1 00:00:00,830 --> 00:00:08,060 Então, vamos configurar e testar a segurança da porta neste exemplo que eu tenho para as três versões do 2 00:00:08,060 --> 00:00:13,840 Jinnah relacionadas ao switch SAO na topologia e depois vou para o roteador Cisco Iowas. 3 00:00:14,000 --> 00:00:22,070 É uma imagem do roteador 37 25 que estou usando como os PCs na topologia para que o roteador um atue no 4 00:00:22,430 --> 00:00:29,960 PC um eo roteador dois funcione como o PC dois irá configurar os endereços MAC nos roteadores e depois alterá-los 5 00:00:29,960 --> 00:00:32,970 para provar que a segurança da porta funciona. 6 00:00:33,160 --> 00:00:40,310 Endereços MAC com código de fornecedor 0 0 a 3:33 pertencem à Cisco Systems. 7 00:00:40,540 --> 00:00:47,760 Portanto, usaremos esse intervalo de endereços MAC para podermos ver a saída e o motivo pelo qual o choque e o Krait 8 00:00:47,770 --> 00:00:50,350 são fáceis de ler endereços MAC no laboratório. 9 00:00:50,920 --> 00:00:53,890 O switch do Rawdon foi inicializado sem 10 00:00:57,300 --> 00:01:00,330 configurações feitas sem alterações de configuração nesses dispositivos. 11 00:01:01,440 --> 00:01:09,250 Vamos começar por nomear este dispositivo que uma haste de um já configurou e diz roteador para 12 00:01:09,580 --> 00:01:16,360 baseado na configuração padrão em G e tem três, mas o switch não tem configuração. 13 00:01:16,360 --> 00:01:23,230 Então, no momento, se nós mostrarmos a segurança do porto, você notará que não há saída. 14 00:01:23,310 --> 00:01:29,560 Porque a segurança da porta não está ativada no momento mostra uma tabela de endereços MAC. 15 00:01:31,280 --> 00:01:34,210 Mostra que nenhum endereço MAC foi aprendido. 16 00:01:34,730 --> 00:01:50,640 Em vez disso vamos configurar primeiro Ethan é 0 0 com endereço MAC 0 0 T-3 3 3 0 0 TRIPLE 0 0 1 e 0 não fechar essa porta 17 00:01:50,640 --> 00:02:02,180 vai fazer algo semelhante na rota para que apenas faça isso dois, em vez de 1 e não fechar para a tabela 18 00:02:02,180 --> 00:02:10,610 de endereços MAC de show de porta mostra que o switch aprendeu ambos os endereços MAC. 19 00:02:10,770 --> 00:02:17,010 Então Rotto um está disponível em gigabit 00 roteador 2 está disponível em gigabit. 20 00:02:17,010 --> 00:02:20,880 0 1 ambos os endereços foram ligados dinamicamente. 21 00:02:20,880 --> 00:02:23,970 Em outras palavras, não configuramos estaticamente esses endereços MAC. 22 00:02:24,090 --> 00:02:27,260 Eles foram dinamicamente aprendidos pelo interruptor. 23 00:02:28,820 --> 00:02:33,180 Portanto, a segurança da porta ainda nos mostra que a segurança da porta não foi ativada. 24 00:02:33,180 --> 00:02:38,230 Nós não temos saída, então ir para Gigabit é 00. 25 00:02:38,280 --> 00:02:41,810 Vamos tentar ativar a segurança da porta. 26 00:02:41,850 --> 00:02:43,430 Observe o comando é rejeitado. 27 00:02:43,500 --> 00:02:49,050 E isso porque estamos executando o protocolo de entroncamento dinâmico ou o DTP nessa porta. 28 00:02:49,080 --> 00:02:55,550 Não configuramos estaticamente essa porta como uma porta de acesso ou como uma porta de tronco. 29 00:02:55,690 --> 00:03:03,710 Então, vamos acessar o modo de porta de switch superior e ativaremos a segurança da porta novamente. 