1
00:00:00,930 --> 00:00:08,920
În videoclipul anterior, configuram securitatea portului pe gigabit 00, făcând portul un port de acces și

2
00:00:08,920 --> 00:00:11,370
apoi activând securitatea portului.

3
00:00:11,680 --> 00:00:14,890
Adresa MAC este învățată dinamic.

4
00:00:14,990 --> 00:00:25,000
Deci, această adresă MAC a fost învățată dinamic de la port la Gigabit 00 și prin urmare, securitatea portului Shope ne arată

5
00:00:25,000 --> 00:00:28,000
că adresa permisă în acel port.

6
00:00:28,150 --> 00:00:29,860
Este această adresă MAC.

7
00:00:29,860 --> 00:00:35,110
A fost făcut eu am învățat cu ușurință și a fost adăugat la baza de date cu

8
00:00:35,680 --> 00:00:37,860
adrese MAC permise pe port numai

9
00:00:41,000 --> 00:00:43,650
o adresă MAC este permisă pe gigabit 00.

10
00:00:43,750 --> 00:00:50,930
Deci, precizia Max schem este una dacă o încălcare are loc, iar acțiunea de securitate este de a închide portul în

11
00:00:50,930 --> 00:00:51,550
jos.

12
00:00:52,680 --> 00:00:58,440
Acum, să configuram adresele MAC în mod static Deci, să configurați securitatea portului pe gigabit.

13
00:00:58,480 --> 00:01:02,920
0 1 dar fă-o manual.

14
00:01:03,150 --> 00:01:08,460
Așa că am de gând să folosesc comutatorul comutator Port.

15
00:01:08,460 --> 00:01:11,560
Siguranța portului specifică un maxim.

16
00:01:11,760 --> 00:01:13,840
Valoarea implicită este 1.

17
00:01:13,970 --> 00:01:15,390
Așa că o să spun una aici.

18
00:01:15,750 --> 00:01:23,960
Și ceea ce veți observa este ieșirea nu este afișată deoarece aceasta este o comandă implicită pe interfață.

19
00:01:24,030 --> 00:01:34,640
Dar ceea ce vom face acum este portul de tip Port port pentru portul de securitate și ceea ce voi face este să specificați în mod explicit adresa

20
00:01:34,640 --> 00:01:36,460
MAC care este permisă.

21
00:01:36,620 --> 00:01:43,230
Și doar pentru a dovedi punctul sau pentru a specifica o altă adresă MAC, să spunem trei.

22
00:01:43,390 --> 00:01:55,090
Acum, în momentul de față, adresa MAC de pe acest router care acționează ca PC-ul nostru este astfel.

23
00:01:55,170 --> 00:02:02,550
Deci este o altă adresă MAC pe care PC-ul o poate ping mai degrabă una pentru că

24
00:02:02,550 --> 00:02:08,440
nu am activat în mod explicit portul, dar am configurat adresa MAC.

25
00:02:08,700 --> 00:02:11,970
Am configurat adresele MAC maxime permise.

26
00:02:12,410 --> 00:02:16,890
Voi specifica acțiunea pe care o vom lua dacă există o

27
00:02:19,390 --> 00:02:26,620
notificare de încălcare pe care o protejăm restricționăm și închidem implicit așa cum am văzut este închis Acum protejați

28
00:02:26,650 --> 00:02:32,680
pachetele cu adresele MAC necunoscute de sursă până când eliminați un număr suficient de adrese

29
00:02:32,680 --> 00:02:35,130
MAC securizate scade sub valoarea maximă.

30
00:02:35,140 --> 00:02:38,930
Cu alte cuvinte, abandonăm pachetele din adrese MAC necunoscute.

31
00:02:39,160 --> 00:02:43,630
Dar nu există nici o înregistrare în acest moment, permițând doar o adresă MAC.

32
00:02:43,630 --> 00:02:49,840
Dar, ca exemplu, dacă ați specificat o adresă MAC maximă de trei și un al patrulea

33
00:02:49,840 --> 00:02:56,530
dispozitiv, încercați să trimiteți traficul pe care traficul de dispozitive ar fi scăpat restricționa pachetele cu adrese

34
00:02:56,830 --> 00:03:02,960
MAC necunoscute, până când eliminați un număr suficient de adrese MAC protejate sub valoarea maximă.

