当前位置:   article > 正文

交换机端口安全技术_交换机安全端口同步配置

交换机安全端口同步配置

实验过程

                                          端口安全autolearn模式典型配置举例

1. 组网需求

图1所示,用户通过H3C交换机连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下:

·     最多同时允许1个用户通过交换机接入到Internet,用户无需进行认证

·     当用户数量超过设定值后,新用户无法通过H3C交换机接入Internet

图1 端口安全autolearn模式配置组网图

2. 配置思路

·     配置交换机与用户相连端口的安全模式为autolearn

·     为防止交换机与用户相连端口学习到的MAC地址的丢失,及安全MAC地址不老化会带来一些问题,需配置安全MAC地址并设定安全MAC地址老化时间(例如30分钟)

·     设置最大安全MAC地址数为1,当再有新的MAC地址接入时,交换机与用户相连端口被暂时断开连接,30秒后自动恢复端口的开启状态。(缺省情况下,系统暂时关闭端口连接的时间为20秒)

3. 配置步骤

1)使能端口安全功能

<H3C> system-view

[H3C] port-security enable

2)设置Sticky MAC地址的老化时间为30分钟

[H3C] port-security timer autolearn aging 30

3)设置端口允许的最大安全MAC地址数为1

[H3C] interface GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1] port-security max-mac-count 1

4)设置端口安全模式为autoLearn

[H3C-GigabitEthernet1/0/1] port-security port-mode autolearn

5)设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒

[H3C-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily

[H3C-GigabitEthernet1/0/1] quit

[H3C] port-security timer disableport 30

4. 验证配置

上述配置完成后,当学习到的MAC地址数达到1个后,用命令display port-security interface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,可以用display命令显示端口安全配置情况,如下:

[H3C]display port-security interface gigabitethernet 1/0/1

Global port security parameters:

   Port security          : Enabled

   AutoLearn aging time   : 30 min

   Disableport timeout    : 30 s

   MAC move               : Denied

   Authorization fail     : Online

   NAS-ID profile         : Not configured

   Dot1x-failure trap     : Disabled

   Dot1x-logon trap       : Disabled

   Dot1x-logoff trap      : Disabled

   Intrusion trap         : Disabled

   Address-learned trap   : Disabled

   Mac-auth-failure trap  : Disabled

   Mac-auth-logon trap    : Disabled

   Mac-auth-logoff trap   : Disabled

   OUI value list         :

 GigabitEthernet1/0/1 is link-up

   Port mode                      : secure

   NeedToKnow mode                : Disabled

   Intrusion protection mode      : DisablePortTemporarily

   Security MAC address attribute

       Learning mode              : Sticky

       Aging type                 : Periodical

   Max secure MAC addresses       : 1

   Current secure MAC addresses   : 1

   Authorization                  : Permitted

   NAS-ID profile                 : Not configured

可以看到端口的最大安全MAC数为1,口模式为autoLearn,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒,学习到的MAC地址数可以用上述命令显示,如学习到1,那么存储的安全MAC地址数就为1

可以在端口视图下用display this命令查看学习到的MAC地址,如下:

[H3C-GigabitEthernet1/0/1]dis this

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 combo enable copper

 port-security intrusion-mode disableport-temporarily

 port-security max-mac-count 1

 port-security port-mode autolearn

 port-security mac-address security sticky 1435-83d6-0306 vlan 1

#

当学习到的MAC地址数达到1个后,可以通过下述命令看到端口安全将此端口关闭

<H3C> display interface gigabitethernet 1/0/1

 gigabitEthernet1/0/1 current state: DOWN (  Port Security Disabled  )

 IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8927-ad7d

 Description: GigabitEthernet1/0/1 Interface ......

30秒后,端口状态恢复

[H3C-GigabitEthernet1/0/1] display interface gigabitethernet 1/0/1

 GigabitEthernet1/0/1 current state: UP

 IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558

 Description: GigabitEthernet1/0/1 Interface

 ......

