1 00:00:00,930 --> 00:00:08,920 W poprzednim filmie konfigurujemy ochronę portu na gigabit 00, czyniąc port portem dostępu, a 2 00:00:08,920 --> 00:00:11,370 następnie włączając zabezpieczenia portu. 3 00:00:11,680 --> 00:00:14,890 Adres MAC jest dynamicznie uczony. 4 00:00:14,990 --> 00:00:25,000 Tak więc ten adres MAC był dynamicznie uczony na porcie do Gigabit 00, a zatem ochrona portu Shope pokazuje nam, że 5 00:00:25,000 --> 00:00:28,000 adres jest dozwolony na tym porcie. 6 00:00:28,150 --> 00:00:29,860 To jest adres MAC. 7 00:00:29,860 --> 00:00:35,110 Zrobiłem to cicho i nauczyłem się i został dodany do bazy danych dozwolonych adresów 8 00:00:35,680 --> 00:00:37,860 MAC na porcie tylko jeden 9 00:00:41,000 --> 00:00:43,650 adres MAC jest dozwolony na gigabicie 00. 10 00:00:43,750 --> 00:00:50,930 Tak więc maksymalna dokładność schematu jest taka, że jeśli naruszenie ma miejsce, działanie bezpieczeństwa polega na zamknięciu 11 00:00:50,930 --> 00:00:51,550 portu. 12 00:00:52,680 --> 00:00:58,440 Teraz skonfigurujmy statycznie adresy MAC. Skonfigurujmy zabezpieczenia portów na gigabitach. 13 00:00:58,480 --> 00:01:02,920 0 1, ale rób to ręcznie. 14 00:01:03,150 --> 00:01:08,460 Tak więc zamierzam użyć przełącznika commotions Port. 15 00:01:08,460 --> 00:01:11,560 Zabezpieczenia portów określają maksimum. 16 00:01:11,760 --> 00:01:13,840 Wartość domyślna to 1. 17 00:01:13,970 --> 00:01:15,390 Więc powiem jedno tutaj. 18 00:01:15,750 --> 00:01:23,960 Zauważysz, że dane wyjściowe nie są wyświetlane, ponieważ jest to domyślne polecenie interfejsu. 19 00:01:24,030 --> 00:01:34,640 Ale teraz zrobimy port typu port Port Security MAC, a ja to, co zrobię, to jednoznacznie określ adres MAC, 20 00:01:34,640 --> 00:01:36,460 który jest dozwolony. 21 00:01:36,620 --> 00:01:43,230 I tylko po to, aby udowodnić punkt lub określić inny adres MAC, powiedzmy trzy. 22 00:01:43,390 --> 00:01:55,090 Teraz w tej chwili adres MAC tego routera działa jako nasz komputer. 23 00:01:55,170 --> 00:02:02,550 Jest to więc inny adres MAC, na którym komputer wciąż może wysłać polecenie ping, 24 00:02:02,550 --> 00:02:08,440 ponieważ nie mamy jawnie włączonego zabezpieczenia portu, więc skonfigurowaliśmy adres MAC. 25 00:02:08,700 --> 00:02:11,970 Skonfigurowaliśmy maksymalne dopuszczalne adresy MAC. 26 00:02:12,410 --> 00:02:16,890 Określę akcję, którą należy wykonać, jeśli pojawi się powiadomienie o 27 00:02:19,390 --> 00:02:26,620 naruszeniu, które mamy ograniczane przez ochronę i wyłączamy domyślne, jak już widzieliśmy, jest wyłączone, teraz chroni pakiety 28 00:02:26,650 --> 00:02:32,680 z nieznanymi źródłowymi adresami MAC, dopóki nie usuniesz wystarczającej liczby bezpiecznych adresów MAC do 29 00:02:32,680 --> 00:02:35,130 spadek poniżej maksymalnej wartości. 30 00:02:35,140 --> 00:02:38,930 Innymi słowy, odrzucamy pakiety z nieznanych adresów źródłowych MAC. 31 00:02:39,160 --> 00:02:43,630 Ale w tej chwili nie ma logowania, pozwalając tylko na jeden adres MAC. 32 00:02:43,630 --> 00:02:49,840 Ale jako przykład, gdybyś określił maksymalny adres MAC trzech i czwartej, urządzenie spróbuje 33 00:02:49,840 --> 00:02:56,530 wysłać ruch, który spadnie na ruch urządzeń, ogranicza pakiety o nieznanych źródłowych adresach MAC, dopóki 34 00:02:56,830 --> 00:03:02,960 nie usuniesz wystarczającej liczby bezpiecznych adresów MAC do upuszczenia poniżej maksymalnej wartości. 