收藏
下载资源

交换机攻击与防护

上传人:j****9 文档编号:54636167 上传时间:2018-09-16 格式:PPT 页数:15 大小:313.50KB
返回 下载 相关 举报
交换机攻击与防护_第1页
第1页 / 共15页
交换机攻击与防护_第2页
第2页 / 共15页
交换机攻击与防护_第3页
第3页 / 共15页
交换机攻击与防护_第4页
第4页 / 共15页
交换机攻击与防护_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《交换机攻击与防护》由会员分享,可在线阅读,更多相关《交换机攻击与防护(15页珍藏版)》请在金锄头文库上搜索。

1、网络安全防护,教师:尹伟,设备安全,交换机的安全: Password VLAN ACL Port Security Logging,设备安全,交换机的特权用户密码: (config)#enable secret 密码,设备安全,主机A,主机B,主机C,主机K,主机F,主机D,主机E,交换机1,交换机2,设备安全,一,VLAN是英文Virtual Local Area Network的缩写,即虚拟局域网 VLAN:逻辑划分广播域二,VLAN的分类主要有以下几种: 基于端口的VLAN 基于MAC地址的VLAN 基于第3层的VLAN,VLAN特性: 分段灵活性 安全性,第三层,第二层,第一层,销售部

2、,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),设备安全,设备安全,三,部署VLAN动机: 1,正确动机:安全性灵活性控制广播 2,错误动机: VLAN可以减少对路由器的依赖,设备安全,四.VLAN部署原则: 按照行政机构部署VLANVLAN与IP子网一一对应,设备安全,五,VLAN协议: VTP(vlan trunking protocol)VLAN主干协议 1,VTP功能: 发送/转发VTP通告 2,VTP模式:服务器模式;客户端模式;透明模式 3,VTP域:把VLAN客户端和VLAN服务器,放在同一域内,VLAN客户端只在该域 内查找VLAN服务器配置: sw(

3、vlan)#vtp domain 域名,设备安全,4,VTP裁剪:交换机在转发广播前,向相应链路上发送探测信息,探测链路上是否存在相应 VLAN的成员:1)成员存在: 交换机向该链路上发送广播2)成员不存在: 交换机不向该链路上发送广播(广播被裁剪)配置: VTP裁剪功能只需配置在VLAN服务器上sw(vlan)#vtp prunning,设备安全,5, VTP验证:配置: sw(vlan)#vtp password 密码 6, vtp版本:(VTPv1不支持令牌环,VTPv2支持令牌环)配置: sw(vlan)#vtp v2-mode,设备安全,交换机端口安全 1.MAC地址与端口绑定,当发

4、现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉.当给端口指定MAC地址时,端口模式必须为access或者Trunk状态 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport mode access /指定端口模式 sw(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1/配置MAC地址 sw(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1 sw

5、(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉,设备安全,2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过N个MAC地址,超过N时,来自新的主机的数据帧将被丢失 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport trunk encapsulation dot1q sw(config-if)#switchport mode trunk sw(config-if)#switchport port-security m

6、aximum 100 /允许此端口通过的最大MAC地址数目为100 sw(config-if)#switchport port-security violation protect /当MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失 sw(config-if)#switchport port-security violation shutdown /当MAC地址数目超过100时,这个端口会shutdown,设备安全,默认的端口安全配置: 以下是端口安全在接口下的配置- 特性:port-sercurity 默认设置:关闭的。 特性:最大安全mac地址数目 默认设置:1

7、特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown。,设备安全,基于MAC地址的访问控制列表 Switch(config)#mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config-ext-nacl)#permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config-ext-nacl)#permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )#interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )#mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表 Switch(config)#no mac access-list extended MAC10 清除名为MAC10的访问列表,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号