2012年思科认证(CCNA)考试知识复习指导5
2012年思科认证考试备考的朋友,不用为了查找复习资料而烦恼,小编特为广大考生朋友们搜集了有关2012年思科认证(CCNA)考试知识复习指导
,帮助大家复习,祝大家考试顺利。
CDP
思科发现协议,每60秒给直连邻居发送信息,180秒收不到邻居发来的信息则认为邻居失效,从本地删除其CDP信息
在网络中,一定要把不必要的端口关闭CDP
在配置模式下no cdp run全局关闭CDP,在接口下no cdp enable关闭该接口的CDP
show cdp entry * 查看详细CDP信息,包含邻居接口的IP地址和软件版本
交换机安全
MAC Flooding Attack:
向交换机发送大量无效的MAC地址,占满其CAM表,致使正常的MAC无法学习而导致流量泛洪。
防护:设置MAC地址数限制、指定允许的MAC地址、定义违规行为(protect/restrict/shutdown)
Switchport port-security 启用端口安全,缺省这个端口只支持一个MAC地址(可以静态指定,可以动态学习)
Switchport port-security maximum 指定端口最多可以学习的MAC地址个数(VoIP端口至少要把这个值设为2,以支持一个IP电话和一台PC)
Switchport port-security aging 学到的地址缺省不过期,这命令指定地址过期时间
Switchport port-security violation {shutdown|protect|restrict}
三种方式下,当违规时端口都将变为err-disable状态,LED灯灭。Protect和restrict方式下当违规消除后端口又变为可用状态,而shutdown方式需管理员手工no shut。Protect方式不会记录违规行为,restrict和shutdown会发送SNMP Trap或syslog给LOG服务器,并把违规计数器加1.
端口安全不能配置在trunk端口,因为地址会频繁变化
802.1x:基于端口的认证
IEEE 802.1X认证成功之前,交换机端口为桔色指示灯,客户连接的端口在LAN上只允许传递可扩展的认证协议(EAPOL:EAP over LAN),CDP和生成树的STP。只有认证成功后才可以传递正常的流量。