此时,如通过命令undo port-security mac-address security手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址

实验目录:

1.实现多区域多level之间的通信

2.路由渗透

3.default-route-advertise 命令用来设置默认路由器

4.配置IS-IS链路度量值

5.配置isis路由的优先级

6.配置接口网络类型

7.配置IS-IS引入外部路由

8.配置IS-IS最大等价路由条数

9.配置IS-IS路由聚合(路由汇总)

10.禁止接口发送和接收IS-IS报文

11.配置在PPP接口上取消建立邻接关系必须在同一网段的限制

12.配置邻居关系验证

13.配置区域验证

 

一.实现多区域多level之间的通信

 

实验接isis基础配置做

实验拓扑:

修改R2

[R2]isis

[R2-isis-1]is-level level-1-2

[R2]int lo0

[R2-LoopBack0]isis enable

[R2-LoopBack0]int s0/2/0

[R2-Serial0/2/0]isis enable

[R2-Serial0/2/0]int s0/2/2

[R2-Serial0/2/2]isis enable

[R2-Serial0/2/2]q

 

[R3]isis

[R3-isis-1]network-entity 02.0000.0000.0001.00

[R3-isis-1]is-level level-2

[R3-isis-1]q

[R3]int lo0

[R3-LoopBack0]isis enable

[R3-LoopBack0]int s0/2/0

[R3-Serial0/2/0]isis enable

[R3-Serial0/2/0]int s0/2/2

[R3-Serial0/2/2]isis enable

[R3-Serial0/2/2]q

 

[R4]isis

[R4-isis-1]network-entity 03.0000.0000.0003.00

[R4-isis-1]is-level level-1-2

[R4-isis-1]q

[R4]int lo0

[R4-LoopBack0]isis enable

[R4-LoopBack0]int s0/2/0

[R4-Serial0/2/0]isis enable

[R4-Serial0/2/0]int s0/2/3

[R4-Serial0/2/3]isis enable

[R4-Serial0/2/3]q

 

[R5]isis

[R5-isis-1]net

[R5-isis-1]network-entity 03.0000.0000.0002.00

[R5-isis-1]is-level level-1

[R5-isis-1]q

[R5]int lo0

[R5-LoopBack0]isis enable

[R5-LoopBack0]int s0/2/0

[R5-Serial0/2/0]isis enable

[R5-Serial0/2/0]q

 

关于上面的网络实体名称进行介绍:

网络实体名称=区域ID+systemID+SEL

区域:在我们做的实验中区域可以是一样的!区域和leve不同,一个区域可以包含多个所有leve类型!

系统ID:用来在区域内唯一标识主机或路由器,这个在配置时要小心,下面有举例!

SEL作用类似IP中的“协议标识符”,不同的传输协议对应不同的SEL。在IP中,SEL均为00

只要不是在同一个区域、level中,有相同的系统ID就可以!

关于实体名称:03.0000.0000.0002.00,我只介绍系统ID!因为不注意就会做错!

 

 

会出现到R1、R2的路由有两跳?

原因:是在相同leve内有两个0002

 

2.当 R1是0001  R2是0002  R3是0001    R4是0001    R5是0001

 

 

会出现R3学不到R4、R5的路由

原因同上

 

 

实验查看

 

1.查看R1路由表,看到学到了一条默认路由,通过下面的ping命令,我们知道可以和5.5.5.5通信!

此时就实现了多区域多leve之间的通信!

 

2.查看R2路由表

上图我们可以看到,level1学到了信息和leve2学到的信息!

 

此时会有一个问题:为什么R1不能学到R5的路由。而R2可以?

下图解答:

下面的路由渗透实验就可以让L1能通过L1/2学到L2的路由。

 

 

 

 

 

 

 

.路由渗透

实验拓扑同实验一

解决实验一问题

 

[R4]isis

[R4-isis-1]import-route isis level-2 into ?

  level-1  Import into level-1         //此处为什么只有level1呢?因为默认L2能通过                                                             L1/2学到L1的路由。

[R4-isis-1]import-route isis level-2 into level-1

上面命令是把level-2引入路由到Level-1 的路由表中

R5可以学到R1的路由

三.default-route-advertise 命令用来设置默认路由器

实验拓扑同试验一

 

缺省情况下,此功能关闭

Level-1 缺省路由只发布给本区域的其他路由器,Level-2 缺省路由发布给所有

Level-2 Level-1-2 路由器。

如果在路由策略视图中 apply isis level-1,则可以在L1 LSP 中生成缺省路由;如

果在路由策略视图中apply isis level-2,则可以在L2 LSP 中生成缺省路由;如果

在路由策略视图中apply isis level-1-2,可以在L1 LSPL2 LSP 中各自生成缺省

路由。

[R4]isis

[R4-isis-1]default-route-advertise ?

