其他交换机安全特性

1.span(交换机端口分析)

monitor session 1 source interface gi0/2(把某个接口流量引导某个接口)

monitor session 1 detination interface gi0/3(抓包的接口)

2.vacl

1.能够对vlan内核vlan间的流量进行控制

2.能够对ip和none-ip的流量进行控制

3.vacl先于racl进行处理

4.无方向性,进入或者离开都受控制

ip access-list ex r1-r2.telnet

permit tcp host 10.1.1.3 host 10.1.1.4 eq 23

permit tcp host 10.1.1.4 eq 23 host 10.1.1.3

vlan access-map vacl 10

match ip address r1-r2.telnet

action forwrd

vlan filter vacl vlan-list 2

3.二层隔离技术

a.switchport protect

int f0/1

switchport protected(敲上这个命令接口之间就不通了.需要两个隔离设备接口都要敲)

b.private vlan

三种vlan类型

1.primary vlan

2.isolated vlan

3.community vlan

三种接口类型:

1.promiscuous

2.isolated

3.community

访问特性:1.promiscuous接口可以和任意类型的接口通信。

2.isolatod接口只能和promiscucus类型的接口通信。

3.community接口可以和相同community内的其他接口通信,可以和promiscuous接口通信。

4.storm-control(风暴控制)

基于接口限制广播,单播,组播的占用率

storm-control broadcast level 87 65(广播占用这个接口的带宽87%,多的部分丢掉)

or

storm-control multicast level pps 2k 1k

默认的行为:过滤

storm-control action shutdown

or

storm-control action trap

cisco终端安全技术

1.802.1x

ieee 802.1x

1.在无线和有线网络运用eap的一种方式。

2.主要用于封装eap的二层协议,简称eapol.

3.提供了对网络的物理访问限制。

什么是eap(extensible authentication protocol)

一个灵活的传输协议,用来承载任意认证信息。

直接运行在数据链路层之上,例如:ppp或者以太网

支持多种认证类型。

802.1x特点

严重注意:

真实的认证会话使用eap发生在客户和认证服务器之间,authentication9交换机或ap)能够感受到这个行为,但它只是一个中继设备。

eap直接是client和acs之间运行

流行的eap authentciation method

eap-md5 有线网络用。

esp-tls 证书

eap-fast 思科私有,必须安装思科的拨号程序和硬件。

peap受保护的eap

step1网络基本配置

1.配置vlan

2.配置svi

拓扑图

交换机3560配置

step2 aaa基本配置

1.线下保护

aaa new-model

aaa authentcation login noacs line none

line con0

login authentication noacs

radius-server host 170.1.6.241 key cisco

2.test aaa

test aaa group radius do1xuser cisco new-code

step3 3560 802.1x认证基本配置

交换机3560配置

1.创建dot1x认证策略

aaa authentication dot1x default group radius必须用default

2.全局激活dot1x

dot1x system-auth-control

3.接口启用dot1x

interface f0/19

switchport access vlan 2

switchport mode access

dot1x port-control auto

step4 xp测试

step5 查看dot1x状态

show dot1x interface f0/19 details

2.nac(准入)

确保顺从(os|sp|antivirus|personal fw...)的主机进入网络,并且支持对不顺从主机的修复。

cisco的两种nac部署方式

1.nac framework

2.cisco nac appliance (cisco clean access)

3.csa

cisco提供了主机ips,保护并且控制服务器的终端设备。

san存储网络

什么是san

san是scsi和网络的合并

san三种传输技术

fibre channel

iscsi

fcip

cisco mds 9000存储网络交换机

voip network components

voip protocols

h.323

mgcp

sip

sccp

auxiliary vlan

interface f0/12

switchport access vlan110

switchport mode access

switchport voice vlan 210

switchport port-security maximum 2

switchport prot-security maximum 1 vlan access

switchport port-security maximum 1 vlan voice

switchport port-security