返回
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。

交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。

ID:15332119

大小:783.00 KB

页数:11页

时间:2018-08-02

交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。_第1页
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。_第2页
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。_第3页
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。_第4页
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。_第5页
资源描述:

《交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。【背景描述】1、什么是ARP?ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺

2、利进行。2、ARP协议的工作原理正常情况下,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首

3、先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。PC1IP:192.168.0.100MAC:00-C0-9F-86-C2-5CPC1ARP表192.168.0.100-50-18-21-C0-E1§PC1PingPC2PC1与PC2的通信过程3、常见的ARP攻击类型ARP请求(目标:FF:FF:FF:FF:FF:

4、FF)ARP应答(目标:PC1的MAC)ICMP请求ICMP应答PC3PC2IP:192.168.0.1MAC:00-50-18-21-C0-E1PC2ARP表192.168.0.10000-C0-9F-86-C2-5CPC4PC5MAC:00-50-18-21-C0-E1MAC:AA-BB-CC-DD-EE-FF交换机的IP-MAC-PORT绑定可以很好地解决ARP欺骗行为,保护网络的安全。【实验拓扑】【实验设备】D-Link二层交换机1台,测试PC2台,网线若干。【实验步骤】初始阶段,绑定的数目为零。开始的时候测试PC连接在交换机的第一个端口,此时与路由器通信正常。

5、将此计算机从第一端口移至1-8端口的任一端口,它与路由器的通信仍然正常,因为我们已经将192.168.1.11&00-16-d3-b8-70-08这个地址对绑定到了1-8端口。将此计算机连接到9-16端口的任一端口,此时它与路由器的通信中断,因为我们没有在9-16端口上绑定192.168.1.11&00-16-d3-b8-70-08。此时将测试计算机连接到交换机的1-8端口任意一口,然后将此计算机的IP地址修改为192.168.1.12,然后测试与路由器的通信。虽然仍然连接在1-8端口中,但是由于修改了此计算机的IP地址,也已经被交换机所阻止其通信。如果修改了计算机的M

6、AC地址,结果也是同样的。要想使此交换机可以在1-16端口中正常通信,可以修改此ip-mac地址对所绑定的端口为1-16。在交换机上配置了IMP功能以后,交换机会检查每个数据包的源IP地址和MAC,对于没有在交换机内记录的IP和MAC地址的计算机所发出的数据包都会被交换机所阻止,这也从根源上杜绝了ARP病毒的攻击。IMP功能也有效地防止了内部网络某些人出于某些目的擅自修改自己计算机的IP、MAC地址或者交换机端口号的行为。从而保障了网络的安全。注:在未启用IMP功能的交换机端口上所连接的计算机则不受以上规则的限制。端口安全:配置每个端口能够学习到的最大MAC地址数DGS

7、-3200-16:4#configmax_learning_addr1Command:configpmax_learning_addr1port_securityportsort_securityports1-81-8admin_stateadmin_stateenableenableSuccess.端口隔离:端口隔离允许进一步把VLAN分成更小的端口组从而帮助减少VLAN上的流量。语法configtraffic_segmentationforward_list[null

8、]描述configtraf

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。