35
00:03:02,980 --> 00:03:05,410
Deci este foarte asemănător cu protecția.

36
00:03:05,410 --> 00:03:10,610
Dar, în plus, provoacă o încălcare a securității.

37
00:03:10,900 --> 00:03:17,470
Cu alte cuvinte, va fi generarea de mesaje de jurnal și contorizarea va crește oprirea este

38
00:03:17,520 --> 00:03:20,260
implicit pe care l-am văzut deja.

39
00:03:20,260 --> 00:03:28,600
Iar acest lucru pune portul într-un mod de dezactivare și notificările de la Saens și SMP trap, dacă SMP este configurat.

40
00:03:29,050 --> 00:03:37,110
Așadar, voi continua să folosesc oprirea astfel încât să vedem cum configurația de ieșire arată după cum urmează.

41
00:03:37,180 --> 00:03:41,630
Rețineți că adresa MAC a acestui dispozitiv este o adresă MAC diferită.

42
00:03:41,650 --> 00:03:42,730
Este așa.

43
00:03:42,940 --> 00:03:50,650
Dar permitem doar această adresă MAC, dar pentru că nu avem activat la nivel global portul securității portului

44
00:03:50,650 --> 00:03:52,430
nu este activ.

45
00:03:52,690 --> 00:03:57,580
Deci, putem folosi comoda pentru a arăta securitatea portului în momentul de față.

46
00:03:57,580 --> 00:04:03,380
Securitatea portului este activată pe gigabit 00, dar nu pe gigabit 0 1.

47
00:04:03,390 --> 00:04:11,510
De asemenea, putem folosi starea interfeței de comandă pentru a afișa atât gigabit 0 0, cât și 0 1.

48
00:04:11,520 --> 00:04:16,080
Suportul nostru conectat nu a fost închis din cauza securității portuare.

49
00:04:17,050 --> 00:04:22,740
Dar acum, când tastăm ce Port Port Security permitem de fapt securitatea portului.

50
00:04:23,050 --> 00:04:33,300
Și încă o dată avem nevoie ca acest lucru să fie configurat ca un port de acces al Conti lui TTP pentru a face gigabitul de interfață de

51
00:04:33,310 --> 00:04:35,050
show run 0 1.

52
00:04:35,740 --> 00:04:41,990
Și în timp ce făceam acea notificare, am primit un mesaj de încălcare a securității portuare.

53
00:04:42,100 --> 00:04:50,190
Ni sa spus că a existat o problemă cu această adresă mac terminând în două pe gigabit.

54
00:04:50,210 --> 00:04:57,050
0 1 am permis doar ca adresa MAC să se termine în trei adrese MAC maxime care ar fi permise.

55
00:04:57,080 --> 00:05:01,720
Doar o adresă MAC permisă în acest caz.

56
00:05:01,730 --> 00:05:08,720
Când ne uităm la Comeau și facem să vedem starea interfeței putem vedea că portul a fost dezactivat.

57
00:05:08,980 --> 00:05:13,870
Deci, arată statutul de interfață este o comandă care ne arată starea porturilor pe

58
00:05:14,710 --> 00:05:22,210
care putem vedea că este conectat, dar acest port are un handicap astfel încât portul de securitate arată încă o dată ne arată din

59
00:05:22,210 --> 00:05:27,110
nou că gigabitul este 0 0 și 0 1 au o acțiune de securitate a închide.

60
00:05:27,420 --> 00:05:34,380
Dar singurul port care este închis în prezent este portul 0 1.

61
00:05:34,560 --> 00:05:38,600
Deci, arată starea interfeței ne arată că acest port este încă conectat.

62
00:05:38,650 --> 00:05:45,990
Suprafața suporterilor a fost dezactivată și acum această gazdă poate ping dreptul la una, deoarece porturile porților

63
00:05:48,790 --> 00:05:54,080
sunt dezactivate arată portul de interfață de securitate gigabit la 0 1.

64
00:05:54,310 --> 00:05:57,890
Putem vedea că securitatea portului este activată în acest port.

65
00:05:57,910 --> 00:06:02,620
Se închide în prezent din cauza modului de oprire.

66
00:06:02,650 --> 00:06:08,770
Aceasta este ultima adresă MAC care a încălcat politica de securitate pe acea interfață.