30 00:03:04,120 --> 00:03:15,730 O comando agora é aceito, então show port security nos mostra que a porta é gigabit a 0 0, o máximo de 31 00:03:15,730 --> 00:03:24,280 endereços seguros permitidos na porta é um por padrão, apenas um máximo de um endereço MAC 32 00:03:24,280 --> 00:03:26,960 permitido em uma porta de segurança. 33 00:03:27,010 --> 00:03:31,420 Quantos endereços MAC foram aprendidos atualmente em um deles. 34 00:03:31,490 --> 00:03:35,020 Quantas violações de segurança ocorreram. 35 00:03:35,090 --> 00:03:36,130 Zero. 36 00:03:36,770 --> 00:03:41,830 E qual ação de segurança será tomada se houver uma violação. 37 00:03:42,080 --> 00:03:43,970 A porta será desligada. 38 00:03:44,030 --> 00:03:45,680 Em outras palavras, será desativado. 39 00:03:45,680 --> 00:03:50,800 Nós vamos olhar para algumas das outras opções em um momento, mas vamos ver o que acontece. 40 00:03:52,660 --> 00:03:54,520 Mostrar segurança da porta. 41 00:03:54,520 --> 00:03:55,600 Vamos ver algumas opções. 42 00:03:55,600 --> 00:03:56,140 Endereçar 43 00:03:59,110 --> 00:04:06,470 para que ele tenha a tabela de Endereços MAC segura em um endereço MAC emprestado. 44 00:04:06,650 --> 00:04:08,910 O tipo é dinâmico seguro. 45 00:04:09,080 --> 00:04:12,570 Nós aprendemos dinamicamente sobre o endereço. 46 00:04:12,780 --> 00:04:22,230 A porta é 0 0 a idade restante é um hífen que você pode determinar quanto tempo um endereço MAC que é aprendido é 47 00:04:22,670 --> 00:04:26,420 lembrado antes que ele seja envelhecido em uma porta. 48 00:04:26,490 --> 00:04:32,370 Agora observe que este exemplo não está restringindo essa porta a endereços MAC específicos. 49 00:04:32,400 --> 00:04:35,880 Está limitando a porta a um endereço MAC. 50 00:04:36,030 --> 00:04:38,230 Nós não configuramos estaticamente a porta. 51 00:04:38,510 --> 00:04:45,680 Portanto, show run interface gigabit 00 nos mostra que ativamos a segurança de porta e foi tudo o que fizemos. 52 00:04:45,750 --> 00:04:51,660 Nós não configuramos estaticamente um endereço MAC, mas se alterarmos o endereço MAC na 53 00:04:51,900 --> 00:04:58,170 porta para, digamos, três, vamos ver o que acontece logo que a porta é ativada. 54 00:04:58,230 --> 00:05:05,290 Nós recebemos um erro de violação de segurança de porta de mensagem de desabilitação de erro detectado em gigabit é 0 0 0. 55 00:05:05,340 --> 00:05:12,630 A porta está agora sendo colocada em um estado desabilitado, a violação de segurança ocorreu causada por este 56 00:05:13,350 --> 00:05:21,400 aviso de endereço MAC terminando em três no gigabit 0 00 da porta, o protocolo de linha foi desativado. 57 00:05:21,440 --> 00:05:23,070 Então mostre interface. 58 00:05:23,210 --> 00:05:24,710 Gigabit 0 0 tem 59 00:05:28,560 --> 00:05:32,370 a quimio e nos mostra que a porta está abaixada. 60 00:05:32,520 --> 00:05:37,650 E a razão para isso é irreducible desativar a porta era uma porta 61 00:05:40,670 --> 00:05:49,280 desativada foi para baixo este roteador e vamos dar-lhe um endereço IP não será capaz de enviar tráfego para este dispositivo. 62 00:05:51,420 --> 00:05:58,540 Sarada a atuar como PTT porque o porto está inoperante. 63 00:05:59,970 --> 00:06:02,370 Mostrar segurança da porta. 64 00:06:05,370 --> 00:06:08,280 Por favor, note que este não é o status da porta. 65 00:06:08,340 --> 00:06:11,740 Esta é a ação que é tomada quando há uma violação. 