1 00:00:00,830 --> 00:00:08,060 Tak więc skonfigurujmy i przetestujmy bezpieczeństwo portów w tym przykładzie. Muszę się upewnić, że trzy działające Iowas w Jinnah 2 00:00:08,060 --> 00:00:13,840 odnoszą się do tego przełącznika SAO w topologii, a następnie przejdę do routera Cisco Iowas. 3 00:00:14,000 --> 00:00:22,070 Jest to obraz routera 37 25, który używam jako komputery PC w topologii, więc Router jeden będzie działał na komputerze 4 00:00:22,430 --> 00:00:29,960 PC, a router dwa będzie działał jako komputer PC, który będzie konfigurował adresy MAC na routerach, a następnie zmieniał 5 00:00:29,960 --> 00:00:32,970 je, aby udowodnić, że bezpieczeństwo portów działa. 6 00:00:33,160 --> 00:00:40,310 Adresy MAC z kodem dostawcy 0 0 do 3:33 należą do Cisco Systems. 7 00:00:40,540 --> 00:00:47,760 Więc użyjemy tego zakresu adresów MAC, abyśmy mogli zobaczyć wyniki i dlaczego szok i Krait łatwo 8 00:00:47,770 --> 00:00:50,350 odczytują adresy MAC w laboratorium. 9 00:00:50,920 --> 00:00:53,890 Przełącznik Rawdona został uruchomiony bez konfiguracji wykonanej 10 00:00:57,300 --> 00:01:00,330 przez użytkownika bez zmian konfiguracji na tych urządzeniach. 11 00:01:01,440 --> 00:01:09,250 Zacznijmy od nazwania tego urządzenia, które jeden z prętów jednego już skonfigurował i mówi router na 12 00:01:09,580 --> 00:01:16,360 podstawie domyślnej konfiguracji w G i ma trzy, ale przełącznik nie ma konfiguracji. 13 00:01:16,360 --> 00:01:23,230 W tej chwili, jeśli pokażemy najlepsze zabezpieczenia portów, zauważysz, że nie ma wyjścia. 14 00:01:23,310 --> 00:01:29,560 Ponieważ zabezpieczenia portów nie są obecnie włączone, wyświetla tabelę adresów MAC. 15 00:01:31,280 --> 00:01:34,210 Pokazuje, że nie uzyskano żadnych adresów MAC. 16 00:01:34,730 --> 00:01:50,640 Raczej jeden skonfigurujmy najpierw Ethana to 0 0 z adresem MAC 0 0 T-3 3 3 0 0 POTRÓJ 0 0 1 i 0 nie zamknij ten 17 00:01:50,640 --> 00:02:02,180 port zrobi coś podobnego na trasie, do której właśnie robimy to dwa zamiast 1 i Bez zamknięcia do portu 18 00:02:02,180 --> 00:02:10,610 pokazuje tabela adresów MAC pokazuje nam, że przełącznik poznał oba te adresy MAC. 19 00:02:10,770 --> 00:02:17,010 Więc Rotto jeden jest dostępny na gigabitie 00 router 2 jest dostępny na gigabit. 20 00:02:17,010 --> 00:02:20,880 0 1 oba adresy zostały połączone dynamicznie. 21 00:02:20,880 --> 00:02:23,970 Innymi słowy, nie skonfigurowaliśmy statycznie tych adresów MAC. 22 00:02:24,090 --> 00:02:27,260 Zostały one dynamicznie nauczone przez przełącznik. 23 00:02:28,820 --> 00:02:33,180 Tak więc bezpieczeństwo portu nadal pokazuje nam, że zabezpieczenia portu nie zostały włączone. 24 00:02:33,180 --> 00:02:38,230 Nie mamy wyjścia, więc przejście na Gigabit ma wartość 00. 25 00:02:38,280 --> 00:02:41,810 Spróbujmy włączyć zabezpieczenia portów. 26 00:02:41,850 --> 00:02:43,430 Zauważ, że polecenie zostało odrzucone. 27 00:02:43,500 --> 00:02:49,050 A to dlatego, że używamy dynamicznego protokołu trunkingowego lub DTP na tym porcie. 28 00:02:49,080 --> 00:02:55,550 Nie skonfigurowaliśmy statycznie tego portu jako portu dostępu lub portu portu. 29 00:02:55,690 --> 00:03:03,710 Przejdźmy więc od góry do trybu portowego i ponownie włączymy ochronę portu. 