1 00:00:00,930 --> 00:00:08,920 Im vorherigen Video konfigurieren wir die Port-Sicherheit unter Gigabit 00, indem wir den Port zu einem Zugangsport machen 2 00:00:08,920 --> 00:00:11,370 und dann die Port-Sicherheit aktivieren. 3 00:00:11,680 --> 00:00:14,890 Die MAC-Adresse wird dynamisch gelernt. 4 00:00:14,990 --> 00:00:25,000 Diese MAC-Adresse wurde also dynamisch an einem Port zu Gigabit 00 gelernt. Daher zeigt uns die Porte-Sicherheit von Shope, dass die 5 00:00:25,000 --> 00:00:28,000 Adresse für diesen Port zulässig ist. 6 00:00:28,150 --> 00:00:29,860 Ist diese MAC-Adresse? 7 00:00:29,860 --> 00:00:35,110 Ich habe es sanft erfahren und der Datenbank der erlaubten MAC-Adressen am 8 00:00:35,680 --> 00:00:37,860 Port hinzugefügt. Auf Gigabit 9 00:00:41,000 --> 00:00:43,650 00 ist nur eine MAC-Adresse zulässig. 10 00:00:43,750 --> 00:00:50,930 Die Genauigkeit des Max-Schemas ist also eine, wenn eine Verletzung auftritt. Die Sicherheitsmaßnahme besteht darin, den Port 11 00:00:50,930 --> 00:00:51,550 herunterzufahren. 12 00:00:52,680 --> 00:00:58,440 Lassen Sie uns nun MAC-Adressen statisch konfigurieren. Konfigurieren Sie also die Portsicherheit für Gigabit. 13 00:00:58,480 --> 00:01:02,920 0 1 aber mach es manuell. 14 00:01:03,150 --> 00:01:08,460 Also werde ich den Commotions Switch Port benutzen. 15 00:01:08,460 --> 00:01:11,560 Die Port-Sicherheit gibt ein Maximum an. 16 00:01:11,760 --> 00:01:13,840 Der Standardwert ist 1. 17 00:01:13,970 --> 00:01:15,390 Also werde ich hier eins sagen. 18 00:01:15,750 --> 00:01:23,960 Sie werden feststellen, dass die Ausgabe nicht angezeigt wird, da dies ein Standardbefehl für die Schnittstelle ist. 19 00:01:24,030 --> 00:01:34,640 Aber was wir jetzt tun, ist den Switch Port Port MAC-Adresse einzugeben, und ich werde explizit die zulässige 20 00:01:34,640 --> 00:01:36,460 MAC-Adresse angeben. 21 00:01:36,620 --> 00:01:43,230 Um nur den Punkt zu beweisen oder eine andere MAC-Adresse anzugeben, sagen wir drei. 22 00:01:43,390 --> 00:01:55,090 Jetzt ist also im Moment die MAC-Adresse dieses Routers als unser PC. 23 00:01:55,170 --> 00:02:02,550 Es ist also eine andere MAC-Adresse, die der PC immer noch pingen kann, da die Portsicherheit 24 00:02:02,550 --> 00:02:08,440 noch nicht explizit aktiviert wurde. Daher haben wir die MAC-Adresse konfiguriert. 25 00:02:08,700 --> 00:02:11,970 Wir haben die maximal zulässigen MAC-Adressen konfiguriert. 26 00:02:12,410 --> 00:02:16,890 Ich werde die Aktion angeben, die zu ergreifen ist, wenn 27 00:02:19,390 --> 00:02:26,620 ein Verstoß gemeldet wird, den wir schützen, einschränken und den Standard herunterfahren. Wie Sie wissen, wird heruntergefahren. 28 00:02:26,650 --> 00:02:32,680 Jetzt werden Pakete mit unbekannten Quell-MAC-Adressen geschützt, bis Sie eine ausreichende Anzahl sicherer MAC-Adressen 29 00:02:32,680 --> 00:02:35,130 entfernen unter den Maximalwert fallen. 30 00:02:35,140 --> 00:02:38,930 Mit anderen Worten, wir verwerfen Pakete von unbekannten Quell-MAC-Adressen. 31 00:02:39,160 --> 00:02:43,630 Momentan gibt es jedoch keine Protokollierung, die nur eine MAC-Adresse zulässt. 32 00:02:43,630 --> 00:02:49,840 Wenn Sie jedoch als Beispiel eine maximale MAC-Adresse von drei und eine vierte angegeben haben, versuchen 33 00:02:49,840 --> 00:02:56,530 Sie ein Gerät, Datenverkehr zu senden, der an den Geräte-Datenverkehr fallen würde, und beschränken Sie Pakete mit 34 00:02:56,830 --> 00:03:02,960 unbekannten Quell-MAC-Adressen, bis Sie eine ausreichende Anzahl von sicheren MAC-Adressen entfernen unter dem maximalen Wert. 35 00:03:02,980 --> 00:03:05,410 Das ist also fast genauso wie schützen. 