交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
H3C华为交换机限速方法 H3C华为交换机限速有以下方法: line-rate(lr) speed traffic-limit qos car H3C华为交换机端口限速 二层较为准确(如:lr,speed),三层不准确(如:traffic-linit,qos car) lr : E050:(可信度100%) [Quidway-Ethernet0/1]line-rate ? INTEGER<1-100> Target rate(Mbps S5500:(可信度100%) [S5500-GigabitEthernet1/0/1]qos lr outbound cir ? INTEGER<64-1000000> Committed Information Rate(kbps), it must be a multiple of 64 speed : (可信度100%) [S5500-GigabitEthernet1/0/1]speed ? 10 Specify speed of current port 10Mb/s 100 Specify speed of current port 100Mb/s 1000 Specify speed of current port 1000Mb/s auto Enable port's speed negotiation automatically traffic-limit : (可信度50%,当设定50M时,带宽为7M左右;当设定10M时,带宽为1M左右) [Quidway E050-Ethernet0/1]traffic-limit inbound ip-group 2000 ? INTEGER<1-100> Target rate(Mbps) link-group Apply the link-based acl rule Specify the ID of acl rule qos car :(s5500)(可信度50%,当设定9.6M时,带宽为5M左右) acl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255 traffic classifier liukong operator and if-match acl 2000 traffic behavior liukong car cir 9600 cbs 200000 ebs 4000 green pass red discard yellow pass qos policy liukong classifier liukong behavior liukong interface GigabitEthernet1/0/1 qos apply policy liukong inbound 补充说明:交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
交换机命令: 华为交换机:
Switch(config)#interface fastEthernet 0/22 //进入端口 Switch(config-if)#storm-control unicast level 2 //限制单播风暴为 2%,如果100Mb 带宽则为2Mb Switch(config-if)#exit //退出端口管理 Switch(config)#exit //退出配置模式 Switch#write //保存 ------------------------------------------------------------------------------------------------------ 思科交换机实例操作: PC>telnet 10.0.0.60 Trying 10.0.0.60 ...Open User Access Verification Password: Switch>en Password: Switch#sh ru Building configuration...
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
交换机下的局域网内如何限速 局域网内为何要进行限速,因为如果不加以限制的话,即使增加再多的互联网出口带宽也会被局域网内各种各样的网络应用消耗掉,而限速的目的就是限制对于网络的滥用,从而使出口带宽维持在一个比较合理的水平,从而达到既保证网内用户可以正常的使用网络,又节省单位的互联网出口费用开支,所以说网络限速是一个网管员必备的素质。本文从网络限速的思路和具体实现方法入手,说明一下具体的实施办法。 一、限速思路 (一)能够进行限速的前提 在进行网络限速前,实际上我们先想做局域网内的流量监控,只有对局域网中各台交换机的端口流量(甚至是各类网络应用)有一个全面的了解,才能够制定出限速的标准以及具体实施方案。比如我们就利用MRTG软件针对单位中的核心交换机为CISCO3550和下挂的CISCO29系列交换机作了实时的流量监控(如图1所示)。 图1 通过MRTG监控CISCO交换机的端口流量 对每一个端口(相对应一个或一组用户)的用量情况都有了一个清晰的了解,这样通过观察,得出哪些用户(即哪个端口)的流量大,对带宽的占用多,就可以着手进行限速方案的制定了。 (二)限制,而不是拒绝 我们进行网络限速,是限制局域网用户对于网络的滥用,而不是不让用户使用网络,因此我们不论是从端口还是从应用层面做限速,就要遵循这个思路。 (三)目标 目标是什么,最终目标是使现有的带宽可以满足目前局域网的带宽需求,具体到我们单位,我们租用了100M互联网出口,局域网内有几十个单位的用户,这几十个单位有免费用户,也有付费用户。在进行网络限速时我们当然应该优先保证付费用户的带宽,当然免费用户中有一部分用户也要特殊照顾。在对某个端口(对应一个单位用户)实际限速操作时,我们先通过MRTG生成的流量图了解这个单位的日常带宽使用情况,限速后削去明显高出的波峰即可(即类似歌手大奖赛时出掉一个最高分),然后将带宽维持在一个以前统计出的平均值上即可,这样设置后被限速的用户基本上没有感觉(网速不会明显变慢),但是我们的目的也达到了。 (四)要至上而下,制定缜密的限速规划 最后要强调一点,网络限速可以从网络接入的底层实施,但是一定要从网络的顶层规划,这样做一是可以保证限速的效果,二来也将可能出现的网络故障限制在一个可控的范围内,另外关于交换机配置存盘的时机也很有讲究,我们一般是这样做的,进行限速操作前先存一次交换机的配置(保留好当前正常工作状态),限速操作完成,进行观察,确认对网络没有影响后,等一两天以后再执行保存交换机配置的操作(等足够长的时间,确认没有产生网络故障再存盘),这一措施是非常有效的,及时的故障处理措施保证了我们进行网络限速期间没有引起新的网络故障,保证了网络的正常运行。
实验二 交换机端口隔离及端口安全 背景描述: 假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备:每一实验小组提供如下实验设备 1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5) 2、 实验机柜设备: S2126(或者S3550)交换机一台 3、 实验工具及附件:网线测试仪一台 跳线若干 四、实验原理及要求: 1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求: 1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留:是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录: 1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。 实验结果记录:要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1)、启用“本地连接”网卡,正确设置IP 地址及默认网关,打开设备配置界面,完成以下命令行操作: S2126(S3550) F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20