35 00:03:02,980 --> 00:03:05,410 To jest bardzo podobne do ochrony. 36 00:03:05,410 --> 00:03:10,610 Ale dodatkowo powoduje zwiększenie liczby naruszeń bezpieczeństwa. 37 00:03:10,900 --> 00:03:17,470 Innymi słowy, pojawi się generacja komunikatów dziennika, a wzrost licznika wzrośnie o 38 00:03:17,520 --> 00:03:20,260 domyślne ustawienie, które już widzieliśmy. 39 00:03:20,260 --> 00:03:28,600 A to przełącza port w tryb wyłączenia, a powiadomienie o pułapce Saensa i SMP, jeśli skonfigurowana jest SMP. 40 00:03:29,050 --> 00:03:37,110 Tak więc będę nadal używać shutdown, abyśmy mogli zobaczyć konfigurację wyjścia wygląda następująco. 41 00:03:37,180 --> 00:03:41,630 Pamiętaj, że adres MAC tego urządzenia to inny adres MAC. 42 00:03:41,650 --> 00:03:42,730 Tak jest. 43 00:03:42,940 --> 00:03:50,650 Ale dopuszczamy tylko ten adres MAC, ale ponieważ nie mamy włączonego globalnie zabezpieczeń portów, zabezpieczenia portów 44 00:03:50,650 --> 00:03:52,430 nie są aktywne. 45 00:03:52,690 --> 00:03:57,580 Możemy więc użyć komody, aby pokazać bezpieczeństwo portów w danym momencie. 46 00:03:57,580 --> 00:04:03,380 Zabezpieczenia portu są włączone na gigabitie 00, ale nie na gigabitie 0 1. 47 00:04:03,390 --> 00:04:11,510 Możemy również użyć polecenia do pokazania statusu interfejsu w chwili obecnej zarówno gigabit 0 0, jak i 0 1. 48 00:04:11,520 --> 00:04:16,080 Nasze połączone wsparcie nie zostało zamknięte z powodu bezpieczeństwa portów. 49 00:04:17,050 --> 00:04:22,740 Ale teraz, kiedy wpisujemy port Port Security, faktycznie włączamy zabezpieczenia portów. 50 00:04:23,050 --> 00:04:33,300 I jeszcze raz musimy to skonfigurować jako port dostępowy TI Conti do uruchomienia interfejsu show show gigabit 51 00:04:33,310 --> 00:04:35,050 0 1. 52 00:04:35,740 --> 00:04:41,990 I kiedy robiłem to powiadomienie, otrzymaliśmy komunikat o naruszeniu bezpieczeństwa portu. 53 00:04:42,100 --> 00:04:50,190 Powiedziano nam, że wystąpił problem z tym adresem mac, kończącym się na dwóch gigabitach. 54 00:04:50,210 --> 00:04:57,050 0 1 dozwoliliśmy tylko adres MAC kończący się trzema maksymalnymi adresami MAC, które byłyby dozwolone. 55 00:04:57,080 --> 00:05:01,720 W tym przypadku dozwolony jest tylko jeden adres MAC. 56 00:05:01,730 --> 00:05:08,720 Kiedy patrzymy na status Comeau i pokazujemy stan interfejsu, widzimy, że port został wyłączony. 57 00:05:08,980 --> 00:05:13,870 Tak więc pokaż status interfejsu jest poleceniem, które pokazuje nam 58 00:05:14,710 --> 00:05:22,210 stan portów, które możemy zobaczyć, ale ten port jest wyłączony, więc pokaż zabezpieczenia portu ponownie pokazuje nam ponownie, 59 00:05:22,210 --> 00:05:27,110 że gigabit to 0 0, a 0 1 ma działanie zabezpieczające zamknąć. 60 00:05:27,420 --> 00:05:34,380 Ale jedynym portem, który jest obecnie zamknięty, jest port 0 1. 61 00:05:34,560 --> 00:05:38,600 Tak pokazuje stan interfejsu pokazuje nam, że ten port jest nadal podłączony. 62 00:05:38,650 --> 00:05:45,990 Obszar kibiców jest wyłączony i teraz ten host może pingować na prawo od jednego, ponieważ porte 63 00:05:48,790 --> 00:05:54,080 porterów są wyłączone pokazują interfejs bezpieczeństwa portu gigabit na 0 1. 64 00:05:54,310 --> 00:05:57,890 Widzimy, że zabezpieczenia portów są włączone na tym porcie. 65 00:05:57,910 --> 00:06:02,620 Jest obecnie wyłączony z powodu wyłączenia trybu. 66 00:06:02,650 --> 00:06:08,770 Jest to ostatni adres MAC, który naruszył zasady bezpieczeństwa w tym interfejsie. 