36 00:03:05,410 --> 00:03:10,610 Darüber hinaus führt dies jedoch zu einer Erhöhung der Sicherheitsverletzung. 37 00:03:10,900 --> 00:03:17,470 Mit anderen Worten, es wird die Erzeugung von Protokollnachrichten geben, und das Herunterfahren 38 00:03:17,520 --> 00:03:20,260 des Zählers wird schrittweise heruntergefahren. 39 00:03:20,260 --> 00:03:28,600 Dadurch wird der Port in einen Deaktivierungsmodus versetzt, und es wird eine Benachrichtigung von Saens und SMP-Traps angezeigt, wenn SMP konfiguriert ist. 40 00:03:29,050 --> 00:03:37,110 Ich werde also weiterhin das Herunterfahren verwenden, damit die Ausgabekonfiguration wie folgt aussieht. 41 00:03:37,180 --> 00:03:41,630 Denken Sie daran, dass die MAC-Adresse dieses Geräts eine andere MAC-Adresse ist. 42 00:03:41,650 --> 00:03:42,730 Es ist so. 43 00:03:42,940 --> 00:03:50,650 Diese MAC-Adresse wird jedoch nur zugelassen, da die Portsicherheit nicht global aktiviert ist. Die Portsicherheit ist 44 00:03:50,650 --> 00:03:52,430 jedoch nicht aktiviert. 45 00:03:52,690 --> 00:03:57,580 Wir können also die Kommode verwenden, um die Port-Sicherheit im Moment anzuzeigen. 46 00:03:57,580 --> 00:04:03,380 Die Port-Sicherheit ist für Gigabit 00 aktiviert, nicht jedoch für Gigabit 0 1. 47 00:04:03,390 --> 00:04:11,510 Wir können auch den Befehl do show interface status verwenden, sowohl Gigabit 0 0 als auch 0 1. 48 00:04:11,520 --> 00:04:16,080 Unser Connected Support wurde wegen der Port-Sicherheit nicht heruntergefahren. 49 00:04:17,050 --> 00:04:22,740 Wenn wir nun jedoch angeben, welche Port-Port-Sicherheit wir tatsächlich aktivieren, wird die Port-Sicherheit aktiviert. 50 00:04:23,050 --> 00:04:33,300 Und wieder müssen wir dies als Access-Port von Conti konfiguriert haben, um das Show Run Interface Gigabit 0 51 00:04:33,310 --> 00:04:35,050 1 auszuführen. 52 00:04:35,740 --> 00:04:41,990 Und während ich dies bemerkte, erhielten wir eine Nachricht bezüglich der Port-Sicherheitsverletzung. 53 00:04:42,100 --> 00:04:50,190 Uns wurde gesagt, dass es ein Problem mit dieser MAC-Adresse auf Gigabit gab. 54 00:04:50,210 --> 00:04:57,050 0 1 Wir haben nur die MAC-Adresse zugelassen, die auf drei maximal zulässige MAC-Adressen endet. 55 00:04:57,080 --> 00:05:01,720 Eine einzige MAC-Adresse ist in diesem Fall zulässig. 56 00:05:01,730 --> 00:05:08,720 Wenn wir uns den Comeau ansehen und den Schnittstellenstatus anzeigen, können wir feststellen, dass der Port deaktiviert wurde. 57 00:05:08,980 --> 00:05:13,870 Show interface status ist also ein Befehl, der uns den Status der Ports 58 00:05:14,710 --> 00:05:22,210 anzeigt, die angezeigt werden, dass diese Verbindung hergestellt ist. Dieser Port ist jedoch deaktiviert, so dass Port-Sicherheit wieder angezeigt wird. Dies 59 00:05:22,210 --> 00:05:27,110 zeigt uns erneut, dass Gigabit 0 ist und 0 1 eine Sicherheitsaktion hat ausschalten. 60 00:05:27,420 --> 00:05:34,380 Der einzige Port, der zurzeit heruntergefahren ist, ist Port 0 1. 61 00:05:34,560 --> 00:05:38,600 Show Interface Status zeigt also, dass dieser Port noch verbunden ist. 62 00:05:38,650 --> 00:05:45,990 Der Unterstützungsbereich ist deaktiviert, und nun kann dieser Host einen 63 00:05:48,790 --> 00:05:54,080 Ping-Befehl ausführen, da die Port-Porter deaktiviert sind. 64 00:05:54,310 --> 00:05:57,890 Wir können sehen, dass die Portsicherheit für diesen Port aktiviert ist. 65 00:05:57,910 --> 00:06:02,620 Es ist momentan geschlossen, weil der Modus heruntergefahren wurde. 