67
00:06:09,790 --> 00:06:24,560
Așa că am adus-o la schimbarea adresei MAC la adresa MAC așteptată de comutator, dar încă nu va fi capabil să ping din

68
00:06:24,560 --> 00:06:28,660
cauza încălcării care a avut loc.

69
00:06:29,620 --> 00:06:38,590
Așa că trebuie să intrăm în port și să o închidem și apoi să nu o închidem.

70
00:06:38,750 --> 00:06:44,480
Odată ce acest lucru se face și comutatorul află adresa MAC corectă,

71
00:06:48,510 --> 00:06:52,530
dispozitivul ar trebui să poată să ping.

72
00:06:52,560 --> 00:06:54,540
Deci, în momentul în care adresa MAC nu a

73
00:06:57,380 --> 00:06:59,360
fost învățată, doar așteaptă ca interfața să apară.

74
00:07:01,370 --> 00:07:03,240
Deci, arată starea interfeței.

75
00:07:03,250 --> 00:07:09,420
Să vedem ce se întâmplă pe interfețele conectate.

76
00:07:09,640 --> 00:07:11,890
Și acum ping-ul reușește.

77
00:07:12,040 --> 00:07:17,620
Eram prea nerăbdător și trebuia să aștept să cheltuiesc copac și

78
00:07:17,620 --> 00:07:23,820
alte protocoale pentru a se ordona, dar arăta portul de securitate gigabit 0 1.

79
00:07:24,040 --> 00:07:31,070
Putem vedea că securitatea portului este activată modul de încălcare oprit în momentul în care statutul de port este securizat și interfețele

80
00:07:31,070 --> 00:07:36,200
de până ultima adresa MAC care a fost văzut a fost acest lucru pe acel port.

81
00:07:36,200 --> 00:07:38,550
Nu s-au produs încălcări ale securității.

82
00:07:38,810 --> 00:07:43,540
Adresa maximă MAC este permisă încă o dată, deoarece o adresă MAC totală este văzută ca una.

83
00:07:43,550 --> 00:07:51,410
O adresă MAC este configurată deoarece am configurat manual adresa MAC pe comutator.

84
00:07:51,420 --> 00:07:59,680
Deci, dacă salvez această configurație și repornirea comutatorului, adresa MAC este stocată în configurația salvată.

85
00:08:00,460 --> 00:08:06,600
Deci asta e diferit de ceea ce avem pe gigabit aici.

86
00:08:06,610 --> 00:08:12,190
Când comutatorul repornește, se va afla pur și simplu adresa MAC a sursei dintr-un cadru primit.

87
00:08:12,220 --> 00:08:18,630
Deci, primul dispozitiv care se conectează va avea adresa MAC adăugată în baza de date pentru a afișa adresa de securitate

88
00:08:21,400 --> 00:08:24,730
a portului, ca exemplu care ne arată cele două adrese.

89
00:08:24,750 --> 00:08:27,430
Acesta a fost configurat static.

90
00:08:27,600 --> 00:08:30,240
Acesta a fost învățat dinamic.

91
00:08:30,240 --> 00:08:33,240
Deci, adresa MAC a interfeței a fost configurată.

92
00:08:33,330 --> 00:08:35,070
Acest lucru a fost făcut chimic învățat.

93
00:08:35,070 --> 00:08:42,390
Acum, exemplul din dreapta este locul în care permiteți în mod explicit o anumită adresă MAC în rețea.

94
00:08:42,390 --> 00:08:48,120
Exemplul din stânga este locul în care restricționați numărul de adrese MAC permise pe un port din partea

95
00:08:48,990 --> 00:08:49,650
stângă.

96
00:08:49,650 --> 00:08:56,730
Ați opri un utilizator conectând un hub ca exemplu la rețea și conectând mai multe dispozitive

97
00:08:56,730 --> 00:09:05,140
la port, în timp ce exemplul din partea dreaptă este locul în care limităm traficul la o anumită adresă MAC.

98
00:09:05,160 --> 00:09:12,780
Problema cu această metodă este că trebuie să identificăm adresele MAC ale dispozitivelor și

99
00:09:13,260 --> 00:09:16,860
să configuram manual acele adrese MAC.

100
00:09:16,890 --> 00:09:18,660
Deci, haideți să ne uităm la alt mod de a face acest lucru.