1 00:00:00,830 --> 00:00:08,060 Nous allons donc configurer et tester la sécurité des ports dans cet exemple. Les trois Iowas en cours d'exécution 2 00:00:08,060 --> 00:00:13,840 de Jinnah se rapportent au commutateur SAO de la topologie, puis le routeur Cisco Iowas. 3 00:00:14,000 --> 00:00:22,070 Il s’agit d’une image de routeur que j’utilise comme ordinateurs dans la topologie. Le routeur 1 sera donc le PC 1 4 00:00:22,430 --> 00:00:29,960 et le routeur 2 agira en tant que PC 2 configurera les adresses MAC des routeurs puis les modifiera pour 5 00:00:29,960 --> 00:00:32,970 prouver que la sécurité du port fonctionne. 6 00:00:33,160 --> 00:00:40,310 Les adresses MAC avec le code de fournisseur 0 0 à 3:33 appartiennent à Cisco Systems. 7 00:00:40,540 --> 00:00:47,760 Nous allons donc utiliser cette plage d'adresses MAC pour pouvoir voir la sortie et comprendre pourquoi shock et Krait facilitent 8 00:00:47,770 --> 00:00:50,350 la lecture des adresses MAC en laboratoire. 9 00:00:50,920 --> 00:00:53,890 Le commutateur Rawdon a démarré sans 10 00:00:57,300 --> 00:01:00,330 configuration, ni modification de configuration sur ces périphériques. 11 00:01:01,440 --> 00:01:09,250 Commençons par nommer ce périphérique pour lequel une tige sur une a déjà été configurée et indiquer au routeur qu'il est basé 12 00:01:09,580 --> 00:01:16,360 sur la configuration par défaut de G et en avoir trois, mais le commutateur n'a pas de configuration. 13 00:01:16,360 --> 00:01:23,230 Donc, pour le moment, si nous montrons la sécurité des ports, vous remarquerez qu’il n’ya pas de sortie. 14 00:01:23,310 --> 00:01:29,560 Comme la sécurité du port n’est pas activée actuellement, une table d’adresses MAC est affichée. 15 00:01:31,280 --> 00:01:34,210 Indique qu'aucune adresse MAC n'a été apprise. 16 00:01:34,730 --> 00:01:50,640 Plutôt un, configurons d’abord Ethan c’est 0 0 avec l’adresse MAC 0 0 T-3 3 3 0 0 TRIPLE 0 0 1 et 0 no shut ce port fera quelque chose 17 00:01:50,640 --> 00:02:02,180 de similaire sur la route à laquelle il suffit de faire ceci deux plutôt que 1 et No shut au tableau show 18 00:02:02,180 --> 00:02:10,610 MAC Address du port nous montre que le commutateur a appris ces deux adresses MAC. 19 00:02:10,770 --> 00:02:17,010 Donc, Rotto one est disponible sur gigabit 00 Le routeur 2 est disponible sur gigabit. 20 00:02:17,010 --> 00:02:20,880 0 1 les deux adresses étaient liées dynamiquement. 21 00:02:20,880 --> 00:02:23,970 En d'autres termes, nous n'avons pas configuré ces adresses MAC de manière statique. 22 00:02:24,090 --> 00:02:27,260 Ils ont été appris dynamiquement par le commutateur. 23 00:02:28,820 --> 00:02:33,180 Donc, la sécurité des ports nous montre toujours que la sécurité des ports n’a pas été activée. 24 00:02:33,180 --> 00:02:38,230 Nous n'avons pas de sortie, nous allons donc passer à 00 pour Gigabit. 25 00:02:38,280 --> 00:02:41,810 Essayons d'activer la sécurité du port. 26 00:02:41,850 --> 00:02:43,430 Notez que la commande est rejetée. 27 00:02:43,500 --> 00:02:49,050 Et c’est parce que nous utilisons un protocole de jonction dynamique ou DTP sur ce port. 28 00:02:49,080 --> 00:02:55,550 Nous n'avons pas configuré ce port de manière statique en tant que port d'accès ou en tant que port de ligne réseau. 29 00:02:55,690 --> 00:03:03,710 Passons donc en haut de l’accès en mode port et activerons à nouveau la sécurité des ports. 