66 00:06:02,650 --> 00:06:08,770 Dies ist die letzte MAC-Adresse, die gegen die Sicherheitsrichtlinie dieser Schnittstelle verstoßen hat. 67 00:06:09,790 --> 00:06:24,560 Wenn Sie also die MAC-Adresse in die vom Switch erwartete MAC-Adresse ändern, kann der Ping aufgrund 68 00:06:24,560 --> 00:06:28,660 der Verletzung nicht pingen. 69 00:06:29,620 --> 00:06:38,590 Also müssen wir in den Hafen gehen und ihn herunterfahren und dann nicht. 70 00:06:38,750 --> 00:06:44,480 Sobald dies erledigt ist und der Switch die richtige MAC-Adresse 71 00:06:48,510 --> 00:06:52,530 erkennt, sollte das Gerät pingen können. 72 00:06:52,560 --> 00:06:54,540 Im Moment wurde die MAC-Adresse nicht gelernt, sondern 73 00:06:57,380 --> 00:06:59,360 nur darauf gewartet, dass die Schnittstelle erscheint. 74 00:07:01,370 --> 00:07:03,240 Zeigen Sie also den Schnittstellenstatus an. 75 00:07:03,250 --> 00:07:09,420 Mal sehen, was auf verbundenen Schnittstellen los ist. 76 00:07:09,640 --> 00:07:11,890 Und jetzt ist der Ping erfolgreich. 77 00:07:12,040 --> 00:07:17,620 Ich war einfach zu ungeduldig und musste warten, bis sich 78 00:07:17,620 --> 00:07:23,820 der Baum und andere Protokolle ausgearbeitet haben, aber die Port-Sicherheitsschnittstelle Gigabit zeigt. 79 00:07:24,040 --> 00:07:31,070 Der Port-Sicherheitsmodus ist aktiviert, wenn der Verletzungsmodus deaktiviert ist, sobald der Portstatus sicher ist und die 80 00:07:31,070 --> 00:07:36,200 Schnittstellen der letzten MAC-Adresse, die an diesem Port gesehen wurde, waren. 81 00:07:36,200 --> 00:07:38,550 Es sind keine Sicherheitsverletzungen aufgetreten. 82 00:07:38,810 --> 00:07:43,540 Die maximale MAC-Adresse ist wieder zulässig, da eine MAC-Adresse insgesamt als eine gesehen wird. 83 00:07:43,550 --> 00:07:51,410 Eine MAC-Adresse wird konfiguriert, da wir die MAC-Adresse auf dem Switch manuell konfiguriert haben. 84 00:07:51,420 --> 00:07:59,680 Wenn ich also diese Konfiguration speichere und der Switch neu boote, wird die MAC-Adresse in der gespeicherten Konfiguration gespeichert. 85 00:08:00,460 --> 00:08:06,600 Das ist also anders als bei Gigabit 00. 86 00:08:06,610 --> 00:08:12,190 Wenn der Switch neu startet, lernt er einfach die Quell-MAC-Adresse aus einem empfangenen Frame. 87 00:08:12,220 --> 00:08:18,630 Beim ersten Gerät, das eine Verbindung herstellt, wird die MAC-Adresse der Datenbank hinzugefügt, um die Port-Sicherheitsadresse 88 00:08:21,400 --> 00:08:24,730 anzuzeigen. Als Beispiel werden die beiden Adressen angezeigt. 89 00:08:24,750 --> 00:08:27,430 Dieser wurde statisch konfiguriert. 90 00:08:27,600 --> 00:08:30,240 Dieser wurde dynamisch gelernt. 91 00:08:30,240 --> 00:08:33,240 Die MAC-Adresse an der Schnittstelle wurde konfiguriert. 92 00:08:33,330 --> 00:08:35,070 Dies wurde chemisch gelernt. 93 00:08:35,070 --> 00:08:42,390 Das rechte Beispiel ist jetzt, wenn Sie explizit eine bestimmte MAC-Adresse in das Netzwerk einwählen. 94 00:08:42,390 --> 00:08:48,120 Das Beispiel links zeigt, wie Sie die Anzahl der MAC-Adressen einschränken, die an einem linken Port zulässig 95 00:08:48,990 --> 00:08:49,650 sind. 96 00:08:49,650 --> 00:08:56,730 Sie würden verhindern, dass ein Benutzer einen Hub als Beispiel an das Netzwerk anschließt 97 00:08:56,730 --> 00:09:05,140 und mehrere Geräte an den Port anschließt. Im rechten Beispiel wird der Datenverkehr auf eine bestimmte MAC-Adresse beschränkt. 98 00:09:05,160 --> 00:09:12,780 Das Problem bei dieser Methode ist, dass wir die MAC-Adressen der Geräte herausfinden 99 00:09:13,260 --> 00:09:16,860 und diese MAC-Adressen manuell konfigurieren müssen. 100 00:09:16,890 --> 00:09:18,660 Schauen wir uns also eine andere Möglichkeit an.