NETGEAR交换机的安全功能配置
1.目的
现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。本文将针对NETGEAR的智能及网管型交换机,详细介绍各种关于网络安全设置的办法。
目前,业界普遍认为有效的网络安全设置有:
1.基于交换机端口和主机MAC地址的绑定。
2.基于主机IP和MAC地址的绑定
美国网件公司出品智能交换机FS700TS系列,及网管型交换机FSM700系列,三层交换机FSM7300,GSM7300系列交换机均支持一系列的网络安全设置。但不同系列的交换机所支持的功能和设置均有所区别,先文将作详细介绍。
1.1条件
具备环境
1.NETGEAR 7000系列交换机(以GSM7328S为例,固件版本7.1.1.7)一台
2.NETGEAR增强型智能网管交换机(以GS724AT为例,固件版本3.0.61)一台3.NETGEAR基本智能交换机(以FS726T为例,固件版本1.2.4_35)一台
4.NETGEAR智能交换机配置向导软件(SmartWizard_2.05.05),
5.NETEAR7000系列交换机随机9针串口设置电缆一根,网线数条(正线若干根)6.个人电脑若干
1. 内容
2.1 配置基于端口的MAC地址绑定
2.1.1 网络结构图
以下是我们要达到目的的网络示意图:
合法用户可以通过交换机连接到企业内部网络
非法用户的连接请求将会被交换机拒绝
如图所显,拥有合法的MAC地址的用户可以通过交换机连接到企业的内部网络,而没有合法MAC地址的用户将会被交换机拒绝。经过这样的配置后,网络里面只有唯一合法主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。该功能主要用户防止非法用户使用网络,同时亦由于MAC地址的唯一性,网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。
NETGEAR 7000系列交换机、增强型智能网管交换机以及部分基本智能型网管交换机(如GS724Tv2)均支持端口MAC地址绑定。
2.1.2增强型智能网管交换机上端口和MAC地址绑定配置
以GS724AT,对其端口1进行MAC地址绑定,要达到的目的为:实现指定电脑只能从端口1访问网络,而其他电脑不能通过端口1访问网络。
将交换机恢复出厂设置,并配置相应IP地址。
1.打开配置计算机的IE浏览器,在URL处输入http://192.168.0.242/(假设已经设好IP)2.登录管理员帐号,输入口令:password (缺省)
3.进入Security > Traffic Control > Port Security。在要绑定MAC的端口前打上勾,将Status改为Locked。
其他部分参数:
Learning Mode:端口学习模式,若为Classic Lock,则该端口停止动态学习MAC 地址,只转发静态指定的MAC地址的包。Limited Dynamic Lock为限制端口动态学习MAC的条目,在后面Max Entries中设置具体数量。
Action:Discard为丢弃,即丢弃非绑定MAC的数据包。Forward为仍然转发;Shutdown为遇到非绑定MAC连入,即关闭端口。
设置完后,点APPLY应用。
4.再到Switching > Address Table > Advanced > Static Addresses。
如果电脑之前已经连到端口1上,那么这时可以看到它的MAC地址已经自动绑定到端口1了,Status为Secure。
5.如果要绑定目前没有在端口1上的电脑,那么需要手工添加这个电脑的MAC地址。
VLAN ID表示只在所选VLAN(PVID也要设为这个VLAN ID)中起作用,比如VLAN ID 选成1,则这台PC只在VLAN 1(端口PVID=1)中被限制,在其他VLAN中是不受限制的。MAC Address填入要绑定电脑的MAC地址。Interface填入端口。Status选择Secure。
注:一个端口可以同时绑定多台PC,但一个PC只能绑定到一个端口,如果再绑到第二个端口,那么前面绑定的端口会自动消除。
2.1.3 7000系列交换机的端口和MAC地址绑定的配置
本章节将以GSM7328S交换机介绍其端口跟MAC绑定的配置办法,同样也是要实现指定电脑只能从端口1访问网络,而其他电脑不能通过端口1访问网络。
2.1.
