1
00:00:00,930 --> 00:00:08,920
Nel video precedente configuriamo la sicurezza della porta su gigabit 00 rendendo la porta una porta di accesso e quindi

2
00:00:08,920 --> 00:00:11,370
abilitando la sicurezza della porta.

3
00:00:11,680 --> 00:00:14,890
L'indirizzo MAC viene acquisito in modo dinamico.

4
00:00:14,990 --> 00:00:25,000
Quindi questo indirizzo MAC è stato dinamicamente appreso su porta su Gigabit 00 e quindi la sicurezza della porta Shope ci mostra che

5
00:00:25,000 --> 00:00:28,000
l'indirizzo è consentito su quella porta.

6
00:00:28,150 --> 00:00:29,860
È questo indirizzo MAC.

7
00:00:29,860 --> 00:00:35,110
È stato fatto apprendo docilmente ed è stato aggiunto al database degli indirizzi MAC

8
00:00:35,680 --> 00:00:37,860
consentiti sulla porta è consentito

9
00:00:41,000 --> 00:00:43,650
un solo indirizzo MAC su gigabit 00.

10
00:00:43,750 --> 00:00:50,930
Quindi la massima precisione degli schemi è uno se si verifica una violazione l'azione di sicurezza è quella di chiudere la porta verso il

11
00:00:50,930 --> 00:00:51,550
basso.

12
00:00:52,680 --> 00:00:58,440
Ora configuriamo gli indirizzi MAC in modo statico, quindi configuriamo la sicurezza della porta su gigabit.

13
00:00:58,480 --> 00:01:02,920
0 1 ma fallo manualmente.

14
00:01:03,150 --> 00:01:08,460
Quindi userò il commutatore di commutazione.

15
00:01:08,460 --> 00:01:11,560
La sicurezza della porta specifica un massimo.

16
00:01:11,760 --> 00:01:13,840
Il valore predefinito è 1.

17
00:01:13,970 --> 00:01:15,390
Quindi dirò uno qui.

18
00:01:15,750 --> 00:01:23,960
E quello che noterai è che l'output non viene mostrato perché si tratta di un comando predefinito sull'interfaccia.

19
00:01:24,030 --> 00:01:34,640
Ma quello che faremo ora è digitare switch port Indirizzo MAC di sicurezza della porta e quello che farò è specificare esplicitamente l'indirizzo MAC

20
00:01:34,640 --> 00:01:36,460
che è permesso.

21
00:01:36,620 --> 00:01:43,230
E solo per dimostrare il punto o specificare un indirizzo MAC diverso diciamo tre.

22
00:01:43,390 --> 00:01:55,090
Ora al momento l'indirizzo MAC su questo router che funge da nostro PC è quindi.

23
00:01:55,170 --> 00:02:02,550
Quindi è un indirizzo MAC diverso, il PC può ancora eseguire il ping piuttosto che perché non abbiamo

24
00:02:02,550 --> 00:02:08,440
abilitato esplicitamente la sicurezza della porta e quindi abbiamo configurato quale sia l'indirizzo MAC.

25
00:02:08,700 --> 00:02:11,970
Abbiamo configurato gli indirizzi MAC massimi consentiti.

26
00:02:12,410 --> 00:02:16,890
Specificheremo l'azione da intraprendere in caso di avviso di violazione che

27
00:02:19,390 --> 00:02:26,620
abbiamo protetto restringere e arrestare l'impostazione predefinita, come abbiamo visto è ora disattivare la protezione elimina i pacchetti con

28
00:02:26,650 --> 00:02:32,680
indirizzi MAC di origine sconosciuti finché non rimuovi un numero sufficiente di indirizzi MAC sicuri

29
00:02:32,680 --> 00:02:35,130
per scendere sotto il valore massimo.

30
00:02:35,140 --> 00:02:38,930
In altre parole, stiamo perdendo pacchetti da indirizzi MAC di origine sconosciuta.

31
00:02:39,160 --> 00:02:43,630
Ma al momento non ci sono registrazioni che consentono solo un indirizzo MAC.

32
00:02:43,630 --> 00:02:49,840
Ad esempio, se hai specificato un indirizzo MAC massimo di tre e un quarto un dispositivo tenta di

33
00:02:49,840 --> 00:02:56,530
inviare il traffico che ai dispositivi verrà eliminato il traffico limita i pacchetti con indirizzi MAC di origine sconosciuti

34
00:02:56,830 --> 00:03:02,960
finché non rimuovi un numero sufficiente di indirizzi MAC sicuri da eliminare sotto il valore massimo.

