CCNA Security 第三天

3.1 Configure port-security
interface FastEthernet0/16
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky

注：当在接口下启用该功能时，以下接口不可以启用。
DTP port、Dynamic-access port、Routed port、SPAN destination port、EtherChannel。

注：当接口处于(err-disabled) 状态时，三种方法激活该接口。
1. 在该接口手工shutdown ,no shutdown该接口。
2. errdisable recovery cause security-violation
   errdisable recovery interval 30
3.reload

Port-security 介绍
有效阻止，MAC Flood和MAC Spoof攻击
a.MAC Flood当特定接口设定的MAC table满的时候产生violation。
b.当一个MAC地址在同一个VLAN里边的两个不同接口学到的时候产生violation。

2.Port Security的默认行为
a.所有的接口Port Security功能是disable的。
b.默认每一个接口最大的MAC地址容量为一个。
c.默认vioation是shutdown。

3.三种violatoin方式
a.shutdown 使接口处于errordisable状态，并且告警。
b.restrict 丢包包并且告警。
c.protect 丢包不告警。

4.三种地址学习方式
a.自动学习（默认）。
b.手动指派 switchport port-sec mac-address MAC。
c.sticky   switchport port-sec mac-address sticky。

项目实施时，如果交换机，上面接了N多终端服务器，工程师可利用“宏”
这个特性来配置port-security,从而减少一定的负担
3550(config)#macro name pc1-pc200
Enter macro commands one per line. End with the character '@'.
switch access vlan $AVID
switch mode access
switch mode port-security
switch mode port-security violation restrict@
3550(config-if)#int f0/23
3550(config-if)#macro apply pc1-pc200 $AVID 2

3.2 Configure Switch Protect

interface FastEthernet0/1
 switchport access vlan 100
 switchport mode access
 switchport protected

interface FastEthernet0/2
 switchport access vlan 100
 switchport mode access
 switchport protected
注：一个接口敲，一个不敲，可以相互通信。两个接口都敲，不能相互通信。建议在接PC的接口上敲，网关与服务器接口慎用。

3.3 Configure  DHCP Snooping
ip dhcp snooping
注：全局激DHCP Spooing。
ip dhcp snooping vlan 2-10
注：VLAN 2-10启用DHCP Snooping功能。
intface FastEthernet 0/1
ip dhcp snooping limit rate 100
注：对dhcp包进行限制，每秒100个，超过shutdown.(建议接pc接口敲)。
ip dhcp snooping trust
注：该接口为dhcp snooping信任接口（接DHCP服务器接口敲）。
DHCP Snooping只维护本交换机的database。

3.4 Configure storm-control
基于接口限制广播、单播，组播的占用率
SW1(config-if)#storm-control broadcast level 87 65
注：限制该接口广播流量占该接口87%，超过采取行为，65%恢复正常。
SW1(config-if)#storm-control multicast level pps 2k 1k
行为
SW1(config-if)#storm-control action shutdown
SW1(config-if)#storm-control action trap

3.5 Configure SPAN
SW1(config)#monitor session 1 source interface f0/2
注：默认为双向流量，也就是both。
SW1(config)#monitor session 1 destination interface f0/3

SW1(config)#monitor session 1 source vlan 100 rx  
注：只抓收流量。
SW1(config)#monitor session 1 destination int f0/3

SPAN分为
1.Local SPAN
2.Remote SPAN(上述配置为Local SPAN,RSPAN这里不做介绍)

3.6 Configure DAI
ip arp inspection vlan 10
注：全局下VLAN 100启用DAI。
ip arp inspetion trust
注：上联接口建议配置。

3.7 Configure PVLAN

vlan 100
 name private
  private-vlan primary
  private-vlan association 200,300

vlan 200
 name communtiy
  private-vlan community

vlan 300
 name Isolated
  private-vlan isolated
 
3.8 阻止STP攻击
Switch(config)# interface fa0/16
Switch(config-if)# spanning-tree guard root

注：当启用后，该接口可以接与收发BPDU包，但是永远不可能成为ROOT。如果成为ROOT，使该接口处于不一致状态。

Switch(config)#intfa0/17
Switch(config-if)#spanning-tree bpduguard enable
注：当接口启用后，只要收到BPDU包，使该接口处于errdisable状态。

Switch(config)# interface fastEthernet 0/4
Switch(config-if)# spanning-tree bpdufilter enable
注：当端口启用后，则不会收发任何BPDU包。