Hálózatok védelme rendszeres eszközökkel, hálózati szakértő naplója
A hálózatok rendszeres védelme
Storm control (broadcast supression)
A technológia lehetővé teszi a Broadcast maximális terhelését a kapcsoló porton. Ha egy betolakodó megjelent a hálózaton, vagy ha a hálózati kártya lebomlott, és elkezd támadni a hálózatot, akkor mindig korlátozott lehet. Egy példa.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # viharvezérelt 70-es szint
Switch.1028-2 (config-if) # vihar-vezérlő akció csapda
Állítsa be a közvetítési szintet 70% -ra (beállíthatja az abszolút értéket másodpercenként vagy másodpercenként) és adja meg a küldési csapdákat. Vagy ezt az opciót.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # viharvezérlés 90-es szintje
Switch.1028-2 (config-if) # vihar-vezérlés akció leállítása
Állítsa be a Broadcast maximális szintjét 90% -ra, és zárja be a portot ezen érték kereszteződésében.
Beléptetési lista (acl)
Ez a technológia lehetővé teszi a harmadik szint kapcsolóinak, hogy meghatározzák az alhálózatokhoz vagy alhálózatokhoz való hozzáférést, valamint konfigurálják az ssh vagy a telnet második szintű kezelői hozzáférésének kapcsolóit. Példa a felügyeleti beállítások beállítására az adminisztrációs hálózaton.
Switch.1028-2 (config) # hozzáférési lista 10 engedély 10.100.0.0 0.0.255.255
Switch.1028-2 (config) #line vty 0 4
Switch.1028-2 (config-line) # hozzáférési osztály 10 in
A vty terminálról azt jelezzük, hogy a terminál bemenetére csak a 10.100.0.0/16 hálózatról lehet csatlakozni. Így nem az admin hálózatról a kapcsoló bemenetére lehetetlen. Ez megvédi Önt attól, hogy megpróbálja az egyéb hálózati felhasználók jogosulatlan hozzáférését.
Legyen óvatos a beléptetési listákkal kapcsolatban. Az én gyakorlatomban láttam, hogy nem teljesen átgondolt algoritmusok kényszerítették újraindítani a távoli berendezéseket, vagy akár visszaállítani az alapértelmezett konfigurációt.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport port-security mac-cím H.H.H
Switch.1028-2 (config-if) #switchport port-security maximum 1
Switch.1028-2 (config-if) #switchport port-biztonsági korlát
Switch.1028-2 (config-if) #switchport port-security öregedési idő 1
Switch.1028-2 (config-if) #switchport port-security öregedés típus inaktivitás
Ezután megadjuk a tényleges időt, amely alatt a forrásra vonatkozó információ elavult, és egy másik eszközt csatlakoztathat a szabály megsértése nélkül. Ez az érték 1 perc.
Nos, az utolsó parancs jelzi, hogy mely esetben a forrással kapcsolatos információ elavult. A mi esetünkben, ha inaktív volt. Ha azt szeretnénk, hogy a forrást tartalmazó információ minden perccel frissüljön, függetlenül annak tevékenységétől, akkor abszolút értéket kell használnunk. Például,
Switch.1028-2 (config-if) #switchport port-security öregedés típus abszolút
A technológia megvédi Önt abban, hogy logikai gyűrűket hozzon létre a hálózatban. Az aktiváláshoz engedélyeznie kell a kapcsoló stp protokollját. A hálózat gyökérének meghatározásakor, amint ismert, a bpdu szervizcsomagok kerülnek elküldésre. Ha a gyökér már definiált, mi akadályozza meg a hálózati topológia újraépítésével a legkisebb prioritással rendelkező másik eszközt? Ha ez megtörtént, akkor a hálózat elkezd újraépíteni, és a gyökér nagyon gyenge hardverdarab, ami egyszerűen nem húzza meg a hálózatot, és a hálózat összeomlik. Ez megakadályozható a bpduguard hozzáférési kapcsolók portjainak megadásával. Hát akkor.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # spanning-tree bpduguard engedélyezése
Miután megpróbált csatlakozni a bpdu által küldött eszközporthoz, ez a port blokkolva marad, így a hálózati topológia változatlan marad.
De ha biztosak vagyunk benne, hogy ezek az eszközök nem csatlakoznak a porthoz, akkor a csomagok azonnali továbbítását rendelheti anélkül, hogy tanulmányoznák a topológiát. Ebben az esetben maga a készülék figyelmezteti Önt az ilyen tevékenységek lehetséges következményeire. Ezt egy ilyen csapat végzi.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # spanning-tree portfast
A fővonali összeköttetések védelme
1. Zárja be a nem használt portokat
2. Kapcsolja ki a csomagtartó kapcsolódását a portokon
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport nonegotiate
vagy manuális (statikus) portkonfiguráció a hozzáférési módban
Switch.1028-2 (config-if) #switchport mód elérése
3. Port hozzárendelése egy nem használt hálózathoz.
Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport access vlan 4094
4. Átkapcsolt vtp bekapcsolása a kapcsolón
Switch.1028-2 (config) #vtp mód átlátszó
5. A vtp jelszó beállítása
Switch.1028-2 (config) #vtp jelszó PASSWORD
6. A vtp technológia használatával a vágási forgalom technológiájának beállítása