3.1 通过Web界面配置
1.进入Security > Traffic Control > Port Security > Port Administration中,将Port Security Mode改为Enable。点APPLY应用。
2.进入Security > Traffic Control > Port Security > Interface Configuration,选中端口1,进行如下设置:
1)将Port Security设为Enable
2)Max Allowed Dynamically Learned M AC设为0,表示该端口不动态学习MAC地址3)在Max Allowed Statically Locked MAC设置要绑定的静态MAC地址的数量,最大48个。
3.进入Security > Traffic Control > Port Security > Static MAC Address,选择端口1(1/0/1),并在Static MAC Address处填入要绑定的MAC地址,再选择所在VLAN,点ADD添加。
4.重复上一步可添加多个MAC绑定,并在下方列表中显示
2.1.
3.2 通过命令行配置
(GSM7328S) #configure
(GSM7328S) (Config)#port-security //打开全局端口安全模式
(GSM7328S) (Config)#interface 1/0/1
(GSM7328S) (Interface 1/0/1)#port-security
//打开端口1的安全模式
(GSM7328S) (Interface 1/0/1)#port-security mac-address 00:0F:B5:3A:51:90 1
(GSM7328S) (Interface 1/0/1)#port-security mac-address 00:0F:B5:3A:51:91 1
(GSM7328S) (Interface 1/0/1)#port-security mac-address 00:0F:B5:3A:51:92 1
//将三个MAC地址绑定到端口1,命令最后的“1”表示VLAN 1
(GSM7328S) (Interface 1/0/1)#port-security max-dynamic 0
//关闭该端口动态学习MAC的功能
(GSM7328S) (Interface 1/0/1)#port-security max-static 48
//设置该端口最大绑定的MAC条数
(GSM7328S) (Interface 1/0/1)#exit
2.2 配置IP和MAC地址绑定
IP和主机的MAC地址绑定,有利于网络管理员有效地分配IP地址,并根据IP地址对主机进行带宽或者访问管理,合理规划网络资源,更有效地控制网络安全和管理网络。NETGEAR交换机实现IP和MAC的绑定,实际上是先做MAC跟端口的绑定,再做IP跟端口的绑定(通过IP ACL实现),达到IP+MAC+端口三者同时绑定,并不能单纯从ARP 上做IP+MAC绑定。
下面我们分别用GSM7328S和GS724AT来实现以下目标:在端口1绑定00:0F:B5:3A:51:90和192.168.1.65,描述如何在7000交换机和增强型智能网管交换机上实现IP+MAC+端口的绑定。
2.2.1 7000系列交换机IP和MAC地址绑定
2.2.1.1 通过Web界面配置
1.先将00:0F:B5:3A:51:90绑定到端口1(过程参考前文《7000系列交换机的端口和MAC 地址绑定的配置》)
2.将192.168.1.65绑定到端口1
1)进入Security > ACL > Advanced > IP ACL,新建一条标准ACL,ACL ID为1。(这里只要限制源IP,因此只需要建立标准ACL就行了,无需扩展ACL)
2)进入Security > ACL > Advanced > IP Rules
点ADD新建一条规则,允许192.168.1.65的访问
3)再新建第二条规则,拒绝其他访问
注:由于ACL都有一条默认规则拒绝所有访问,所有这条规则其实可以不加,效果都一样。
4)进入Security > ACL > Advanced > IP Binding Configuration中,将ACL 1应用到端口1。
5)设置完成后,无论是MAC地址不符或IP地址不符的电脑,都无法通过端口1连入网络。
2.2.1.2 通过命令行配置
(GSM7328S) #configure
(GSM7328S) (Config)#port-security
(GSM7328S) (Config)#interface 1/0/1
(GSM7328S) (Interface 1/0/1)#port-security
(GSM7328S) (Interface 1/0/1)#port-security mac-address 00:0F:B5:3A:51:90 1
(GSM7328S) (Interface 1/0/1)#port-security max-dynamic 0
