其他交换机安全特性
1.span(交换机端口分析)
monitor session 1 source interface gi0/2(把某个接口流量引导某个接口)
monitor session 1 detination interface gi0/3(抓包的接口)
2.vacl
1.能够对vlan内核vlan间的流量进行控制
2.能够对ip和none-ip的流量进行控制
3.vacl先于racl进行处理
4.无方向性,进入或者离开都受控制
ip access-list ex r1-r2.telnet
permit tcp host 10.1.1.3 host 10.1.1.4 eq 23
permit tcp host 10.1.1.4 eq 23 host 10.1.1.3
vlan access-map vacl 10
match ip address r1-r2.telnet
action forwrd
vlan filter vacl vlan-list 2
3.二层隔离技术
a.switchport protect
int f0/1
switchport protected(敲上这个命令接口之间就不通了.需要两个隔离设备接口都要敲)
b.private vlan
三种vlan类型
1.primary vlan
2.isolated vlan
3.community vlan
三种接口类型:
1.promiscuous
2.isolated
3.community
访问特性:1.promiscuous接口可以和任意类型的接口通信。
2.isolatod接口只能和promiscucus类型的接口通信。
3.community接口可以和相同community内的其他接口通信,可以和promiscuous接口通信。
4.storm-control(风暴控制)
基于接口限制广播,单播,组播的占用率
storm-control broadcast level 87 65(广播占用这个接口的带宽87%,多的部分丢掉)
or
storm-control multicast level pps 2k 1k
默认的行为:过滤
storm-control action shutdown
or
storm-control action trap
cisco终端安全技术
1.802.1x
ieee 802.1x
1.在无线和有线网络运用eap的一种方式。
2.主要用于封装eap的二层协议,简称eapol.
3.提供了对网络的物理访问限制。
什么是eap(extensible authentication protocol)
一个灵活的传输协议,用来承载任意认证信息。
直接运行在数据链路层之上,例如:ppp或者以太网
支持多种认证类型。
802.1x特点
严重注意:
真实的认证会话使用eap发生在客户和认证服务器之间,authentication9交换机或ap)能够感受到这个行为,但它只是一个中继设备。
eap直接是client和acs之间运行
流行的eap authentciation method
eap-md5 有线网络用。
esp-tls 证书
eap-fast 思科私有,必须安装思科的拨号程序和硬件。
peap受保护的eap
step1网络基本配置
1.配置vlan
2.配置svi
拓扑图
交换机3560配置
step2 aaa基本配置
1.线下保护
aaa new-model
aaa authentcation login noacs line none
line con0
login authentication noacs
radius-server host 170.1.6.241 key cisco
2.test aaa
test aaa group radius do1xuser cisco new-code
step3 3560 802.1x认证基本配置
交换机3560配置
1.创建dot1x认证策略
aaa authentication dot1x default group radius必须用default
2.全局激活dot1x
dot1x system-auth-control
3.接口启用dot1x
interface f0/19
switchport access vlan 2
switchport mode access
dot1x port-control auto
step4 xp测试
step5 查看dot1x状态
show dot1x interface f0/19 details
2.nac(准入)
确保顺从(os|sp|antivirus|personal fw...)的主机进入网络,并且支持对不顺从主机的修复。
cisco的两种nac部署方式
1.nac framework
2.cisco nac appliance (cisco clean access)
3.csa
cisco提供了主机ips,保护并且控制服务器的终端设备。
san存储网络
什么是san
san是scsi和网络的合并
san三种传输技术
fibre channel
iscsi
fcip
cisco mds 9000存储网络交换机
voip network components
voip protocols
h.323
mgcp
sip
sccp
auxiliary vlan
interface f0/12
switchport access vlan110
switchport mode access
switchport voice vlan 210
switchport port-security maximum 2
switchport prot-security maximum 1 vlan access
switchport port-security maximum 1 vlan voice
switchport port-security
标签:cisco,switchport,vlan,第三天,接口,access,CCNA,eap,Security From: https://www.cnblogs.com/smoke520/p/18357895