Protecția rețelelor prin mijloace regulate, jurnalul unui specialist în rețea

Protecția rețelelor prin mijloace regulate

Storm control (suprimarea difuzării)

Tehnologia permite setarea sarcinii maxime de transmisie pe portul comutatorului. Dacă un defect a apărut în rețea sau dacă cardul de rețea sa defectat și începe să atace rețeaua, acesta poate fi întotdeauna limitat. Un exemplu.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # nivel de difuzare de control al furtunii 70
Switch.1028-2 (config-if) # capcana de acțiune pentru controlul furtunilor

Setați nivelul difuzării la 70% (puteți seta valoarea absolută în biți pe secundă sau pachete pe secundă) și specificați capcanele de trimitere. Sau această opțiune.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # nivel de difuzare de control al furtunii 90
Switch.1028-2 (config-if) # storm-control de oprire a acțiunii

Setați nivelul maxim de difuzare la 90% și închideți portul la intersecția acestei valori.

Lista de control al accesului (acl)

Această tehnologie permite întrerupătoarelor de nivel trei pentru a diferenția accesul la subrețea sau subrețele și configurați pe comutatoarele de-al doilea acces la nivel de management prin ssh sau telnet. Exemplu pentru setarea gestionării din rețeaua de administrare.

Switch.1028-2 (config) # acces-list 10 permit 10.100.0.0 0.0.255.255
Switch.1028-2 (config) #line vty 0 4
Switch.1028-2 (config-line) # acces-class 10 in

Din terminalul vty, indicăm că vă puteți conecta la intrarea terminalului numai din rețeaua 10.100.0.0/16. Astfel, nu de la rețeaua de administrare la comutatorul de intrare va fi imposibil. Acest lucru vă va proteja de încercările de acces neautorizat la echipamentele altor utilizatori ai rețelei.

Aveți grijă cu listele de control al accesului. În practica mea, am văzut cum nu s-au gândit complet algoritmi forțați să repornească echipamentele la distanță sau chiar să reseta configurația implicită.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport port-security mac-address H.H.H

Switch.1028-2 (config-if) #switchport maxim de securitate port-1
Switch.1028-2 (config-if) #switchport limita de securitate port
Switch.1028-2 (config-if) #switchport timpul de îmbătrânire a securității portului 1
Switch.1028-2 (config-if) #versă inactivitatea tipului de îmbătrânire a securității portului

Apoi specificăm timpul real în care informațiile despre sursă devin caduce și puteți conecta un alt dispozitiv fără a încălca regula. Avem această valoare de 1 minut.

Ultima comandă indică în ce caz informațiile despre sursă sunt depășite. În cazul nostru, dacă ar fi inactivă. Dacă vrem ca informațiile despre sursă să fie actualizate la fiecare minut, indiferent de activitatea lor, atunci trebuie să folosim valoarea absolută. De exemplu,

Switch.1028-2 (config-if) #switchport port de securitate de îmbătrânire de tip absolut

Tehnologia vă va proteja de crearea de inele logice în rețeaua dvs. Pentru ao activa, trebuie să activați protocolul stp pe comutator. La determinarea rădăcină în rețea, după cum se știe, pachetele de servicii bpdu sunt trimise. Dacă rădăcina este deja definită, ce vă va împiedica să refaceți topologia rețelei prin includerea altui dispozitiv cu cea mai mică prioritate? Dacă faceți acest lucru, atunci rețeaua va începe să se schimbe și ca root poate fi piesa foarte slab de fier, care pur și simplu nu va trage de rețea și rețeaua se va prăbuși. Acest lucru poate fi prevenit prin îndreptarea către porturile comutatoarelor de acces bpduguard. Ei bine, atunci.

Switch.1028-2 (config) #int fastEthernet 0/46
Comutator.1028-2 (config-if) # spanning-tree bpduguard permite

După ce încercați să vă conectați la portul de dispozitiv pe care îl trimite bpdu, acest port este blocat, lăsând astfel topologia rețelei neschimbată.

Dar, dacă sunteți sigur că astfel de dispozitive nu vor fi conectate la port, atunci poate fi ordonată să înainteze imediat pachetele fără a studia topologia. În acest caz, dispozitivul însuși vă va avertiza despre posibilele consecințe ale unor astfel de acțiuni. Aceasta este realizată de o astfel de echipă.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # spanning-tree portfast

Protecția conexiunilor trunchiului

1. Închideți porturile neutilizate din punct de vedere administrativ

2. Dezactivați conectarea automată a trunchiului (portbagaj) la porturi

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #exprimă niciun acord

sau configurație manuală (statică) a portului în modul de acces

Switch.1028-2 (config-if) # acces la modul de redare

3. Atribuiți un port unei rețele nefolosite.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport acces vlan 4094

4. Activarea modului transparent vtp pe comutator

Switch.1028-2 (config) #vtp transparent

5. Configurarea parolei vtp

Switch.1028-2 (config) #vtp parola PASSWORD

6. Configurarea tehnologiei pentru tăierea traficului folosind tehnologia vtp