端口安全

交换机的五种攻击

VLAN跳跃攻击
生成树攻击
MAC表洪水攻击
泛洪：广播
1.限制MAC地址
配置
Switch>en
Switch#config t
Switch(config)#int f0/1
Switch(config-if)#sw mo acc//设置模式为ACCESS
Switch(config-if)#switchport port-security //开启端口安全
Switch(config-if)#switchport port-security mac-address 00E0.8F09.42EA//绑定MAC地址
Switch(config-if)#switchport port-security violation shutdown //安全违例模式为关闭
violation的模式:
protect:不回应
restrict:拒绝
shutdown:关闭
2.限制交换机端口的最大连接数
Switch(config-if)#switchport port-security maximum
ARP攻击
VTP攻击
1.通过域名来同步
2.服务端和客户端模式（服务端(s)，客户端(c)，透明(t)）

	server	client	tranpatent
增删改vlan信息	v	x	v
转发VTP信息	v	v	v
同步VTP信息	v	v	x
保存在NVRAM	v	x	v

在VTP中谁与谁同步，不是有角色决定，而是由版本号决定（大的决定小的）
配置VTP
客户端需要写域名
密码
A-B，都不加密码，A创建vlan，B可以学习
A添加密码，B不加密码，A创建vlan，B无法学习
A和B都添加密码，且相同，可以学习

Switch(config)#int f0/24
Switch(config-if)#sw mo acc
Switch(config-if)#sw mo trunk

SW1(config)#vtp domain zlt
SW1(config)#vtp mode server
SW1(config)#vtp password *****

STP生成树协议

逻辑上断开环路，防止广播风暴的产生。
当线路出现故障，断开的接口被激活，恢复通信，起备份线路的作用。

STP算法

STP将一个环形网络生成无环拓朴的步骤：
第一步：选择根网桥（Root Bridge）
第二步：选择根端口（Root Ports）
第三步：选择指端口（Designated Ports）

选择根网桥

如何选择

(1)什么是BID
:BID=优先级+MAC地址
默认优先级 32768
(2)如何查看VLAN生成树
Switch#sh spanning-tree
(3)如何查看MAC地址
SW1#sh version

根据网桥ID（BID）选择根网桥，谁的优先级小，谁就是根桥。如果优先级相同，谁的MAC地址小谁就是根桥。

选择根端口

在非根网桥上选择一个到根网桥最近的端口作为根端口选择根端口的依据是：
根路径成本（cost值）【从端口出发到根桥】最低
直连网桥的网桥ID最小
直连网桥的端口ID最小

选择指定端口

非根桥上的指定端口：
根路径成本【从非根桥到根桥】最低
端口所在的网桥的ID值较小
直连网桥的端口ID值较小

BPDU

什么是BPDU

交换机之间使用BPDU来交换STP信息，BPDU（Bridge Protocol Data Unit）使用组播发送BPDU，组播地址为：01-80-c2-00-00-00。
BPDU分为2种类型：
配置BPDU －用于生成树计算
拓朴变更通告（TCN）BPDU －用于通告网络拓朴的变化

生成树端口的状态

状态	用途
转发(Forwarding)	发送和接受用户数据
学习(Learning)	构建网桥表
侦听(Listening)	构建“活动”拓扑选举根桥根端口指定端口
阻塞(Blocking)	只接收BPDU
禁用(Disable)	强制关闭

PVST（按VLAN生成树）

什么是PVST

PVST是Cisco私有的，为每个VLAN构造一棵生成树

PVST的配置命令

启用生成树：Switch(config)#spanning-tree vlan vlan-list
设置根网桥：Switch(config)#spanning-tree vlan vlan-list root primary | secondary
-设置为primary后，优先级变成24576
-设置为secondary后，优先级变成28672
修改网桥的优先级：Switch(config)#spanning-tree vlan vlan-list priority Bridge-priority
-优先级的值为4096的倍数
修改端口成本：Switch(config-if)#spanning-tree vlan vlan-list cost cost
修改端口优先级：Switch(config-if)#spanning-tree vlan vlan-list port-priority priority
配置上行速链路：Switch(config)#spanning-tree uplinkfast

配置端口速链路：Switch(config-if)#spanning-tree portfast
查看生成树的配置：Switch#show spanning-tree
查看某个VLAN的生成树详细信息：Switch#show spanning-tree vlan vlan-id detail

案例:
让SW1作vlan10的根桥，让SW2作vlan10的备份根
SW1(config)#spanning-tree vlan 10 root primary
SW2(config)#spanning-tree vlan 10 root secondary
让SW2作vlan20的根桥，让SW2作vlan20的备份根
SW2(config)#spanning-tree vlan 20 root primary
SW1(config)#spanning-tree vlan 20 root secondary
这样做可以将所有的线路都利用起来，并实现负载均衡和线路备份

以太网端口聚合

1.增加带宽
2.增加冗余链路
3.实现负载均衡

端口聚合配置：

Switch(config)#int port-channel 1
Switch(config-if)#switchport mode trunk
Switch(config)#int range f0/1-2
Switch(config-if-range)#channel-group 1 mode on

配置流量均衡

Switch(config)#int f0/1
Switch(config-if)#spanning-tree vlan 10 port-priority 16
Switch(config-if)#spanning-tree vlan 20 port-priority 32
Switch(config)#int f0/2
Switch(config-if)#spanning-tree vlan 10 port-priority 32
Switch(config-if)#spanning-tree vlan 20 port-priority 16

来源：https://www.cnblogs.com/wxj1711652908/p/12381495.html

标签

网桥

端口聚合

端口转发

网络端口

优先级