首页 > 其他分享 >CCNA Security第三天.2

CCNA Security第三天.2

时间:2024-08-13 23:06:42浏览次数:11  
标签:cisco switchport vlan 第三天 接口 access CCNA eap Security

其他交换机安全特性

1.span(交换机端口分析)

monitor session 1 source interface gi0/2(把某个接口流量引导某个接口)

monitor session 1 detination interface gi0/3(抓包的接口)

2.vacl

1.能够对vlan内核vlan间的流量进行控制

2.能够对ip和none-ip的流量进行控制

3.vacl先于racl进行处理

4.无方向性,进入或者离开都受控制

ip access-list ex r1-r2.telnet

permit tcp host 10.1.1.3 host 10.1.1.4 eq 23

permit tcp host 10.1.1.4 eq 23 host 10.1.1.3

vlan access-map vacl 10

match ip address r1-r2.telnet

action forwrd

vlan filter vacl vlan-list 2

3.二层隔离技术

a.switchport protect

int f0/1

switchport protected(敲上这个命令接口之间就不通了.需要两个隔离设备接口都要敲)

b.private vlan

三种vlan类型

1.primary vlan

2.isolated vlan

3.community vlan

三种接口类型:

1.promiscuous

2.isolated

3.community

访问特性:1.promiscuous接口可以和任意类型的接口通信。

2.isolatod接口只能和promiscucus类型的接口通信。

3.community接口可以和相同community内的其他接口通信,可以和promiscuous接口通信。

4.storm-control(风暴控制)

基于接口限制广播,单播,组播的占用率

storm-control broadcast level 87 65(广播占用这个接口的带宽87%,多的部分丢掉)

or

storm-control multicast level pps 2k 1k

默认的行为:过滤

storm-control action shutdown

or

storm-control action trap

cisco终端安全技术

1.802.1x

ieee 802.1x

1.在无线和有线网络运用eap的一种方式。

2.主要用于封装eap的二层协议,简称eapol.

3.提供了对网络的物理访问限制。

什么是eap(extensible authentication protocol)

一个灵活的传输协议,用来承载任意认证信息。

直接运行在数据链路层之上,例如:ppp或者以太网

支持多种认证类型。

802.1x特点

严重注意:

真实的认证会话使用eap发生在客户和认证服务器之间,authentication9交换机或ap)能够感受到这个行为,但它只是一个中继设备。

eap直接是client和acs之间运行

流行的eap authentciation method

eap-md5 有线网络用。

esp-tls 证书

eap-fast 思科私有,必须安装思科的拨号程序和硬件。

peap受保护的eap

step1网络基本配置

1.配置vlan

2.配置svi

拓扑图

交换机3560配置

step2 aaa基本配置

1.线下保护

aaa new-model

aaa authentcation login noacs line none

line con0

login authentication noacs

radius-server host 170.1.6.241 key cisco

2.test aaa

test aaa group radius do1xuser cisco new-code

step3 3560 802.1x认证基本配置

交换机3560配置

1.创建dot1x认证策略

aaa authentication dot1x default group radius必须用default

2.全局激活dot1x

dot1x system-auth-control

3.接口启用dot1x

interface f0/19

switchport access vlan 2

switchport mode access

dot1x port-control auto

step4 xp测试

step5 查看dot1x状态

show dot1x interface f0/19 details

2.nac(准入)

确保顺从(os|sp|antivirus|personal fw...)的主机进入网络,并且支持对不顺从主机的修复。

cisco的两种nac部署方式

1.nac framework

2.cisco nac appliance (cisco clean access)

3.csa

cisco提供了主机ips,保护并且控制服务器的终端设备。

san存储网络

什么是san

san是scsi和网络的合并

san三种传输技术

fibre channel

iscsi

fcip

cisco mds 9000存储网络交换机

voip network components

voip protocols

h.323

mgcp

sip

sccp

auxiliary vlan

interface f0/12

switchport access vlan110

switchport mode access

switchport voice vlan 210

switchport port-security maximum 2

switchport prot-security maximum 1 vlan access

switchport port-security maximum 1 vlan voice

switchport port-security

标签:cisco,switchport,vlan,第三天,接口,access,CCNA,eap,Security
From: https://www.cnblogs.com/smoke520/p/18357895