30 00:03:04,120 --> 00:03:15,730 La commande est maintenant acceptée. Par conséquent, show port security nous indique que le port est gigabit à 0. 0 adresses 31 00:03:15,730 --> 00:03:24,280 sécurisées maximales autorisées sur le port est une par défaut, un seul maximum d'adresses MAC autorisées 32 00:03:24,280 --> 00:03:26,960 sur un port sécurisé. 33 00:03:27,010 --> 00:03:31,420 Combien d'adresses MAC ont actuellement été apprises sur le sien. 34 00:03:31,490 --> 00:03:35,020 Combien de violations de sécurité ont eu lieu. 35 00:03:35,090 --> 00:03:36,130 Zéro. 36 00:03:36,770 --> 00:03:41,830 Et quelles mesures de sécurité seront prises en cas de violation? 37 00:03:42,080 --> 00:03:43,970 Le port va être fermé. 38 00:03:44,030 --> 00:03:45,680 En d'autres termes, il sera désactivé. 39 00:03:45,680 --> 00:03:50,800 Nous allons examiner certaines des autres options dans un instant, mais voyons ce qui se passe. 40 00:03:52,660 --> 00:03:54,520 Afficher la sécurité du port. 41 00:03:54,520 --> 00:03:55,600 Regardons quelques options. 42 00:03:55,600 --> 00:03:56,140 Address 43 00:03:59,110 --> 00:04:06,470 afin qu’il dispose de la table d’adresse MAC sécurisée sur villaine qui a été prêtée. 44 00:04:06,650 --> 00:04:08,910 Le type est sécurisé dynamique. 45 00:04:09,080 --> 00:04:12,570 Nous avons appris de manière dynamique sur l'adresse. 46 00:04:12,780 --> 00:04:22,230 Le port est égal à 0. L'âge restant est un trait d'union. Vous pouvez déterminer la durée pendant laquelle une adresse MAC apprise 47 00:04:22,670 --> 00:04:26,420 est mémorisée avant d'être périmée sur un port. 48 00:04:26,490 --> 00:04:32,370 Notez maintenant que cet exemple ne limite pas ce port à des adresses MAC spécifiques. 49 00:04:32,400 --> 00:04:35,880 Cela limite le port à une adresse MAC. 50 00:04:36,030 --> 00:04:38,230 Nous n'avons pas configuré le port de manière statique. 51 00:04:38,510 --> 00:04:45,680 Donc, show run interface gigabit 00 nous montre que nous avons activé la sécurité des ports et c’est tout ce que nous avons fait. 52 00:04:45,750 --> 00:04:51,660 Nous n'avons pas configuré de manière statique une adresse MAC, mais si nous modifions l'adresse 53 00:04:51,900 --> 00:04:58,170 MAC sur le port, disons trois, voyons ce qui se passera dès que le port apparaîtra. 54 00:04:58,230 --> 00:05:05,290 Une erreur de désactivation de la sécurité du port de messagerie détectée sur un gigabit est détectée sur 0 0 0. 55 00:05:05,340 --> 00:05:12,630 Le port est à présent dans un état désactivé. La violation de la sécurité est survenue à cause de 56 00:05:13,350 --> 00:05:21,400 cet avis d'adresse MAC se terminant par trois sur le port gigabit 0 00. Le protocole de ligne est tombé en panne. 57 00:05:21,440 --> 00:05:23,070 Alors montrez l'interface. 58 00:05:23,210 --> 00:05:24,710 Gigabit 0 0 il 59 00:05:28,560 --> 00:05:32,370 y a la chimio et nous montre que le port est en panne. 60 00:05:32,520 --> 00:05:37,650 Et la raison en est irréductible. Désactiver le port car un port 61 00:05:40,670 --> 00:05:49,280 désactivé est tombé en panne de ce routeur et donnons-lui une adresse IP ne pouvant pas envoyer de trafic sur ce périphérique 62 00:05:51,420 --> 00:05:58,540 Sarada à agir en tant que PTT car le port est en panne. 63 00:05:59,970 --> 00:06:02,370 Afficher la sécurité du port. 64 00:06:05,370 --> 00:06:08,280 S'il vous plaît noter que ce n'est pas le statut du port. 65 00:06:08,340 --> 00:06:11,740 C'est l'action qui est prise quand il y a une violation. 