30 00:03:04,120 --> 00:03:15,730 Polecenie jest teraz akceptowane, więc pokaż zabezpieczenie portu pokazuje nam, że port jest gigabitowy do 0 0 Maksymalne 31 00:03:15,730 --> 00:03:24,280 bezpieczne adresy dozwolone w porcie to domyślnie tylko maksymalnie jeden adres MAC dozwolony 32 00:03:24,280 --> 00:03:26,960 na porcie bezpieczeństwa portu. 33 00:03:27,010 --> 00:03:31,420 Jak wiele adresów MAC jest obecnie uczonych na jego temat. 34 00:03:31,490 --> 00:03:35,020 Liczba naruszeń bezpieczeństwa. 35 00:03:35,090 --> 00:03:36,130 Zero. 36 00:03:36,770 --> 00:03:41,830 I jakie działania bezpieczeństwa zostaną podjęte, jeśli dojdzie do naruszenia. 37 00:03:42,080 --> 00:03:43,970 Port zostanie zamknięty. 38 00:03:44,030 --> 00:03:45,680 Innymi słowy, zostanie wyłączone. 39 00:03:45,680 --> 00:03:50,800 Przyjrzymy się niektórym innym opcjom za chwilę, ale zobaczmy, co się stanie. 40 00:03:52,660 --> 00:03:54,520 Pokaż zabezpieczenia portu. 41 00:03:54,520 --> 00:03:55,600 Spójrzmy na niektóre opcje. 42 00:03:55,600 --> 00:03:56,140 Adres, 43 00:03:59,110 --> 00:04:06,470 więc ma bezpieczną tablicę adresów MAC na wille jeden ten adres MAC został pożyczony. 44 00:04:06,650 --> 00:04:08,910 Typ jest bezpieczny dynamicznie. 45 00:04:09,080 --> 00:04:12,570 Dynamicznie dowiadywaliśmy się o adresie. 46 00:04:12,780 --> 00:04:22,230 Port wynosi 0 0, pozostały wiek to łącznik, który pozwala określić, jak długo zapamiętany adres MAC zostanie 47 00:04:22,670 --> 00:04:26,420 zapamiętany, zanim zostanie przeterminowany na porcie. 48 00:04:26,490 --> 00:04:32,370 Zauważ, że ten przykład nie ogranicza tego portu do określonych adresów MAC. 49 00:04:32,400 --> 00:04:35,880 Ogranicza port do jednego adresu MAC. 50 00:04:36,030 --> 00:04:38,230 Nie skonfigurowaliśmy statycznie portu. 51 00:04:38,510 --> 00:04:45,680 Tak więc interfejs show show gigabit 00 pokazuje nam, że mamy włączone bezpieczeństwo portów i to wszystko, co zrobiliśmy. 52 00:04:45,750 --> 00:04:51,660 Nie ustawiliśmy statycznie adresu MAC, ale jeśli zmienimy adres MAC na 53 00:04:51,900 --> 00:04:58,170 porcie, powiedzmy trzy, zobaczmy, co stanie się wkrótce po pojawieniu się portu. 54 00:04:58,230 --> 00:05:05,290 Otrzymujemy komunikat o błędzie wyłączający komunikat o błędzie naruszenia portu wykryty na gigabit jest 0 0 0. 55 00:05:05,340 --> 00:05:12,630 Port jest teraz przełączany w stan wyłączony, w wyniku którego doszło do naruszenia bezpieczeństwa, spowodowanego 56 00:05:13,350 --> 00:05:21,400 przez zawiadomienie o adresie MAC kończące się trzema portami na porcie gigabit 0 00, a protokół linii spadł. 57 00:05:21,440 --> 00:05:23,070 Pokaż interfejs. 58 00:05:23,210 --> 00:05:24,710 Gigabit 0 0 59 00:05:28,560 --> 00:05:32,370 jest chemo i pokazuje nam, że port jest wyłączony. 60 00:05:32,520 --> 00:05:37,650 Powodem tego jest nieredukowalna możliwość wyłączenia portu, gdy port został 61 00:05:40,670 --> 00:05:49,280 wyłączony przez router, a dajmy mu adres IP, który nie będzie mógł przesyłać ruchu do tego urządzenia. 62 00:05:51,420 --> 00:05:58,540 Sarada do działania jako PTT, ponieważ port jest wyłączony. 63 00:05:59,970 --> 00:06:02,370 Pokaż zabezpieczenia portu. 64 00:06:05,370 --> 00:06:08,280 Pamiętaj, że nie jest to stan portu. 65 00:06:08,340 --> 00:06:11,740 Jest to czynność podejmowana w przypadku naruszenia zasad. 