相关文章

  • CCNA Security第四天.2
    防火墙的三种类型packetfiltering(包过滤)proxyserver(代理服务器)statefulpacketfiltering(状态监控包过滤)packetfiltering介绍一个老的防火墙技术,也就是我们使用的访问控制列表acl.cisco访问控制列表分类1.standard(标准)2.extended(扩展)控制源|目的|协议|端口|tos|时......
  • CCNA Security第四天.3
    配置zone-basedpolicy防火墙步骤1.确定游泳相同安全功能的接口,并且把他们放入相同的securityzones内2.决定在znne间双向需要穿越流量3.配置zones4.配置zonepairs,如果某一个方向没有任何流量需要放行就不用配置了5.定义classmaps匹配zones间流量6.配置policymaps关联cl......
  • 7.第二天和第三天(第三部分):Describing Signature Engines.2
    状态化signature监控不同类型的状态化切换1.ciscologin2.lpr3.smtp需要试验验证:start仅仅表示一个开始ciscodevice:仅仅只是匹配初始化时候弹出的提示符号,例如:useraccessvenfication,ciscosystemsconsole.passprompt:仅仅只是匹配一个密码提示符号,例如:password;co......
  • 7.第二天和第三天(第三部分):Describing Signature Engines
    ips的signature是被signatureengire创建的,这些engine是专门为了监控特定流量设计的,engine是senscr的一个组成部分,支持对signature的归类。engine是一个分析器和监控器。atomic:对单个包进行处理flood:监测由dos产生的攻击meta:执行事件关联normalizer:监测不明确或者异常的流......
  • 9.第三天(第二部分):Tuning the Sensor
    tuningthesensor调整的主要目的是修改sensor的行为,让告警产生的时候有更高的真实度,并且不会产生一些和真实事件无关的事情,另一个目的是更快更有效的定位正在进行的攻击并且相应它.为了成功调整sensors,你需要很好的理解如下几点:1.你的网络和需要被保护的单个设备2.你所......
  • 8.第三天(第一部分):Configuring Signatures
    configuringsignaturesalertserverity:告警的严重级别,选项high,informational,low,mediumsigfidelityrating:可信度,越高越可信promiscuousdelta:杂合的增量,可信度的变量,两种模式在线模式和杂合模式.signaturename:signature的名字engine:引擎eventaction:action默......
  • JavaScript高阶笔记总结(Xmind格式):第三天
    Xmind鸟瞰图:简单文字总结:js高阶笔记总结:严格模式:  1.开启严格模式:"usestrict"  2.不使用var关键字声明会报错  3.严格模式下普通函数的this指向undefined高阶函数:  满足其中之一即高阶函数:    1.函数作为参数    2.函数作为返回值......
  • SpringSecurity+前端项目+redis完成认证授权的代码
    1.前端准备工作--都在全局main.js页面中设置的1.1.创建Vue工程后,并导入elementui和axios,添加连接后端项目的路径,把axios挂载到Vue1.2.前置路由守卫(所有路由跳转前核实一下身份)//前置路由守卫--所有的路由跳转都先经过这里//to:即将要访问的路径from:从哪里来......
  • 4.5.Switch Security
    switchsecurity(交换安全)maclayerattacks(mac地址攻击)mac地址泛红变换mac让交换机不停学习,占满mac地址表,其他pc发送报文就进行泛红。portsecurity(端口安全)1未授权mac地址2mac地址个数限制(默认1个)3采取措施switch(config-if)#switchportport-security[maximumvalue]......
  • 第五天2cisco_security_device_manger_appliance_
    asdm视窗化管理把asdm加载进asa的flash必须支持des或3desie浏览器支持java。不能阻止弹出窗口。配置向导设置Pre-configureFirewallnowthroughinteractiveprompts[yes]?(预配置防火墙现在通过交互式提示符)FirewallMode[Routed]:Enablepassword[<usecurrent......