стандарт за защита означава мрежи
контрол буря (излъчва подтискане)
Технологията позволява да се инсталира границата на натоварване Излъчване на портът на превключвателя. Ако мрежата нарушител или някъде счупен мрежова карта и започва да атакува мрежата, винаги е възможно да се ограничи. Пример.
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # буря-контрол на нивото на излъчване 70
Switch.1028-2 (довереник-ако) # капан буря-контролна дейност
Broadcast Задайте нивото от 70% (абсолютна стойност може да се настрои в бита в секунда или пакети в секунда) и точка за изпращане на стълби. Или тази опция.
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # буря-контрол на нивото на излъчване 90
Switch.1028-2 (довереник-ако) # буря-контролна дейност изключване
Зададохме максималното ниво на 90% Broadcast и затваряне на пристанището в пресечната точка на дадена стойност.
списък за контрол на достъпа (ACL)
Тази технология позволява да се превключва трето ниво да се прави разлика достъп до подмрежа или подмрежи и конфигуриране на превключвателите на второто ниво на достъп чрез SSH или Telnet управление. Пример за определяне на управлението на мрежовия си администратор на.
Switch.1028-2 (довереник) # достъп списъка 10 разрешително 10.100.0.0 0.0.255.255
Switch.1028-2 (конфигурационния) #line vty 0 4
Switch.1028-2 (довереник-лайн) # достъп клас 10 в
От vty терминал показва, че на входа на терминала може да бъде свързан само от мрежата 10.100.0.0/16. По този начин, не защото е администратор на мрежата на вашия Switch вход ще бъде невъзможно. Това ще ви предпази от неоторизиран достъп до оборудването на други потребители в мрежата.
Бъдете внимателни със списъци за контрол на достъпа. В моята практика, аз съм виждал не е напълно разработени алгоритми са били принудени да се рестартира дистанционно оборудване или дори да се хвърлят в стандартната конфигурация.
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) #switchport порт сигурност Mac-адрес H.H.H
Switch.1028-2 (довереник-ако) #switchport максимална порт сигурност 1
Switch.1028-2 (довереник-ако) #switchport нарушение порт сигурност ограничава
Switch.1028-2 (довереник-ако) #switchport порт-охрана за времето на стареене 1
Switch.1028-2 (довереник-ако) #switchport порт сигурност тип стареене неактивност
След това задайте действителното време, в което информацията за източника остарява и можете да се свържете друго устройство, без да нарушава правилата. Ние ценим е 1 минута.
Е, последното екип посочва, във всеки случай остаряла информация за източника. В този случай, ако той не е бил активен. Ако искаме да се направи на всяка минута актуална информация за източника, независимо от неговата дейност, е необходимо да се използва стойността на абсолюта. Например,
Switch.1028-2 (довереник-ако) #switchport тип стареене порт сигурност абсолютна
Технология за да ви предпази от създаването на логически пръстени в мрежата си. За неговото активиране е необходимо, за да включите протокола превключвател STP. При определяне на корен мрежа е известно, изпратени пакети BPDU услуги. Ако Рут който вече е определен, тогава какво е да се предотврати за възстановяване на топологията на мрежата, за да се включи друг устройството с най-нисък приоритет? Ако го направите, тогава мрежата ще започне да се променя и като корен може да бъде много слаба парче желязо, което просто няма да дръпнете мрежа и мрежата ще се срине. За да предотвратите това, можете, ако достигнете пристанищата bpduguard ключове за достъп. И така
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # обхваща дърво bpduguard позволи
След свързване към порта на устройството, който изпраща BPDU, този порт е блокиран, така оставяйки непроменена мрежова топология.
Но ако сте сигурни, че пристанището не се свързва с тези устройства, той може да поръчате директно препращане на пакети без изучаване топология. В този случай, самото устройство ще ви предупреди за възможните последствия от тези действия. Той е такъв екип.
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # обхваща дърво portfast
Защита на опорни връзки
1. Затворете административните неизползваните портове
2. Изключването autonegotiation багажника (багажника) портове на съединение
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (конфигурационния-ако) #switchport nonegotiate
Ръчно или (статично) Режим на настройка в пристанищата за достъп
Switch.1028-2 (довереник-ако) достъп режим #switchport
3. Присвояване неизползван мрежов порт.
Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) #switchport VLAN достъп 4094
4. Включване VTP прозрачен режим на ключа
Switch.1028-2 (конфигурационния) режим #vtp прозрачен
5. Конфигуриране парола VTP
Switch.1028-2 (довереник) #vtp парола ПАРОЛА
6. Customize технология трафик клипинг технология VTP