交换机端口限速总结 可限速的交换机一般都在三层或者以上的交换机,自2008年之后新出的交换机型号二层设备就可以做到QOS限速,精确度达到1Mbps,例如Cisco2960系列交换机。在这之后的大多数国内的标准二层交换机都可以做多限速,精确度基本能达到1Mbps,比如中兴的标准二层,H3C的标准二层都可以做到。老式的CISCO标准二层交换机例如2950类的交换也可以做到限速,但是精确度只能达到10Mbps。2950G 的交换和2950为EI型的交换没有太大的限速区别,因为限速和IOS有关系,2950系列的交换IOS版本一般都是在9.0左右,最新的2960系列交换机IOS版本在12.2左右,高版本的IOS提供了更强的系统功能。 下面针对一些限速的方法进行总结: PC1接在Cisco3550F0/1上,速率为1M; PC1接在Cisco3550F0/2上,速率为2M; Cisco3550的G0/1为出口。 PC是直接接在三层交换机端口的,意思就是说限制的是三层交换机端口的上下行流量控制,同理,如果三层交换机端口不是接PC,而是一个二层交换机,那么可以对下层的设备进行上联限速。 注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义。在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos//在交换机上启动QOS 2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表 Switch(config)#access-list10permit10.10.1.00.0.0.255//控制pc1上行流量 Switch(config)#access-list100permit any10.10.1.00.0.0.255//控制pc1下行流量 Switch(config)#access-list11permit10.10.2.00.0.0.255//控制pc2上行流量
5.1交换机端口安全-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
案例一交换机端口安全 【案例描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是/24,主机MAC地址是00-06-1B-DE-13-B4.该主机连接在1台2126G上边。 【教学目标】 掌握交换机最大连接数及进行IP+MAC地址绑定技术。 【案例拓扑】 【案例实施】 步骤1 配置交换机的最大连接数限制 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能
Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 验证测试:查看交换机的端口安全配置 Switch#SHow port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown 步骤2 配置交换机端口的地址绑定 1. 查看主机的IP和MAC地址信息 在主机上打开cmd命令提示窗口,执行ipconfig/all命令 C:\Documents and Settings\Administrator>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : 25-56d2b5f93f1 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
2.10 交换机端口安全配置1 预备知识: 网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少公司或网络中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到网络中,类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、了解交换机端口安全的作用。 2、能读懂交换机MAC地址表。 3、掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。 三、实训要求 1.设备要求: 1)两台2950-24二层交换机、四台PC机。 2)一条交叉双绞线、四条直通双绞线。 2.实训拓扑图 3.配置要求:
2)交换机配置要求: 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果:PC1、PC2、PC3之间能互联互通,P1、 PC2机PING PC4不通,PC3与PC4 互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC 数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC 机。 2、 按实训配置要求设置四台PC 机的IP 地址信息。 3、 按如下拓扑图连接设备,如下图所示。 4、 进入交换机S1的命令行配置窗口,在特权用户配置模式下使用show mac-address-table 命令查看交换机MAC 地址表。
以前端口限速的工作都是由上级部门来做,最近由于分公司自己的内部客户需求,我们要为其提供50M的带宽. 为此我们可是煞费苦心作了两天的测试,先来说说我们测试的设备连接情况: 思科3560端口0/47(模拟用户)——————思科6509端口0/1、0/2(模拟局端,两条路有上联,热备) 测试方法在3560及6509上分别起ftp进行测速 重点来了,来说说6509上的命令吧: mls qos aggregate-policer test 50000000 100000 conform-action transmit exceed-action drop mls qos class-map match-any test_limite match access-group name test_addr ! ! policy-map rate-limit-uplink class test_limite police aggregate test ip access-list extended test_addr (因为上下行都引用策略一样因此不单独做acl) permit ip any x.x.x.x 0.0.0.3 (分配给用户的互联网地址段A) permit ip x.x.x.x 0.0.0.3 any permit ip any x.x.x.x 0.0.0.3 (分配给用户的互联网地址段B) permit ip x.x.x.x 0.0.0.3 any inter f0/1 ip addre x.x.x.x 255.255.255.252
service-policy input test_uplink限制上传 inter f0/2 ip addre x.x.x.x 255.255.255.252 service-policy input test_uplink限制上传 inter g0/47 service-policy input rate-limit-uplink限制下载 经过测试,这个方案成功了!!哈哈,庆祝庆祝,有几点需要解释一下,因为35和65只有在input方向才能引用策略,所以同时对上行和下载作限速需要在上联和下载两方向的端口上做 其次,我们中间有很多弯路,说来给大家提个醒,开始我们用的测试设备性能很低,所以始终测试不出理想的结果,很泄气,无意中拿了班上最好的一台电脑去测试,结果居然出人意料,后来又找了一台高性能设备进行测试,结果非常理想,在此提醒大家,低性能的设备在测试高带宽的时候要特别注意。