收藏
下载资源

交换机基础安全功能原理与应用

上传人:自*** 文档编号:48505678 上传时间:2018-07-16 格式:PPT 页数:45 大小:1.21MB
返回 下载 相关 举报
交换机基础安全功能原理与应用_第1页
第1页 / 共45页
交换机基础安全功能原理与应用_第2页
第2页 / 共45页
交换机基础安全功能原理与应用_第3页
第3页 / 共45页
交换机基础安全功能原理与应用_第4页
第4页 / 共45页
交换机基础安全功能原理与应用_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《交换机基础安全功能原理与应用》由会员分享,可在线阅读,更多相关《交换机基础安全功能原理与应用(45页珍藏版)》请在金锄头文库上搜索。

1、技术培训中心技术培训中心 2010-032010-03交换机基础安全功能应用修订记录2修订日期修订版本修订描述作者2009-03-14V1.0初稿完成。徐立欢2009-04-22V1.1添加安全通道环境中防ARP注意事项徐立欢2009-09-03V1.2添加备注,添加IP Source guard功能,修正部分参数错误徐立欢2009-03-22V1.3重新优化课程结构,将交换机安全功能进行整合徐立欢学习目标l理解交换机常用安全功能的应用场合l掌握交换机常用安全功能的配置与注意事项3课程内容l第一章:设备管理安全l第二章:接入安全l第三章:防攻击4设备管理安全l概述 设备易管理性与安全性成反比,

2、必须有效的平衡管理与安全的关系l措施 使用中/强密码 源地址限制 使用安全管理协议5使用中强密码l概述 密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码l密码强度举例 弱密码:aabbcc、567890 中等强度密码:ruijie345 高等强度密码:Ruijie#8766源地址限制l概述 只有合法的源地址才能管理设备l限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#line vty 0 4 Ruijie(config-

3、line)#access-class 99 inl限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#snmp-server community ruijie rw 997使用安全管理协议l使用加密管理协议 禁用Telnet协议,使用SSH管理设备 使用SNMPv3l禁用Telnet协议 方法一:Ruijie(config)#no enable service telnet-server 方法二:Ruijie(config-line)#transport input sshl使用S

4、NMPv3 Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 998课程内容l第一章:设备管理安全l第二章:接入安全l第三章:防攻击9接入安全l概述 制定一组安全规则,让网络中的主机以合法的身份接入网络,并得到有 效的防护l措施 ACL 保护端口 全局地址绑定 端口安全 802.1x10保护端口l概述 禁止交换机端口之间的通讯(二层)l保护端口角色 保护口 非保护口l保护端口规则 保护口之间禁止通讯 保护口允许与非保护口通讯11protectedprotected保护端口(续)l保护端口配置 R

5、uijie(config)#int range fa 0/1-24 Ruijie(config-if-range)#switchport protectedl级联情况下的配置 保护端口可以跨交换机使用 位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口12protectedprotectedSW1SW2全局地址绑定l概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络l应用场景13绑定:1.1.1.1 001a.a900.00011.1.1.1 001a.a900.00011.1.1.2 001a.a900.00011.1.1.1 001a.a90

6、0.0002全局地址绑定配置l配置全局绑定地址 Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001 l配置全局绑定地址上联口 Ruijie(config)# address-bind uplink gi 0/25l开启全局绑定地址功能 Ruijie(config)#address-bind installl查看全局绑定地址 Ruijie#show address-bind14端口安全l概述 基于端口制定接入规则 接入规则 端口MAC最大个数 端口+MAC 端口+MAC+VLAN 端口+IP 端口+IP+MAC+VLAN151.1.1.1 1.1

7、.1.2 001a.a900.0001 VLAN 100001a.a900.0002 VLAN 10F0/1F0/2F0/3F0/4端口安全配置l打开端口安全功能 Ruijie(config-FastEthernet 0/1)#switchport port-securityl配置最大MAC地址数 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3l配置MAC地址绑定 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 Ruijie(c

8、onfig-FastEthernet 0/1)#sw po mac 001a.a900.0001 vlan 10l配置IP地址绑定 Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1l配置IP+MAC绑定 Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 192.168.10.1l配置违例处理方式 Ruijie(config-FastEthernet 0/1)# sw po violationprotect | restrict | shutdown1

