Защита на редовни помощта на мрежи, блог мрежа специалист

стандарт за защита означава мрежи

контрол буря (излъчва подтискане)

Технологията позволява да се инсталира границата на натоварване Излъчване на портът на превключвателя. Ако мрежата нарушител или някъде счупен мрежова карта и започва да атакува мрежата, винаги е възможно да се ограничи. Пример.

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # буря-контрол на нивото на излъчване 70
Switch.1028-2 (довереник-ако) # капан буря-контролна дейност

Broadcast Задайте нивото от 70% (абсолютна стойност може да се настрои в бита в секунда или пакети в секунда) и точка за изпращане на стълби. Или тази опция.

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # буря-контрол на нивото на излъчване 90
Switch.1028-2 (довереник-ако) # буря-контролна дейност изключване

Зададохме максималното ниво на 90% Broadcast и затваряне на пристанището в пресечната точка на дадена стойност.

списък за контрол на достъпа (ACL)

Тази технология позволява да се превключва трето ниво да се прави разлика достъп до подмрежа или подмрежи и конфигуриране на превключвателите на второто ниво на достъп чрез SSH или Telnet управление. Пример за определяне на управлението на мрежовия си администратор на.

Switch.1028-2 (довереник) # достъп списъка 10 разрешително 10.100.0.0 0.0.255.255
Switch.1028-2 (конфигурационния) #line vty 0 4
Switch.1028-2 (довереник-лайн) # достъп клас 10 в

От vty терминал показва, че на входа на терминала може да бъде свързан само от мрежата 10.100.0.0/16. По този начин, не защото е администратор на мрежата на вашия Switch вход ще бъде невъзможно. Това ще ви предпази от неоторизиран достъп до оборудването на други потребители в мрежата.

Бъдете внимателни със списъци за контрол на достъпа. В моята практика, аз съм виждал не е напълно разработени алгоритми са били принудени да се рестартира дистанционно оборудване или дори да се хвърлят в стандартната конфигурация.

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) #switchport порт сигурност Mac-адрес H.H.H

Switch.1028-2 (довереник-ако) #switchport максимална порт сигурност 1
Switch.1028-2 (довереник-ако) #switchport нарушение порт сигурност ограничава
Switch.1028-2 (довереник-ако) #switchport порт-охрана за времето на стареене 1
Switch.1028-2 (довереник-ако) #switchport порт сигурност тип стареене неактивност

След това задайте действителното време, в което информацията за източника остарява и можете да се свържете друго устройство, без да нарушава правилата. Ние ценим е 1 минута.

Е, последното екип посочва, във всеки случай остаряла информация за източника. В този случай, ако той не е бил активен. Ако искаме да се направи на всяка минута актуална информация за източника, независимо от неговата дейност, е необходимо да се използва стойността на абсолюта. Например,

Switch.1028-2 (довереник-ако) #switchport тип стареене порт сигурност абсолютна

Технология за да ви предпази от създаването на логически пръстени в мрежата си. За неговото активиране е необходимо, за да включите протокола превключвател STP. При определяне на корен мрежа е известно, изпратени пакети BPDU услуги. Ако Рут който вече е определен, тогава какво е да се предотврати за възстановяване на топологията на мрежата, за да се включи друг устройството с най-нисък приоритет? Ако го направите, тогава мрежата ще започне да се променя и като корен може да бъде много слаба парче желязо, което просто няма да дръпнете мрежа и мрежата ще се срине. За да предотвратите това, можете, ако достигнете пристанищата bpduguard ключове за достъп. И така

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # обхваща дърво bpduguard позволи

След свързване към порта на устройството, който изпраща BPDU, този порт е блокиран, така оставяйки непроменена мрежова топология.

Но ако сте сигурни, че пристанището не се свързва с тези устройства, той може да поръчате директно препращане на пакети без изучаване топология. В този случай, самото устройство ще ви предупреди за възможните последствия от тези действия. Той е такъв екип.

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) # обхваща дърво portfast

Защита на опорни връзки

1. Затворете административните неизползваните портове

2. Изключването autonegotiation багажника (багажника) портове на съединение

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (конфигурационния-ако) #switchport nonegotiate

Ръчно или (статично) Режим на настройка в пристанищата за достъп

Switch.1028-2 (довереник-ако) достъп режим #switchport

3. Присвояване неизползван мрежов порт.

Switch.1028-2 (конфигурационния) #int fastEthernet 0/46
Switch.1028-2 (довереник-ако) #switchport VLAN достъп 4094

4. Включване VTP прозрачен режим на ключа

Switch.1028-2 (конфигурационния) режим #vtp прозрачен

5. Конфигуриране парола VTP

Switch.1028-2 (довереник) #vtp парола ПАРОЛА

6. Customize технология трафик клипинг технология VTP