35
00:03:02,980 --> 00:03:05,410
Quindi è molto simile a proteggere.

36
00:03:05,410 --> 00:03:10,610
Ma in aggiunta fa aumentare la violazione della sicurezza.

37
00:03:10,900 --> 00:03:17,470
In altre parole ci sarà la generazione di messaggi di log e il contatore incrementerà l'arresto è

38
00:03:17,520 --> 00:03:20,260
il default che abbiamo già visto.

39
00:03:20,260 --> 00:03:28,600
E questo mette la porta in una modalità disabilitata e la notifica di trap Saens e SMP se SMP è configurato.

40
00:03:29,050 --> 00:03:37,110
Quindi continuerò a usare shutdown in modo che possiamo vedere la configurazione dell'output come segue.

41
00:03:37,180 --> 00:03:41,630
Ricorda che l'indirizzo MAC di questo dispositivo è un indirizzo MAC diverso.

42
00:03:41,650 --> 00:03:42,730
È così.

43
00:03:42,940 --> 00:03:50,650
Ma stiamo permettendo solo questo indirizzo MAC ma poiché non abbiamo abilitato globalmente la sicurezza della porta la sicurezza della

44
00:03:50,650 --> 00:03:52,430
porta non è attiva.

45
00:03:52,690 --> 00:03:57,580
Quindi possiamo usare la comoda per mostrare la sicurezza del porto al momento.

46
00:03:57,580 --> 00:04:03,380
La sicurezza della porta è abilitata su gigabit 00 ma non su gigabit 0 1.

47
00:04:03,390 --> 00:04:11,510
Possiamo anche usare il comando do show interface status al momento sia gigabit 0 0 e 0 1.

48
00:04:11,520 --> 00:04:16,080
Il nostro supporto connesso non è stato spento a causa della sicurezza della porta.

49
00:04:17,050 --> 00:04:22,740
Ma ora quando digitiamo quale porta Port Security stiamo effettivamente abilitando la sicurezza della porta.

50
00:04:23,050 --> 00:04:33,300
E ancora una volta abbiamo bisogno di avere questo configurato come una porta di accesso TTP di Conti per eseguire l'interfaccia di esecuzione

51
00:04:33,310 --> 00:04:35,050
gigabit 0 1.

52
00:04:35,740 --> 00:04:41,990
E mentre stavo facendo questo avviso abbiamo ricevuto un messaggio di violazione della sicurezza del porto.

53
00:04:42,100 --> 00:04:50,190
Ci è stato detto che c'era un problema con questo indirizzo mac che terminava in due su gigabit.

54
00:04:50,210 --> 00:04:57,050
0 1 abbiamo solo permesso l'indirizzo MAC che termina con tre indirizzi MAC massimi che sarebbero consentiti.

55
00:04:57,080 --> 00:05:01,720
In questo caso è consentito un solo indirizzo MAC.

56
00:05:01,730 --> 00:05:08,720
Quando guardiamo Comeau e mostriamo lo stato dell'interfaccia, possiamo vedere che la porta era disabilitata.

57
00:05:08,980 --> 00:05:13,870
Quindi mostra lo stato dell'interfaccia è un comando che ci mostra lo stato delle

58
00:05:14,710 --> 00:05:22,210
porte che possiamo vedere è connesso, ma questa porta ha disabilitato quindi mostra la sicurezza della porta, ancora una volta ci mostra ancora una

59
00:05:22,210 --> 00:05:27,110
volta che il gigabit è 0 0 e 0 1 hanno un'azione di sicurezza di spegnimento.

60
00:05:27,420 --> 00:05:34,380
Ma l'unica porta attualmente chiusa è la porta 0 1.

61
00:05:34,560 --> 00:05:38,600
Quindi mostra lo stato dell'interfaccia ci mostra che questa porta è ancora connessa.

62
00:05:38,650 --> 00:05:45,990
L'area dei sostenitori è disabilitata e ora questo host può eseguire il ping di uno solo perché i port-port

63
00:05:48,790 --> 00:05:54,080
sono disabilitati mostra l'interfaccia di sicurezza della porta gigabit su 0 1.

64
00:05:54,310 --> 00:05:57,890
Possiamo vedere che la sicurezza della porta è abilitata su questa porta.

65
00:05:57,910 --> 00:06:02,620
Attualmente è spento a causa della modalità di spegnimento.

66
00:06:02,650 --> 00:06:08,770
Questo è l'ultimo indirizzo MAC che ha violato la politica di sicurezza su quell'interfaccia.