9、6端口安全缺省配置内容缺省设设置端口安全开关关闭最大安全地址过滤项 个数(MAC)128安全地址过滤项无违例处理方式保护(protect)17端口安全规则处理规则端口安全规则规则处处理规则规则MAC最大数量 MAC绑定 MAC+VLAN绑定如果MAC最大数量MAC绑定:自动学习“MAC最大数 量-MAC绑定”个MAC作为IP/MAC过滤项 如果MAC最大数量=MAC绑定:只有被绑定的MAC才 能合法接入网络IP绑定主机符合被绑定的IP才能合法接入网络IP+MAC+VLAN绑 定主机符合被绑定的IP+MAC+VLAN才能合法介入网络18端口安全应用场景(例)l交换机一个端口最大只能接入1台主机

10、Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1l交换机一个端口最大只能接入4台主机,但其中有一台主机是合法保障的 Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 4 Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001l交换机一个端口只能是合法的IP接入 Ruijie(config-FastEthernet 0/1)#sw po binding 192.

11、168.10.1l交换机一个端口只能是合法的IP且合法的MAC接入 Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 192.168.10.119附:理解FFPl概述 Fast Filter Processor,快速过滤器 交换机种一种高效的硬件过滤引擎,其基本功能就是根据报文的特征筛 选出符合一定规则的数据流,并对数据流实施策略,不依赖CPU 安全功能的核心 FFP资源是有限的l依赖FFP的功能 ACL 端口安全 全局地址绑定 Dot1x 20附:FFP功能逻辑示意2100010101110110101010101

12、11011001010101110100101010101 0IP:192.168.10.1 MAC:001a.a900.0001报文Permit/Deny1:安全功能配置 2:安全功能下发FFP 3:数据报文进入交换机 4:匹配FFP内的策略 5:决策FFP课程内容l第一章:设备管理安全l第二章:接入安全l第三章:防攻击22防攻击l概述 制定一组安全策略防止攻击行为的发生l措施 DHCP Snooping IP Source Guard ARP-check DAI23DHCP Snoopingl概述 DHCP嗅探功能l功能 防止网络中假冒的DHCP服务器 形成Snooping表项为其他功能服

13、务l端口角色 非信任口:拒绝DHCP回应报文 信任口:允许DHCP回应报文 默认角色:非信任口2424 DHCP discoveryDHCP offerDHCP offertrustuntrustDHCP Snooping功能配置l开启DHCP snooping功能 Ruijie(config)#ip dhcp snoopingl配置信任端口 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trustl配置DHCP报文速率限制 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppressio

14、n25DHCP Snooping功能配置(续)l查看DHCP Snooping配置 Ruijie#show ip dhcp snooping l查看DHCP Snooping数据库 Ruijie#show ip dhcp snooping binding 26理解DHCP Snooping数据库l组成元素 MAC、IP、VLAN、Interface等l作用 为其他功能提供服务 IP Source-guard DAI ARP-check 注:DHCP Snooping数据库不写入FFP27IP Source Guardl概述 IP源保护功能,依赖于DHCP Snoopingl作用 防止DHCP环

15、境下用户私设IP地址 为ARP-check提供服务l原理 将DHCP Snooping数据库写入FFP 用户私设IP无法通过FFP28DHCP StaticIP Source Guard功能配置l开启接口IP Source Guard功能 Ruijie(config-FastEthernet 0/1)#ip verify source port-securityl配置静态 IP 源地址绑定用户 Ruijie(config)#ip source binding 001a.a900.0001 vlan 1 192.168.1.100 int fa 0/1l查看IP Source Guard表项 R

16、uijie#show ip verify source29DHCP Snooping & IP Source Guardl理解关系 DHCP Snooping在用户获取地址的过程中形成数据库 IP Source Guard将Snooping数据库中的内容写入FFP FFP根据Snooping数据库中的内容进行用户IP+MAC过滤,数据库中没有的内容将被丢弃 IP Source Guard在Trust接口不生效30IP Source Guard功能配置优化31trusttrustl多台交换机级联时,为避免上面一台交换机正对下联交换机上的用户 重复FFP过滤,请将下联其他交换机的接口启用ip dhcp snooping trustARP协议简介32ARP协议过程通过ARP Request和ARP Replay两个报

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号