(GSM7328S) (Interface 1/0/1)#port-security max-static 1
(GSM7328S) (Interface 1/0/1)#exit
//以上是在端口1上绑定了一个MAC地址00:0F:B5:3A:51:90,并只允许绑定一个MAC地址
(GSM7328S) (Config)#access-list 1 permit 192.168.1.65 0.0.0.0
(GSM7328S) (Config)#access-list 1 deny every
(GSM7328S) (Config)#interface 1/0/1
(GSM7328S) (Interface 1/0/1)#ip access-group 1 in
(GSM7328S) (Interface 1/0/1)#exit
//在端口1上绑定IP:192.168.1.65
(GSM7328S) (Config)#
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
NETGEAR交换机动手操作实验(二)NETGEAR 交换机的VLAN和路由的配置和管理 2010年1月
目录 1.实验目的 (2) 1.1 实验条件 (2) 2. 实验内容 (2) 2.1 配置准备 (2) 2.2 Port VLAN配置 (3) 2.2.1 Port VLAN配置预完成目标 (3) 2.2.2 简单网管交换机的Port VLAN (3) 2.2.3基本型智能网管交换机的Port VLAN (6) 2.2.4增强型智能网管交换机的Port VLAN (8) 2.3 配置交换机802.1Q VLAN (12) 2.3.1 802.1Q VLAN配置预完成目标 (13) 2.3.2 网络连接示意图 (13) 2.3.3 交换机连接端口对应关系表 (13) 2.3.4 交换机VLAN与所属端口对应关系表 (14) 2.3.5 IP地址预规划 (14) 2.3.6 802.1Q VLAN配置 (14) 2.3.7 测试效果 (30) 2.4 配置7000交换机VLAN间的IP路由 (31) 2.5 配置交换机的广域网连接 (34)
1.实验目的 本实验将详细描述Netgear系列交换机的VLAN和IP路由的基本配置和管理的方法,主要包括以下内容: 1.配置智能交换机的Port-VLAN 2.配置交换机的802.1Q VLAN 3.配置交换机的VLAN间路由 4.配置交换机的广域网连接的缺省网关和静态路由 通过以上实验操作,实验者应该具备独立设置交换机能力,并能针对用户需要以实现交换机基本的VLAN划分、路由和管理。合理的划分VLAN有助于提高网络性能,提供基本的安全。并让实验者具备一定的解决常见基本故障的能力。 1.1 实验条件 要完成实验内容,必须具备以环境 1. NETGEAR 7000系列交换机(以GSM7328S为例,固件版本7.1.1.7)一台 2. NETGEAR增强型智能网管交换机(以GS724AT为例,固件版本3.0.61)一台 3. NETGEAR基本智能交换机(以FS726T为例,固件版本1.2.4_35)一台 4. NETGEAR智能交换机配置向导软件(SmartWizard_2.05.05) 5. NETGEAR简单网管交换机(以JFS524E,GS105E为例)两台 6. NETGEAR简单网管交换机管理工具(NETGEAR UM+ Utility V1.2B20) 7. NETEAR7000系列交换机随机9针串口设置电缆一根,网线数条(正线若干根)8.测试用的个人电脑若干 9.路由器一台 注:如果需要获得NETGEAR公司所有产品的最新软件,请平常及时访问https://www.doczj.com/doc/618123639.html,,并请注意每个产品升级的注意事项。 2. 实验内容 2.1 配置准备 在做以下内容配置操作之前,最好将交换机原先的配置清除,以防止不必要的麻烦。 清除配置方法如下: 1、7000系列交换机: 1)从配置电脑连接串口设置线至7000系列交换机,进入特权模式输入清除交换机现有的配置,清除配置命令:(GSM7328S)#clear config 2)清除完毕,重新配置交换机管理IP地址,再进行下述实验操作。 2、智能网管交换机: 通电情况下,按住交换机面板上Factory Defaults按钮15秒,即可将交换机恢复出厂设置。 3、简单网管交换机: 1) FS116E和JFS524E: 使用简单网管交换机管理工具可将设备恢复出厂设置:打开管理程序,选中交换机,