66 00:06:11,780 --> 00:06:18,660 Donc, l'interface de sécurité du port en gigabits à 0 0 nous indique que la sécurité du port est activée dans le port. 67 00:06:18,710 --> 00:06:20,910 Le statut est sécurisé. 68 00:06:20,910 --> 00:06:24,630 Arrêtez le mode de violation est arrêté. 69 00:06:24,660 --> 00:06:27,410 Ceci est la dernière adresse MAC qui a été vue sur le port. 70 00:06:27,630 --> 00:06:33,750 Une seule adresse MAC autorisée, le nombre de violations est égal à un. 71 00:06:33,860 --> 00:06:40,040 Et c’est parce que l’adresse MAC autorisée dans ce port n’est pas indiquée ici car le port est tombé 72 00:06:40,040 --> 00:06:40,760 en panne. 73 00:06:40,760 --> 00:06:48,030 Je vais simplement faire défiler vers le haut pour vous montrer que l'adresse de sortie est l'adresse MAC et que nous avons modifié l'adresse MAC 74 00:06:48,960 --> 00:06:53,410 de sorte que se terminer par triple 0 1 correspond à l'adresse MAC autorisée. 75 00:06:53,800 --> 00:07:01,170 Mais c’est la dernière adresse MAC vue qui a provoqué une violation. 76 00:07:01,210 --> 00:07:05,460 Modifions donc l'adresse MAC en une seule. 77 00:07:05,640 --> 00:07:11,750 Et sur le côté, allez au port et fermez-le. 78 00:07:13,240 --> 00:07:22,400 Et ensuite, attendez que cela s’effondre, puis ne fermez pas le port d’affichage. 79 00:07:22,470 --> 00:07:30,840 Vous pouvez voir que cette sécurité du port est visible avant que Precentor ne remarque que les portiers arrivent, les partisans 80 00:07:30,920 --> 00:07:35,020 arrivent aux adresses MAC schématiques une à l’heure actuelle. 81 00:07:35,070 --> 00:07:38,060 Faisons un ping à Rhonda, 82 00:07:42,890 --> 00:07:49,780 comme vous pouvez le voir, une adresse MAC a maintenant été apprise. 83 00:07:49,820 --> 00:07:51,310 Alors maintenant, les pings réussissent. 84 00:07:52,370 --> 00:07:52,560 Sûr. 85 00:07:52,620 --> 00:07:57,640 La sécurité des ports nous montre que l’adresse MAC maximale correspond en grande partie à une adresse actuelle. 86 00:07:57,740 --> 00:07:59,090 Donc, un a été appris. 87 00:07:59,420 --> 00:08:05,190 Regardons à nouveau l'interface de son 0 0 au moment où il n'y a pas de violation. 88 00:08:05,300 --> 00:08:07,880 Le statut du port est sécurisé, le 89 00:08:10,740 --> 00:08:13,500 mode de violation consiste à fermer le port. 90 00:08:13,620 --> 00:08:16,920 Mais actuellement, le port est en train de défiler vers 91 00:08:20,970 --> 00:08:26,950 le haut, jusqu'à ce que vous remarquiez qu'il s'agissait d'un arrêt sécurisé basé sur le mode de violation de l'arrêt. 92 00:08:27,060 --> 00:08:33,010 Mais maintenant, il est sécurisé, car l’adresse MAC correcte est en cours d’apprentissage, à savoir l’adresse MAC. 93 00:08:33,030 --> 00:08:39,220 Remarquez donc que la première adresse MAC reçue a été ajoutée à la liste des adresses MAC autorisées. 94 00:08:39,270 --> 00:08:41,100 C'était appris dynamiquement. 95 00:08:41,490 --> 00:08:45,130 Vous devez donc vous assurer que la bonne adresse MAC est reçue sur le port. 96 00:08:45,510 --> 00:08:48,220 Si vous redémarrez le commutateur, ces informations sont perdues. 97 00:08:48,450 --> 00:08:52,500 Ainsi, le premier hôte connecté à ce port sera autorisé. 98 00:08:52,650 --> 00:08:54,670 Et ce n'est peut-être pas ce que vous voulez. 99 00:08:54,690 --> 00:09:01,080 Vous souhaiterez peut-être explicitement autoriser uniquement certaines adresses MAC associées à certaines machines. 100 00:09:01,200 --> 00:09:02,440 Alors regardons ça.