diff --git "a/\347\237\263\350\211\257\346\266\233/20240508-\346\216\245\345\217\243\347\232\204\345\256\211\345\205\250\346\250\241\345\274\217.md" "b/\347\237\263\350\211\257\346\266\233/20240508-\346\216\245\345\217\243\347\232\204\345\256\211\345\205\250\346\250\241\345\274\217.md" new file mode 100644 index 0000000000000000000000000000000000000000..a21419f58442104162df316fd59e33d2087f9362 --- /dev/null +++ "b/\347\237\263\350\211\257\346\266\233/20240508-\346\216\245\345\217\243\347\232\204\345\256\211\345\205\250\346\250\241\345\274\217.md" @@ -0,0 +1,49 @@ +# 交换机接口的安全模式 + +## 为什么要设置交换机接口的安全模式? + +### 1、防止MAC地址欺骗攻击 + +##### 如果接口处于永久保护模式,交换机只学习接口上第一个检测到的MAC地址作为静态MAC地址,之后其它MAC地址的数据帧将被丢弃。这样可以防止MAC欺骗攻击,确保网络安全 + +### 2、限制接入主机数量 + +##### 在一些接入场景,比如用户宿舍接入,需要限制每个接口上只能连接固定数量的主机,防止过多主机拥挤带宽。可以设置接口的最大主机数模式来约束主机数 + +### 3、避免主机DOS攻击 + +##### 如果接口模式设置为单主机,那么当交换机检测到有新MAC地址加入时,自动将原有MAC地址删除。这样可以防止用户使用MAC溢出攻击造成DOS + +### 4、保障端口QoS策略 + +##### 如果基于MAC地址实施QoS策略,就需要通过安全端口绑定静态MAC地址,确保正确的MAC到QoS策略的映射关系 + +### 5、实现基于MAC的VLAN划分 + +##### 一些基于MAC的VLAN划分方案,需要在接口上绑定允许MAC地址范围,未绑定的MAC地址则被隔离 + +### 6、提高端口利用效率 + +##### 如果一个接入端口只连接一台服务器或工作站,可以设置为单主机模式,避免MAC表项被占用 + +## 设置交换机的安全模式(代码) + +```js +Switch(config-if)#switchport mode access //把接口设置为访问模式 +Switch(config-if)#switchport port-security //开启安全模式 +Switch(config-if)#switchport port-security maximum 1 //设置最大连接数 +Switch(config-if)#switchport port-security violation shutdown //设置超过限制后采取的措施上述为关机模式 +/* + +protect +该模式下,一旦违例(如新MAC地址违规接入),交换机会丢弃违例数据包,但不会对原有流量造成影响。这种方式可以继续允许已连接的主机正常通信。 + +restrict +该模式下,一旦违例,交换机会丢弃违例数据包,同时也会丢弃不符合安全标准的流量(如已有MAC的流量)。此模式将最大限度避免安全风险。 + +err-disable +启用该选项后,一旦违例就会让端口变为err-disabled状态。该状态下只能丢弃所有进出端口的数据流量,必须由管理员手动重新使能才能恢复工作。 + +*/ +Switch(config-if)#switchport port-security mac-address stick //设置MAC地址的输入模式上述为“粘性模式”。设置粘性模式后要和交换机产生交互后MAC地址才可绑定! +``` diff --git "a/\347\237\263\350\211\257\346\266\233/20240517-\344\270\211\345\261\202\344\272\244\346\215\242\346\234\272.md" "b/\347\237\263\350\211\257\346\266\233/20240517-\344\270\211\345\261\202\344\272\244\346\215\242\346\234\272.md" new file mode 100644 index 0000000000000000000000000000000000000000..4b255448d5b78214282ca3a7d19b93b67a657d10 --- /dev/null +++ "b/\347\237\263\350\211\257\346\266\233/20240517-\344\270\211\345\261\202\344\272\244\346\215\242\346\234\272.md" @@ -0,0 +1,43 @@ +# 三层交换机 + +#### 三层交换机(Layer 3 Switch)是一种融合了传统二层交换机和三层路由器功能的网络设备。它既具备二层交换机线速转发数据包的硬件交换能力,又支持软件路由和三层路由协议。这使得三层交换机在构建园区网、企业网或数据中心网络时,可以提供比路由器高得多的数据转发性能,同时又比传统二层交换机具有更灵活的三层互联能力 + +### 三层交换机的主要特点包括 + +### ASIC硬件转发架构 + +#### 采用专用线路交换ASIC芯片进行硬件转发,能够在三层路由的同时,保持接近线速的转发性能 + +### 三层路由 + +#### 支持各种路由协议(如OSPF、EIGRP、BGP等),可以在网段间进行路由选路转发 + +### VLAN间路由 + +#### 通过三层接口和路由功能,实现同设备内多个VLAN间的三层通信 + +### ACL/QoS控制 + +#### 支持访问控制列表(ACL)过滤流量,以及基于软件的QoS流量优先级控制 + +### 链路聚合 + +#### 支持EtherChannel聚合多条链路,提高冗余备份和带宽利用率 + +### FHRP冗余备份 + +#### 支持HSRP/VRRP等网关冗余协议,实现默认网关的高可用备份 + +### 安全访问控制 + +#### 支持802.1x等接入认证,端口安全访问控制等安全特性 + +## 主要代码 + +```js +ip routing //开启路由功能 + +no switchport //开启端口的三层功能作用是让二层端口转变成三层端口,使其可以绑定IP + +switchport trunk encapsulation dot1q //将trunk模式先封装成dot1q协议模式。才可以设置turnk模式 +```