67
00:06:09,790 --> 00:06:24,560
Quindi, se lo abbiamo portato se cambiamo l'indirizzo MAC all'indirizzo MAC previsto dallo switch, non sarà ancora possibile eseguire il ping a causa

68
00:06:24,560 --> 00:06:28,660
della violazione che ha avuto luogo.

69
00:06:29,620 --> 00:06:38,590
Quindi dobbiamo entrare nella porta e chiuderla e poi non chiuderla.

70
00:06:38,750 --> 00:06:44,480
E una volta che è fatto e l'interruttore impara l'indirizzo MAC corretto il

71
00:06:48,510 --> 00:06:52,530
dispositivo dovrebbe essere in grado di eseguire il ping.

72
00:06:52,560 --> 00:06:54,540
Quindi al momento l'indirizzo MAC non è stato

73
00:06:57,380 --> 00:06:59,360
appreso aspettando solo che l'interfaccia si presentasse.

74
00:07:01,370 --> 00:07:03,240
Quindi mostra lo stato dell'interfaccia.

75
00:07:03,250 --> 00:07:09,420
Vediamo cosa sta succedendo sulle interfacce connesse.

76
00:07:09,640 --> 00:07:11,890
E ora il ping ha successo.

77
00:07:12,040 --> 00:07:17,620
Ero troppo impaziente e avevo bisogno di aspettare che spendessi albero e

78
00:07:17,620 --> 00:07:23,820
altri protocolli per sistemarsi ma mostrare l'interfaccia di sicurezza della porta gigabit 0 1.

79
00:07:24,040 --> 00:07:31,070
Possiamo vedere che la sicurezza della porta è abilitata quando la modalità di violazione è disattivata nel momento in cui lo stato della porta

80
00:07:31,070 --> 00:07:36,200
è sicuro e le interfacce sull'ultimo indirizzo MAC che è stato visto erano presenti su quella porta.

81
00:07:36,200 --> 00:07:38,550
Non si sono verificate violazioni di sicurezza.

82
00:07:38,810 --> 00:07:43,540
L'indirizzo MAC massimo è ancora una volta consentito come un indirizzo MAC totale è visto come uno.

83
00:07:43,550 --> 00:07:51,410
È stato configurato un indirizzo MAC perché abbiamo configurato manualmente l'indirizzo MAC sullo switch.

84
00:07:51,420 --> 00:07:59,680
Quindi, se salvi questa configurazione e lo switch si riavvia, l'indirizzo MAC viene memorizzato nella configurazione salvata.

85
00:08:00,460 --> 00:08:06,600
Quindi è diverso da quello che abbiamo su Gigabit 00 qui.

86
00:08:06,610 --> 00:08:12,190
Quando lo switch si riavvia, apprende semplicemente l'indirizzo MAC di origine da un frame ricevuto.

87
00:08:12,220 --> 00:08:18,630
Quindi il primo dispositivo che si collega avrà il suo indirizzo MAC aggiunto al database per mostrare l'indirizzo di sicurezza

88
00:08:21,400 --> 00:08:24,730
della porta come un esempio ci mostra i due indirizzi.

89
00:08:24,750 --> 00:08:27,430
Questo è stato configurato staticamente.

90
00:08:27,600 --> 00:08:30,240
Questo è stato imparato in modo dinamico.

91
00:08:30,240 --> 00:08:33,240
Quindi è stato configurato l'indirizzo MAC sull'interfaccia.

92
00:08:33,330 --> 00:08:35,070
Questo è stato fatto apprendendo chimicamente.

93
00:08:35,070 --> 00:08:42,390
Ora l'esempio sulla destra è dove autorizzi esplicitamente un indirizzo MAC specifico sulla rete.

94
00:08:42,390 --> 00:08:48,120
L'esempio a sinistra è dove si limita il numero di indirizzi MAC consentiti su una porta sulla

95
00:08:48,990 --> 00:08:49,650
sinistra.

96
00:08:49,650 --> 00:08:56,730
Si fermerebbe un utente che collega un hub come un esempio alla rete e collegando

97
00:08:56,730 --> 00:09:05,140
più dispositivi alla porta mentre l'esempio sulla destra è dove limitiamo il traffico a uno specifico indirizzo MAC.

98
00:09:05,160 --> 00:09:12,780
Il problema con questo metodo è che dobbiamo calcolare quali sono gli indirizzi MAC dei dispositivi

99
00:09:13,260 --> 00:09:16,860
e quindi configurare manualmente tali indirizzi MAC.

100
00:09:16,890 --> 00:09:18,660
Diamo un'occhiata a un altro modo di farlo.