网件全网管路由交换机如何设置MLAG功 能 网件全网管路由交换机如何设置MLAG功能 网件是全球领先的企业网络解决方案,及数字家庭网络应用倡导者,那么你知道网件全网管路由交换机怎么设置MLAG 功能吗?下面是整理的一些关于网件全网管路由交换机如何设置MLAG功能的相关资料,供你参考。 网件全网管路由交换机设置MLAG功能的方法: 在二层网络,可以通过生成树(STP)避免环路。但STP会把部分端口阻塞,导致这一部分的链路的带宽造成浪费。而且当某些链路中断而导致拓扑改变的时候可能导致网络振荡,这个中断的时间从几毫秒到十几秒不等。 使用MLAG技术可以使所有的链路都得以利用,而且在链路中断导致拓扑改变的时候不会导致网络的震荡。MLAG可以是多台交换机上的端口组成一个LAG组,对端设备会认为自己的LAG组连接的对端是同一台设备,这样可以利用LAG的特性的有点做到上文说所的链路的充分利用和无间断转发。 MLAG又称为vPC。 目前Netgear的交换机当中,M6100和M7100可以支持MLAG。 本文档以两台M6100为例,说明如何配置MLAG,拓扑图如下: 开启MLAG功能 feature vpc 配置LAG1作为peer-link
no spanning-tree port mode vpc peer-link exit interface 1/0/41 udld enable addport lag 1 exit interface 1/0/42 udld enable addport lag 1 exit 配置keepalive interface vlan 1 ip address 192.168.1.1 255.255.255.0 exit vpc domain 1 peer-keepalive enable peer-keepalive destination 192.168.1.2 source 192.168.1.1 peer detection enable exit 将LAG2和LAG3设置成MLAG链路
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
组网利器 Netgear FS726T 智能交换机 评测 2008-12-26 16:05:59 来源:pconline 原创 作者:Contemporary Jazz 责任编辑:gaohongjun (评论0条) 本文导航 第1页:FS726T 外观及规格参数 第2页:FS726T 端口及内部做工 第3页:FS726T 向导及全局参数设置 第4页:FS726T 端口设置及流量统计 第5页:FS726T QoS 设置 第6页:FS726T VLAN 设置 第7页:FS726T 高阶功能 第8页:FS726T 性能实测 返回分页浏览 FS726T 外观及规格参数回顶部 评测工程师点评: FS726T 是美国网件(Netgear )公司推出的ProSafe 智能交换机产品家族中的一员,这一系列产品采用WEB 图型管理界面,相比全管理型交换机在功能设置上进行了最大程度的简化,由于其可管理,在功能方面又优于非管理型交换机。 优点:FS726T 端口搭配合理,具有24个10/100Mbps 端口,两个1000Mbps 端口,同时支持光纤接入,支持基于端口的VLAN 与基于IEEE 802.1Q 协议的VLAN ,完善的QoS 功能,支持链路Trunking ,实现冗余连接,支持Spanning Tree ,可使用支持SNMP 协议的管理工具实现对交换机进行监控等。 不足:从产品说明书,安装指南到交换机WEB 管理页面,全部为英文,缺乏汉化资源。机身上的Reset 键与Factory Defaults 键虽被设计为隐藏式,但却没有“延时”机制,按下即生效,这可能会加大误操作的机率,尤其对于Factory Defaults 键。 NETGEAR FS726T 图 库 评 测 论 坛 报 价 测试环境:
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
《简单网管交换机VLAN功能设置—中文版》 作者Author:Kim 美国网件中国客户服务部 NETGEAR China Customer Services Department 网件社区互动:https://www.doczj.com/doc/618123639.html, 技术支持电话:400 830 3815 技术支持邮箱:tech@https://www.doczj.com/doc/618123639.html,
VLAN(Virtual Local Area Network)的中文名为虚拟局域网。 VLAN是一种将局域网设备从逻辑上划分成多个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。当然,并不是所有交换机都具有此功能。NETGEAR所有简单网管交换机均支持Port-Based VLAN和802.1Q VLAN。 下面我们以GS116E为例进行介绍。 本文说明中简单网管交换机管理软件版本:V2.2.3; 注意:本文适用于FS116E和JFS524E以外的全千兆简单网管交换机。 1.端口VLAN 示例1:公司希望实现部门级端口隔离,但是所有用户均需要通过网关上网和访问公共服务器,拓扑图和VLAN 对应端口信息如下图所示: 下面来设置端口VLAN。 1)用网线连接GS116E交换机和配置用的电脑。 2)运行简单网管交换机管理软件,点击“已发现交换机列表”中的GS116E,输入管理密码进入其配置界面,默 认管理密码为小写的password; 3)配置端口VLAN(Port Based): a)基本设置(Basic Port-Based VLAN):点选VLAN > 端口VLAN > 基本设置(VLAN > Port Based > Basic) 菜单,进入基本端口VLAN配置页面(见下图)。将基本端口VLAN(Basic Port based VLAN)选为启用(Enable),忽略端口VLAN警告,点击“是”进入配置页。