66 00:06:11,780 --> 00:06:18,660 Tak więc interfejs interfejsu portu gigabitowego na 0 0 pokazuje nam, że zabezpieczenia portu są włączone w porcie. 67 00:06:18,710 --> 00:06:20,910 Status jest bezpieczny. 68 00:06:20,910 --> 00:06:24,630 Zamknięcie trybu naruszenia jest wyłączone. 69 00:06:24,660 --> 00:06:27,410 Jest to ostatni adres MAC widziany na porcie. 70 00:06:27,630 --> 00:06:33,750 Tylko jeden adres MAC pozwolił, by liczba naruszeń wynosiła jeden. 71 00:06:33,860 --> 00:06:40,040 A to dlatego, że adres MAC, który jest dozwolony w tym porcie, nie jest tutaj pokazany, ponieważ port 72 00:06:40,040 --> 00:06:40,760 się zepsuł. 73 00:06:40,760 --> 00:06:48,030 Będę przewijać w górę, aby pokazać, że dane wyjściowe były adresem MAC, a my zmieniliśmy adres MAC, 74 00:06:48,960 --> 00:06:53,410 więc kończąc na potrójnym 0 1 jest dozwolonym adresem MAC. 75 00:06:53,800 --> 00:07:01,170 Ale jest to ostatni adres MAC, który został zaobserwowany, który spowodował naruszenie. 76 00:07:01,210 --> 00:07:05,460 Zmieńmy więc adres MAC z powrotem na jeden. 77 00:07:05,640 --> 00:07:11,750 A po stronie idziesz do portu i wyłączasz go. 78 00:07:13,240 --> 00:07:22,400 A potem poczekaj, aż to zejdzie, a potem nie zamkniesz portu. 79 00:07:22,470 --> 00:07:30,840 Możesz zobaczyć, że bezpieczeństwo portu pokazuje przed pojawieniem się Precentor, że portierzy pojawiają się na schemacie adresów MAC 80 00:07:30,920 --> 00:07:35,020 jeden w momencie, gdy nie ma adresu MAC. 81 00:07:35,070 --> 00:07:38,060 Zróbmy ping do 82 00:07:42,890 --> 00:07:49,780 Rhondy, jak widać teraz, teraz dowiedziałem się o adresie MAC. 83 00:07:49,820 --> 00:07:51,310 Teraz pingi się powiodły. 84 00:07:52,370 --> 00:07:52,560 Pewnie. 85 00:07:52,620 --> 00:07:57,640 Zabezpieczenia portów pokazują nam, że maksymalny adres MAC jest taki sam, jak jeden aktualny adres jeden. 86 00:07:57,740 --> 00:07:59,090 Tak się nauczyłem. 87 00:07:59,420 --> 00:08:05,190 Spójrzmy teraz na interfejs ponownie 0 0 w tej chwili nie ma naruszenia. 88 00:08:05,300 --> 00:08:07,880 Status portu jest zabezpieczony, 89 00:08:10,740 --> 00:08:13,500 a tryb naruszania jest wyłączony. 90 00:08:13,620 --> 00:08:16,920 Ale obecnie port jest przewijany z powrotem 91 00:08:20,970 --> 00:08:26,950 do góry wcześniej zauważył, że został bezpiecznie zamknięty na podstawie trybu naruszenia zamknięcia. 92 00:08:27,060 --> 00:08:33,010 Ale teraz jest zabezpieczony, ponieważ wykrywany jest poprawny adres MAC, który jest adresem MAC. 93 00:08:33,030 --> 00:08:39,220 Zauważmy tutaj, że pierwszy otrzymany adres MAC został dodany do listy dozwolonych adresów MAC. 94 00:08:39,270 --> 00:08:41,100 To było dynamicznie nauczone. 95 00:08:41,490 --> 00:08:45,130 Musisz więc upewnić się, że właściwy adres MAC jest odbierany na porcie. 96 00:08:45,510 --> 00:08:48,220 Jeśli zrestartujesz przełącznik, informacja zostanie utracona. 97 00:08:48,450 --> 00:08:52,500 Zatem pierwszy host podłączony do tego portu będzie dozwolony. 98 00:08:52,650 --> 00:08:54,670 A to może nie być to, czego chcesz. 99 00:08:54,690 --> 00:09:01,080 Możesz wyraźnie zezwalać tylko na niektóre adresy MAC powiązane z niektórymi komputerami. 100 00:09:01,200 --> 00:09:02,440 Więc spójrzmy na to.