绑定 Switch#config terminal 进入配置方式 Switch(config)Interface fastethernet 0/1 进入详细端口配置方式 Switch(config-if)Switchport port-secruity 配置端口平安方式 Switch(config-if )switchport port-security MAC-address MAC-address 配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port

37、-security MAC-address MAC-address 删除绑定主机的MAC地址. 配置方案2 - 基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问恣意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义一切主机可以访问MAC地址为0009.6bc4.d4bf

38、的主机 Switch(config-if )interface Fa0/20 #进入配置详细端口的方式 Switch(config-if )mac access-group MAC10 in 在该端口上运用名为MAC10的访问列表 Switch(config)no mac access-list extended MAC10去除名为MAC10的访问列表.配置方案3 - IP地址与MAC地址绑定 Switch(config)mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host

39、0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问恣意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义一切主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)ip access-list extended IP10定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)permit any定义IP地址为的主机可以访问恣意主机. Switch(config)permit any 定义一切主机可以访问IP地址为的主机 Switch(con

40、fig-if )interface Fa0/20 进入配置详细端口的方式 Switch(config-if )mac access-group MAC10 in 在该端口上运用名为MAC10的访问列表即前面定义的访问战略 Switch(config-if )ip access-group IP10 in 在该端口上运用名为IP10的访问列表即前面定义的访问战略 Switch(config)no mac access-list extended MAC10 in去除名为MAC10的访问列表 Switch(config)no ip access-group IP10 in去除名为IP10的访问列表

41、.交换机端口与主机地址的平安配置 MAC地址与端口绑定3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口方式3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许经过的MAC地址数为13550-1(config-if)#switchport port-se

42、curity violation shutdown /当发现与上述配置不符时，端口down掉。. 经过MAC地址来限制端口流量 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport trunk encapsulation dot1q 3550-1(config-if)#switchport mode trunk /配置端口方式为trunk3550-1(config-if)#switchport port-security maximum 100 /允许此端口经过的最大MAC地址数目为100。.3550-1(conf

43、ig-if)#switchport port-security violation protect /当主机MAC地址数目超越100时，交换机继续任务，但来自新的主机的数据帧将丧失上述配置可根据MAC地址来允许流量，如下的配置那么是根据MAC地址来回绝流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的VLAN丢弃流量。3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vl

44、an 2 int f0/1 /在相应的接口丢弃流量。.可靠的MAC地址配置类型 静态可靠的MAC地址 Switch#config terminal Switch(config)#interface interface-id 进入需求配置的端口 Switch(config-if)#switchport mode Access 设置为交换方式 Switch(config-if)#switchport port-security 翻开端口平安方式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown .动态可靠的MAC地址 交换机默许的类型； 在这种类型下，交换时机动态学习MAC地址，但是该配置只会保管在MAC地址表中，不会保管在运转配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址会被自动去除。.黏性