交换路由CCIE之路——常见园区网攻击.doc

交换路由CCIE之路——常见园区网攻击.doc

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
交换路由CCIE之路——常见园区网攻击

实验 常见园区网攻击解决 一实验拓扑 二实验要求 针对各种攻击做出防御 三实验内容 针对MAC溢出的防御 原理:MAC地址溢出,可能是由于人为原因制造大量MAC,使相应局域网MAC地址溢出,其它用户MAC将无法记录进MAC.因此可以采取限制端口MAC最大数及MAC地址绑定技术来防止恶意攻击。 在没进行防御配置时,各端口相关MAC 10 0010.7b81.6f56 DYNAMIC Fa0/1 20 0010.7b7f.a91c DYNAMIC Fa0/3 20 0050.736b.b104 DYNAMIC Fa0/2 安全解决方案配置 端口安全 r1(config)#int f0/2 r1(config-if)#switchport port-security //端口下开启端口安全 r1(config-if)#switchport port-security maximum 1 //限制通过的最大MAC数 r1(config-if)#switchport port-security mac-address sticky //粘贴学到的MAC,这样就不要手工绑定MAC 配置完成后改变PC1的MAC 地址,端口会变为errdisable状态,因为端口安全对非法客户的默认处理是Shutdown. r7(config)#int e0 r7(config-if)#mac-address 0001.0001.0001 01:53:43: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/2, putting Fa0/2 in err-disable state r1(config-if)# 01:53:43: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0001.0001.0001 on port FastEthernet0/2. r1#show ip int br Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES unset administratively down down FastEthernet0/2 unassigned YES unset down down 若对非法数据包动作为保护状态,则接口不会断开,只是数据包将被丢弃。 r1(config-if)#switchport port-security violation protect r7#ping 172.16.20.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.3, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) r1#show ip int br Interface IP-Address OK? Method Status Protocol FastEthernet0/2 unassigned YES unset up up 将PC1的地址恢复为原来地址 r7(config)#default int e0 Building configuration... Interface Ethernet0 set to default configuration r7(config)#Translating r7 int e0 r7(config-if)#ip add 172.16.20.2 255.255.255.0 r7(config-if)#no shu r7(config-if)#end 数据包合法,故能传输 r7#ping 172.16.20.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.3, timeout is 2 seconds: !!!!! Success rate i

文档评论(0)

jgx3536 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:6111134150000003

1亿VIP精品文档

相关文档