66 00:06:11,780 --> 00:06:18,660 Portanto, a interface de segurança de porta gigabit para 0 0 nos mostra que a segurança da porta está ativada na porta. 67 00:06:18,710 --> 00:06:20,910 O status é seguro. 68 00:06:20,910 --> 00:06:24,630 Desligue o modo de violação está desligado. 69 00:06:24,660 --> 00:06:27,410 Este é o último endereço MAC que foi visto na porta. 70 00:06:27,630 --> 00:06:33,750 Apenas um endereço MAC permitiu que a contagem de violação fosse um. 71 00:06:33,860 --> 00:06:40,040 E isso é porque o endereço MAC que é permitido nessa porta não é mostrado aqui porque a porta 72 00:06:40,040 --> 00:06:40,760 foi desativada. 73 00:06:40,760 --> 00:06:48,030 Vou apenas rolar para cima para mostrar que a saída foi o endereço MAC e nós mudamos o endereço MAC, 74 00:06:48,960 --> 00:06:53,410 então terminar no triplo 0 1 é o endereço MAC que é permitido. 75 00:06:53,800 --> 00:07:01,170 Mas este é o último endereço MAC que foi visto que causou uma violação. 76 00:07:01,210 --> 00:07:05,460 Então vamos mudar o endereço MAC de volta para um. 77 00:07:05,640 --> 00:07:11,750 E do lado você vai para o porto e o fecha. 78 00:07:13,240 --> 00:07:22,400 E então espere que isso desapareça e então não feche a porta. 79 00:07:22,470 --> 00:07:30,840 Você pode ver isso mostrando a segurança da porta antes que o Precentor perceba que os portadores aparecem, e que os simpatizantes acessam endereços MAC 80 00:07:30,920 --> 00:07:35,020 esquemáticos, um no momento em que não precisam fazer o endereço MAC. 81 00:07:35,070 --> 00:07:38,060 Vamos fazer um ping para 82 00:07:42,890 --> 00:07:49,780 Rhonda, como você pode ver agora, agora é aprendido um endereço MAC. 83 00:07:49,820 --> 00:07:51,310 Então agora os pings são bem-sucedidos. 84 00:07:52,370 --> 00:07:52,560 Certo. 85 00:07:52,620 --> 00:07:57,640 A segurança da porta nos mostra que o endereço MAC máximo é um dos endereços atuais. 86 00:07:57,740 --> 00:07:59,090 Então, um foi aprendido. 87 00:07:59,420 --> 00:08:05,190 Vamos olhar novamente para a interface do seu 0 0 no momento em que não há violação. 88 00:08:05,300 --> 00:08:07,880 O status da porta é seguro até 89 00:08:10,740 --> 00:08:13,500 o modo de violação é fechar a porta. 90 00:08:13,620 --> 00:08:16,920 Mas atualmente a porta está rolando de volta para 91 00:08:20,970 --> 00:08:26,950 cima anteriormente notou que foi desligado com segurança baseado no modo de violação de desligamento. 92 00:08:27,060 --> 00:08:33,010 Mas agora está seguro porque o endereço MAC correto está sendo aprendido, que é o endereço MAC. 93 00:08:33,030 --> 00:08:39,220 Portanto, observe aqui que o primeiro endereço MAC que foi recebido foi adicionado à lista de endereços MAC permitidos. 94 00:08:39,270 --> 00:08:41,100 Foi dinamicamente aprendido. 95 00:08:41,490 --> 00:08:45,130 Então você teria que garantir que o endereço MAC correto seja recebido na porta. 96 00:08:45,510 --> 00:08:48,220 Se você reinicializar o switch, essas informações serão perdidas. 97 00:08:48,450 --> 00:08:52,500 Assim, o primeiro host conectado a essa porta será permitido. 98 00:08:52,650 --> 00:08:54,670 E isso pode não ser o que você quer. 99 00:08:54,690 --> 00:09:01,080 Você pode permitir explicitamente apenas determinados endereços MAC associados a determinadas máquinas. 100 00:09:01,200 --> 00:09:02,440 Então vamos dar uma olhada nisso.