返回
交换机常用操作命令手册

交换机常用操作命令手册

ID:30401924

大小:87.50 KB

页数:18页

时间:2018-12-29

交换机常用操作命令手册_第1页
交换机常用操作命令手册_第2页
交换机常用操作命令手册_第3页
交换机常用操作命令手册_第4页
交换机常用操作命令手册_第5页
资源描述:

《交换机常用操作命令手册》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、交换机常用操作命令手册2引用2.9交换机防攻击配置防ARP攻击:在交换机上对防ARP攻击的功能有:IP和MAC地址的绑定:Switch(config)#arpip-addresshardware-address[type]interface-idSwitch(config)#arp192.168.12.11100d0.f800.073carpagigabitethernet0/1此命令只有三层交换机支持。防网关被欺骗:假设交换机的千兆口为上联口,百兆端口接用户,上联口接网关。如果某个用户假冒网关的IP发出ARP请求,那么其他用户无法区分是真正的网关还是

2、假冒的网关,把假冒网关的ARP保存到本机的ARP列表中,最终将造成用户上网不正常。针对ARP欺骗的手段,可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP地址的ARP通过交换机,这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。如图6,防网关被欺骗配置在靠近用户侧的设备上。图6配置:Switch(config)#Interfaceinterface-id//进入指定端口进行配置。Switch(config-if)#Anti-ARP-Spoofingi

3、pip-address//配置防止ip-address的ARP欺骗。配置实例:假设S2126GG1/1接上联端口,Fa0/1~24接用户,网关ip地址为192.168.64.1,在端口1到24口设置防网关ARP欺骗如下:Switch(config)#interrangefastEthernet0/1-24//进入端口Fa0/1~24进行配置。Switch(config-if-range)#anti-ARP-Spoofingip192.168.64.1//设置防止192.168.64.1arp欺骗Switch(config-if-range)#noant

4、i-ARP-Spoofingip192.168.64.1//去掉防ARP欺骗。?防网关被欺骗只能配置在用户端口处,不能配置在交换机的上联口,否则会造成网络中断。?防网关被欺骗不能防ARP主机欺骗,也就是说该功能只是在一定程度上减少ARP欺骗的可能性,并不是完全防止ARP欺骗。防STP攻击:网络中攻击者可以发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。采取的防范措施:对于接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。(传统的防范方式)。使用交换机具备的BPDUGuard功能,可以禁止网络中直接接用户的端口或接入

5、层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。配置:Switch(config)#interfastEthernet0/1//进入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打开该端口的的BPDUguard功能Switch(config-if)#spanning-treebpduguarddiaable//关闭该端口的的BPDUguard功能?打开的BPDUguard,如果在该端口上收到BPDU,则会进入error-disabled状态,只有手工把该端口shut

6、down然后再noshutdown或者重新启动交换机,才能恢复。?该功能只能在直接面向PC的端口打开,不能在上联口或非直接接PC的端口打开。防DOS/DDOS攻击:DoS/DDoS(拒绝服务攻击/分布式拒绝服务攻击):它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。锐捷交换机可设置基于RFC2827的入口过滤规则,如图7:图7配置:Switch(config)#interfastEthernet0/1//进入端口Fa0/1。Switch(config-if)#ipdenysp

7、oofing-source//预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。Switch(config-if)#noipdenyspoofing-source//关闭入口过滤功能。?只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。?注意只能在直连(connected)接口配置该过滤,在和骨干层相连的汇聚层接口(即uplink口)上设置入口过滤,会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。?只能在一个接口上关联输入ACL或者设置入口过滤,二者不能同时应用。如果已经将一个接口应

8、用了一个ACL,再打开预防DoS的入口过滤,将导致后者产生的ACL代替前者和接口关联。反之亦然

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。