  level-1       Set Level as Level-1

  level-1-2     Set Level as Level-1-2

  level-2       Set Level as Level-2

  route-policy  Route policy required on advertising default routing

  <cr>         

[R4-isis-1]default-route-advertise level-2

注意:

如果不指定级别,则默认为生成 Level-2 级别的缺省路由,即Level-2

 

 

 

 

 

 

 

恢复实验1

四.配置IS-IS链路度量值

1.接口配置IS-IS链路度量值

2.全局配置IS-IS链路度量值

3.配置IS-IS自动计算链路度量值

1.接口配置IS-IS链路度量值

接口开销值的选择次序为:接口配置的开销值(isis cost)、全局开销值(circuit-cost)、自动计算接口开销值、缺省值

实验拓扑:

[R4]int s0/2/2

[R4-Serial0/2/2]isis cost 21

[R4-Serial0/2/2]

 

 

2.全局配置IS-IS链路度量值

实验拓扑:

[R4]isis             

[R4-isis-1]cost-style ?

  compatible         Set Cost Style to Compatible

  narrow             Set Cost Style to Narrow

  narrow-compatible  Set Cost Style to Narrow-Compatible

  wide               Set Cost Style to Wide

  wide-compatible    Set Cost Style to Wide-Compatible

     

[R4-isis-1]circuit-cost 33 ?

  level-1  set the default cost for all the level-1 interfaces

  level-2  set the default cost for all the level-2 interfaces

  <cr>    

 

[R4-isis-1]circuit-cost 33

 

 

 

 

 

 

 

 

 

 

 

 

 

五.配置isis路由的优先级

实验拓扑同实验1。只用了R5

 

[R5]isis

[R5-isis-1]preference ?

  INTEGER<1-255>  Preference value

  route-policy    Apply the specified route policy to filter route

[R5-isis-1]preference 25

 

 

 

 

 

 

六.配置接口网络类型

[R4]int s0/2/0

[R4-Serial0/2/0]isis circuit-type ?

  p2p  Change the network type of the circuit to P2P

 

 

 

 

 

 

 

 

七.配置IS-IS引入外部路由

没开启isis

各路由器的实体名称

R1:01.0000.0000.0001.00

R2:01.0000.0000.0002.00

R3:02.0000.0000.0001.00

R4:02.0000.0000.0003.00

 

把在实验一上配置的undo

[R4]un isis

配置新的isis

[R4]isis

[R4-isis-1]network-entity 02.0000.0000.0003.00

[R4-isis-1]is-level level-2

[R4-isis-1]q

[R4]int lo0

[R4-LoopBack0]isis en

[R4-LoopBack0]int s0/2/0

[R4-Serial0/2/0]isis en

和R5直连的接口没有开启isis

[R4]ospf

[R4-ospf-1]area 0

[R4-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255

[R4-ospf-1-area-0.0.0.0]q

[R4-ospf-1]import-route isis

[R4-ospf-1]q

[R4]isis

[R4-isis-1]import-route ospf ?

  INTEGER<1-65535>  Process ID

  cost              Cost of imported routes        //默认会加64

  cost-type         Cost type for exterior imported routes

  level-1           Import into level-1 area

  level-1-2         Import into level-1 and level-2 area

  level-2           Import into level-2 area or set Route Leaking

  route-policy      Apply the specified route policy to filter route

  tag               Set tag for routes imported into ISIS

  <cr>             

[R4-isis-1]import-route ospf

 

配置R5为ospf区域

[R5]ospf

[R5-ospf-1]area 0

[R5-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255

[R5-ospf-1-area-0.0.0.0]net 5.5.5.0 0.0.0.255

[R5-ospf-1-area-0.0.0.0]q

[R5-ospf-1]q

 

查看R2上的路由

看R1上的路由表

八.配置IS-IS最大等价路由条数

简介:

如果到一个目的地有几条开销相同的路径,可以通过等价路由负载分担来提高链路利用率。该配置用以设置IS-IS协议的最大等价路由条数。

实验拓扑同实验一

[R1]isis

[R1-isis-1]maximum load-balancing ?