67 00:06:09,790 --> 00:06:24,560 Tak więc, jeśli zmienimy adres MAC na adres MAC oczekiwany przez przełącznik, nadal nie będzie on mógł zadzwonić z 68 00:06:24,560 --> 00:06:28,660 powodu naruszenia, które miało miejsce. 69 00:06:29,620 --> 00:06:38,590 Musimy więc wejść do portu i zamknąć go, a potem go nie zamykać. 70 00:06:38,750 --> 00:06:44,480 A kiedy już to zrobi i przełącznik nauczy się poprawnego adresu 71 00:06:48,510 --> 00:06:52,530 MAC, urządzenie powinno być w stanie pingować. 72 00:06:52,560 --> 00:06:54,540 Tak więc w tej chwili adres MAC nie 73 00:06:57,380 --> 00:06:59,360 został poznany tylko czekając na pojawienie się interfejsu. 74 00:07:01,370 --> 00:07:03,240 Pokaż status interfejsu. 75 00:07:03,250 --> 00:07:09,420 Zobaczmy, co się dzieje z połączonymi interfejsami. 76 00:07:09,640 --> 00:07:11,890 A teraz ping się powiódł. 77 00:07:12,040 --> 00:07:17,620 Byłem po prostu zbyt niecierpliwy i musiałem poczekać na wydanie drzewa 78 00:07:17,620 --> 00:07:23,820 i innych protokołów, aby się wyłapać, ale pokazuję interfejs bezpieczeństwa portu gigabit 0 1. 79 00:07:24,040 --> 00:07:31,070 Widzimy, że ochrona portów jest włączona tryb naruszania naruszenia w momencie, gdy status portu jest bezpieczny, a 80 00:07:31,070 --> 00:07:36,200 interfejsy do ostatniego adresu MAC, który był widziany, był na tym porcie. 81 00:07:36,200 --> 00:07:38,550 Nie wystąpiły naruszenia bezpieczeństwa. 82 00:07:38,810 --> 00:07:43,540 Maksymalny adres MAC jest ponownie dozwolony, ponieważ jeden ogólny adres MAC jest postrzegany jako jeden. 83 00:07:43,550 --> 00:07:51,410 Konfigurowany jest jeden adres MAC, ponieważ ręcznie skonfigurowaliśmy adres MAC przełącznika. 84 00:07:51,420 --> 00:07:59,680 Jeśli więc zapiszę tę konfigurację i przełącznik zostanie zrestartowany, adres MAC zostanie zapisany w zapisanej konfiguracji. 85 00:08:00,460 --> 00:08:06,600 Inaczej jest z tym, co mamy na Gigabitie 00 tutaj. 86 00:08:06,610 --> 00:08:12,190 Gdy przełącznik zostanie ponownie uruchomiony, po prostu poznaje źródłowy adres MAC z odebranej ramki. 87 00:08:12,220 --> 00:08:18,630 Zatem pierwsze urządzenie, które się łączy, będzie miało swój adres MAC dodany do bazy danych, aby pokazać adres 88 00:08:21,400 --> 00:08:24,730 bezpieczeństwa portu, jako przykład pokazuje nam dwa adresy. 89 00:08:24,750 --> 00:08:27,430 Ten był statycznie skonfigurowany. 90 00:08:27,600 --> 00:08:30,240 Ten był dynamicznie uczony. 91 00:08:30,240 --> 00:08:33,240 Tak skonfigurowano adres MAC w interfejsie. 92 00:08:33,330 --> 00:08:35,070 To zostało zrobione chemicznie. 93 00:08:35,070 --> 00:08:42,390 Teraz przykład po prawej stronie oznacza wyraźne zezwolenie na określony adres MAC w sieci. 94 00:08:42,390 --> 00:08:48,120 Przykład po lewej stronie oznacza ograniczenie liczby adresów MAC dozwolonych w porcie po lewej 95 00:08:48,990 --> 00:08:49,650 stronie. 96 00:08:49,650 --> 00:08:56,730 Użytkownik może zatrzymać użytkownika łączącego koncentrator jako przykład z siecią i podłączyć 97 00:08:56,730 --> 00:09:05,140 wiele urządzeń do portu, podczas gdy przykład po prawej stronie ogranicza ruch do określonego adresu MAC. 98 00:09:05,160 --> 00:09:12,780 Problem z tą metodą polega na tym, że musimy ustalić, jakie są adresy MAC urządzeń, 99 00:09:13,260 --> 00:09:16,860 a następnie ręcznie skonfigurować te adresy MAC. 100 00:09:16,890 --> 00:09:18,660 Spójrzmy więc na inny sposób robienia tego.