WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

CCNP培训EI RS方向-园区网端口安全技术和VACL的配置实验演示

发布日期:2023-06-12 浏览次数:1723 来源:赵顺杰

CCNP培训EI RS方向-园区网端口安全技术和VACL的配置实验演示

WOLFLAB网络技术实验室1.jpg

图片1(58).png

WOLFLAB官方微信:17316362402,关注【WOLF-LAB】网络实验室,了解思科认证CCNP培训课程!

思科认证CCNP培训课程-SW1-SW3之间都为Trunk链路,SW1,SW2连接路由器的接口都为Access接口

R1: 192.168.1.1/24

R2: 192.168.1.2/24

R3: 192.168.1.3/24

R4: 192.168.1.4/24

Port-Security

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security //开启接口的端口安全

SW1#show port-security interface f0/1 //查看接口的端口安全情况

SW1#show port-security interface f0/1 address //查看接口上学习到的mac地址

触发端口安全的惩罚

R1(config)#interface f0/0

R1(config-if)#mac-address a.a.a

SW1的F0/1接口由于默认情况下开起了端口安全的接口最多学习到一个mac地址,如今由于R1更改了mac,导致超过了mac地址的限额,默认端口安全的惩罚方式是将接口置为异常不可用状态,需要手动翻动物理接口才能恢复

SW1(config)#errdisable recovery cause psecure-violation//开启由于端口安全导致接口不可用的自动恢复,默认300s

SW1(config)#errdisable recovery interval 30 //将自动恢复时间更改为30s

修改接口最大学习的mac地址数量

SW1(config)#switchport port-security maximum 3 //使得接口最多可学习3个mac地址

手工绑定MAC地址

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security mac-address b.b.b 手工绑定mac b.b.b在此接口上

SW1#show port-security interface f0/1 address //查看接口上学习到的mac地址

更改惩罚方式为protect

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security violation protect //更改惩罚方式为保护方式(偷偷过滤流量,不提醒)

R1(config)#interface F0/0

R1(config-if)#mac-address c.c.c

R1(config-if)#mac-address d.d.d //通过更改mac地址超出限额

R1#ping 192.168.1.2 //测试连通性

更改惩罚方式为restrict

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security violation //更改惩罚方式为保护方式(过滤流量,提醒,报log)

R1#ping 192.168.1.2 //测试连通性

更改老化时间或老化类型

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security aging type absolute //绝对老化,默认,老化时间自动计时,到时间则从表象删除

SW1(config-if)#switchport port-security aging type inactivity//相对老化,等流量停止开始计时,到时间则从表象删除

SW1(config-if)#switchport port-security aging time 1 //将老化时间更改为1分钟,默认0,与mac地址表的老化时间一致.

Sticky

SW1(config)#interface F0/1

SW1(config-if)#switchport port-security mac-address sticky //直接将自动学习到的mac地址作为命令行保存在接口底下

SW1#show run int f0/1

图片1(60).png

VACL:可以利用VACL解决相同VLAN或是指定VLAN的数据流量过滤

SW1(config)#ip access-list standard WOLF

SW1(config-std-nacl)#permit 192.168.1.1 //使用标准ACL匹配上所有R1的流量

SW1(config)#vlan access-map WOLF 10 //创建VACL,名为WOLF,进程10

SW1(config-access-map)#match ip address WOLF //匹配所写的WOLF的ACL

SW1(config-access-map)#action drop //执行丢弃操作

SW1(config)#vlan access-map WOLF 20 //放行其它所有流量

SW1(config)#vlan filter WOLF vlan-list all //针对于所有VLAN生效.

测试

R1#ping 192.168.1.2 

SW1(config)#mac access-list extended MACL

SW1(config-ext-macl)#permit host d.d.d any //匹配之前R1去往所有目的的流量

SW1(config)#vlan access-map WOLF 10 //创建VACL,名为WOLF,进程10

SW1(config-access-map)#match mac address MACL //匹配所写的MACL的MACL

SW1(config-access-map)#action drop //执行丢弃操作

SW1(config)#vlan access-map WOLF 20 //放行其它所有流量

SW1(config)#vlan filter WOLF vlan-list all //针对于所有VLAN生效.

测试

R1#ping 192.168.1.2

注意,在mac地址层面的VACL只能过滤掉ARP,如果已有mac地址的话,已知单播则无法过滤

 

思科认证CCNP培训课程-PVLAN见另一文档


https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

我们提供CCNA|CCNP|EI CCIE;HCIA|HCIP|HCIE Datacom|VMware等培训课程

返回目录
在线咨询