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
Netgear GSM_FSM700 系列交换机802.1q Vlan 设置 设置GSM/FSM700系列交换机(适合用于FSM726,FSM726S,FSM726v2,FSM750S,GSM712,GSM712F )的VLAN。 通过WEB设置Port Base Vlan(以FSM726S为例) 设置目标:增加2个Vlan:Vlan4(端口1);Vlan5(端口23),这2个Vlan间的用户不能互相访问,但可以通过共同端口24口访问上一级交换机的用户,保留25、26为管理端口在Vlan1。 设置方法如下(FSM726S的IP已经设定为192.168.0.240,IP设置方法请参阅《如何对FSM726S 进行升级》): 1. 用网线连接FSM726S交换机的26端口和配置用的电脑。 2. 打开IE浏览器,在URL处输入Http://192.168.0.240/; 进入FSM726交换机的WEB管理界面(缺省无管理员口令), 将FSM726交换机恢复出厂设置(Factory Reset)。等FSM726交换机重启动完毕,使用9针串口设置线进入CLI管理控制界面配置管理IP地址:192.168.0.240/24
3.打开配置计算机的IE浏览器,进入FSM726的管理配置界面,点选菜单Advanced>VLANs>Primary VLAN菜单; 4.在Primary VLAN菜单内,我们为Default Vlan选项进行VLAN端口的标记定义,保留1,23,24,25,26为U,其余置空;(见下图示) 5.在Show VLAN菜单内,选择Add a new VLAN选项增加新VLAN4,Name设置为vlan4,VLAN ID设置为4,端口选择1,24为U,其余置空;(见下图示) 6.重复第4步动作,在Show VLAN菜单内,选择Add a new VLAN选项增加新VLAN4,Name设置为vlan5,VLAN ID设
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。 1.设置最多可学习到的MAC地址数
Netgear 7000 系列三层交换机VLAN 路由设置 VLAN设置完成后配置Netgear 7000系列三层交换机 (FSM7326P,FSM7328S,FSM7352S,FSM7352SP,GSM7312,GSM7324)的VLAN路由 请注意:FSM7328S,FSM7352S,FSM7352PS在设置里面的端口表示方法与其他7000系列交换机不同,其中物理端口其他7000系列交换机是Interface 0/2,在FSM73xxS可堆叠交换机里应为Interface 1/0/2;VLAN路由接口在其他7000系列三层交换机是Interface 3/1,在FSM73xxS系列三层交换机里应为Interface 0/2/1。 设置NETGEARGSM7312交换机Vlan路由 设置目标: 为交换机的802.1QVLAN设置VLAN路由,为已经建立的VLAN2-7每个VLAN创建一个接口,设置IP 地址为192.168.2.1-192.168.7.1使每个网段的用户可以通过三层交换机互相通讯,设置交换机默认路由到FR328S路由器,VLAN1作为管理VLAN不设路由接口。
配置步骤: ?使用9针串口设置线连接GSM7312交换机,进入CLI配置界面,使用(GSM7312)# Clear Config 命令恢复出厂设置。 ?然后使用命令(GSM7312)#Reload ; 系统提示是否保存现有配置(选择YES)。然后系统重新启动。 ?配置GSM7312交换机管理IP地址为192.168.0.238/24,配置完毕后保存。 ?连接配置计算机的网线到GSM7312的端口10; ?打开IE浏览器,在URL处输入http://192.168.0.238/,进入交换机配置管理界面。 ?配置交换机的VLAN,请参考Netgear 7000系列交换机VLAN设置。 ?在交换机左边选择Routing>VLAN Routing>Config页面创建VLAN2的路由接口:在VLAN ID栏填入2,然后点击Create 创建。 创建完成后在Slot.Port里会显示这个VLAN的路由接口号3.1。 对应的CLI命令行参数是: (GSM7312) (Vlan)#vlan routing 2 Interface 3/1 created for VLAN 2. ?重复第6步,为VLAN3-7创建路由接口3.2-3.6。