  INTEGER<1-6>  Set number of equal cost routes (paths)   //最大条数为6

 

[R1-isis-1]maximum load-balancing

九.配置IS-IS路由聚合(路由汇总)

简介:

通过配置路由聚合,可以减小路由表规模,还可以减少本路由器生成的LSP报文大小和LSDB的规模。其中,被聚合的路由可以是IS-IS协议发现的路由,也可以是引入的外部路由。

注意:

1.在模拟器上使用loopback口是不能实现路由汇总效果的!

2.我们使用R1和R2直连的网段

3.汇总在路由视图下配置

实验拓扑:修改一下R1与R2直连网段ip

修改R1的s0/2/0的ip

[R1]int s0/2/0

[R1-Serial0/2/0]]ip add 172.16.5.1 24

修改R2的s0/2/0的ip地址

[R2]int s0/2/0

[R2-Serial0/2/0]ip add 172.16.5.2 24        

设置路由汇总

[R2]isis

[R2-isis-1]summary 172.16.4.0 22 ?

  avoid-feedback        Avoid learning this summary route through SPF

  generate_null0_route  Generate the discard route for preventing route loops

  level-1               Aggregating Level-1 routes

  level-1-2             Aggregating level-1 and level-2 routes

  level-2               Aggregating level-2 routes

  tag                   Set tag for summarized routes

  <cr>                 

 

[R2-isis-1]summary 172.16.4.0 22

[R2-isis-1]q

十.禁止接口发送和接收IS-IS报文

通过禁止接口发送和接收IS-IS报文,禁止了该接口与相邻路由器建立邻居关系,但仍然可以把该接口直连网络的路由信息放在LSP中从其它接口宣告出去。由于不用建立邻居关系,可以节省带宽和路由器处理时间,同时,其它路由器也可以知道到达该接口直连网络的路由信息

注意

此命令和被动接口不同。使用了此命令,既不发送也不接收信息!而被动接口只接受不发送!

实验拓扑同实验一。此处只使用了R1R2

[R1]int s0/2/0

[R1-Serial0/2/0]isis silent

 

 

 

 

 

 

 

 

 

 

十一.配置在PPP接口上取消建立邻接关系必须在同一网段的限制

简介:

当网络类型为点到点链路时,IS-IS将检查Hello报文的源地址是否与接收Hello报文的接口在同一网段,如果不在同一网段,将丢弃接收到的Hello报文,无法与对端路由器建立邻接关系。

当接口封装PPP协议时,对端的IP地址与当前接口可以不在同一网段,在这种情况下,可以配置取消与对端路由器建立邻接关系必须在同一网段的限制,即在PPP协议接口上接收Hello报文时,如果对端的IP地址与当前接口不在同一网段也可以建立邻居关系。

实验拓扑同实验一。此处只使用了R1R2

 

 

 

十二.配置邻居关系验证

一边开启而另一边开启认证是不生效的

 

 

 

[R1]int s0/2/0

[R1-Serial0/2/0]isis authentication-mode ?

  md5     MD5 authentication type

  simple  Plaintext authentication type

 

[R1-Serial0/2/0]isis authentication-mode md5 123

[R2]int s0/2/0

[R2-Serial0/2/0]isis authentication-mode md5 456  

十三.配置区域验证

简介

通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1LSDB中。

配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSPCSNPPSNP)中,并对收到的Level-1报文进行验证密码的检查。

同一区域内的路由器必须配置相同的验证方式和验证密码

实验拓扑同实验一。只使用了R1和R3

[R1]isis

[R1-isis-1]area-authentication-mode md5 123

Info: Please reinitialize the P2P links to synchronize the LSDB.

[R2]isis

[R2-isis-1]area-authentication-mode md5 456

Info: Please reinitialize the P2P links to synchronize the LSDB. 提示信息:重新同步一下点到点链路状态数据库。

注意:无论是基于链路的认证,还是基于区域的认证、或者是基于域的认证,如果在一端开启认证,那么不会影响不开启那端的正常学路,但是开启认证的这端是不会学习不开启认证那端的路由的。如果都开启认证密钥不一样,相互之间都学不到。

配置路由域验证

配置DIS优先级

配置LSP参数

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/641775
推荐阅读
相关标签
  

闽ICP备14008679号