交换机应用中的六种安全设置方法 L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。 802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。 流量控制(traffic control)
如何实现NETGEAR智能网管交换机的链路聚合功能 链路聚合简介 Link Aggregation(LAG)技术可将两台设备之间的多条物理链路作为一条逻辑链路来处理,它可在两台设备之间自动实现链路冗余,如果其中一台物理链路出现故障,数据流将动态透明的从另一条物理链路通过。LAG的多条物理链路可提供负载均衡的功能,亦可在两台设备之间提供更高的带宽。 LAG中的每个物理端口必须有相同的配置参数,如生成树,QOS,Path cost等,LAG也能成为一个VLAN 的成员。LAG中的所有链路端口必须运行在相同速率和全双工模式下,并且每个物理接口同时只能属于一个LAG组。 设备所支持的LAG数量及每LAG所能支持的端口数随交换机硬件平台及Firmware软件版本的不同而不同。 FS728TPv2、FS752TP、GS724Tv3/GS716Tv2、GS748Tv4和GS752TXS支持8组LAG,GS724Tv3支持4组LAG,GS716Tv2支持2组LAG,每LAG组最多聚合8个端口;GS110TP/GS108Tv2支持4组LAG,每LAG组最多聚合4个端口。所有这些智能网管交换机均支持静态与动态(LACP)两种链路聚合。 下面,我们将以GS724Tv3和GS716Tv2为例介绍两台交换机的静态与动态(LACP)LAG的具体配置。 一、GS724Tv3 与GS716Tv2 链接聚合拓扑结构图: a. 静态LAG:GS724Tv3聚合端口:1、2 ,GS716Tv2聚合端口:1、2 b. LACP:GS724Tv3聚合端口:3、4,GS716Tv2聚合端口:3、4 二、静态LAG (一)GS724Tv3 的静态LAG 配置
5.1交换机端口安全-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
案例一交换机端口安全 【案例描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是/24,主机MAC地址是00-06-1B-DE-13-B4.该主机连接在1台2126G上边。 【教学目标】 掌握交换机最大连接数及进行IP+MAC地址绑定技术。 【案例拓扑】 【案例实施】 步骤1 配置交换机的最大连接数限制 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能
Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 验证测试:查看交换机的端口安全配置 Switch#SHow port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown 步骤2 配置交换机端口的地址绑定 1. 查看主机的IP和MAC地址信息 在主机上打开cmd命令提示窗口,执行ipconfig/all命令 C:\Documents and Settings\Administrator>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : 25-56d2b5f93f1 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
交换机的安全设置六大原则说明 L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC 模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。 802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN 或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外,GigaX2024/2048 交换机还支持802.1X 的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。 流量控制(traffic control) 交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。 SNMP v3 及SSH 安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即https://www.doczj.com/doc/618123639.html,M对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。 至于通过Telnet 的远程网络管理,由于Telnet 服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听,便于网管人员进行远程的安全网络管理。