收藏
下载资源

交换机安全特性

上传人:新** 文档编号:499182236 上传时间:2023-03-11 格式:DOC 页数:18 大小:89KB
返回 下载 相关 举报
交换机安全特性_第1页
第1页 / 共18页
交换机安全特性_第2页
第2页 / 共18页
交换机安全特性_第3页
第3页 / 共18页
交换机安全特性_第4页
第4页 / 共18页
交换机安全特性_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《交换机安全特性》由会员分享,可在线阅读,更多相关《交换机安全特性(18页珍藏版)》请在金锄头文库上搜索。

1、Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、 server十、ACL功能十一、PVLAN一、端口安全:A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。B、配置顺序:1启动端口安全程序,2配置有效的MAC地址学习上线,3配置静态有效MAC地址动态学习不需要配置,4配置违反安全规定的处理方法方法有三种:shut down直接关闭端口,需要后期由管理员手工恢复端口状态;protect 过滤掉不符合安全配

2、置的MAC地址;restrict 过滤掉非安全地址后启动计时器,记录单位时间非安全地址的连接次数,5配置安全地址的有效时间静态配置的地址永远生效,而动态学习的地址则需要配置有效时间。C、配置实例:interface fa 0/1进入交换机0/1接口description access port 描述Access端口switchport mode access 将交换机端口配置为Access端口switchport access vlan 10将端口划分给vlan10switchport port-security 启动端口安全switchport port-security maximum 2

3、配置该端口最多可以学习MAC地址的数量switchport port-security mac-address 1111.2222.3333switchport port-security mac-address 1111.2222.4444静态配置可以接入端口的MAC地址switchport port-security violation restrict配置端口发现违反安全规定后的策略switchport port-security aging time 60端口学习动态MAC地址的有效时间单位:分钟switchport port-security aging type inactivit

4、y端口会将到期且不工作的MAC地址清空D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。命令如下:switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在show run中看到记得保存配置。E、校验命令:show port-security interface interface-id address具体端口明细信息show port-security 显示端口安全信息show port-security address 显示安全地址及

5、学习类型二、AAA认证1、AAA:A、Authentication 身份认证:校验身份 B、Authorization 授权:赋予访问者不同的权限C、Accounting 日志:记录用户访问操作2、AAA服务认证的三要素:AAA服务器、各种网络设备、客户端客户端:AAA服务中的被管理者各种网络设备:AAA服务器的前端代理者AAA服务器:部署用户、口令等注:CC IE-RS只涉及网络设备上的一小部分,不作为重点。3、802.1X端口认证协议标准以太网技术在以太网卡和以太交换机之间通过802.1X协议,实现网络接入控制。即是否允许客户端接入网络。三、DHCP欺骗1、DHCP过程是客户端接入网络后会

6、发广播discover寻找本网段的DHCP服务器;服务器收到广播后,会向客户端进行回应offer,回应信息中携带着地址段信息;客户端会在offer中挑选一个IP地址,并向服务器发起请求responds;服务器会检查客户端选取的IP地址是否可用,同时向客户端确认消息acknowledgment。DHCP欺骗主要与服务器给客户端的回应有关。2、DHCP Snooping 在交换机上检查DHCP消息。具体的说它会检查两类消息:discover消息和offer消息。交换机对discover消息的控制方法是限速,对offer消息的控制是引导。在专业的攻击中,病毒电脑会先用discover方式向合法的DH

7、CP服务器发起QOS攻击。当DHCP服务器瘫痪后,由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击,因此解决问题的方法也不同。3、DHCP Snooping的部署ip dhcp snooping开启dhcp Snooping功能ip dhcp snooping information option侦听dhcp过程中的扩展信息ip dhcp snooping vlan vlan id配置需要监听的VLANip dhcp limit rate 50对DHCP包进行限速,50包/秒。ip dhcp snooping trust配置可信任端口。注1:最后两条命令,是在接口模式下配

8、置。注2:没有被配置成trust的接口,都是untrust接口。注3:DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接,而是中间通过交换机连接,此时交换机会在DHCP过程中附加一些交换的信息option。这些信息可以被DHCP Snooping监听。即:没有交换机,就没有option。4、DHCP Snooping的校验show ip dhcp snooping5、DHCP Snooping建立绑定数据库当DHCP Snooping被启用后,交换机会对untrust接口建立数据库。数据库最大容量8192条信息。数据库的容包括:每个客户端在申请DHCP时的IP地址、

9、MAC地址、端口号、VLAN ID和租用时间。6、远程储存命令:CommandPurposeip dhcp snooping database flashnumber:/filename | ftp:/user:passwordhost/filename | username:passwordhostname | host-ip/directory/image-name.tar | rep:/userhost/filename | tftp:/host/filename远程存储DHCP Snooping绑定数据库的配置命令7、校验命令:CommandPurposeshow ip dhcp sn

10、ooping 显示交换机中DHCP Snooping的配置show ip dhcp snooping binding显示DHCP Snooping动态建立的DHCP的信息show ip dhcp snooping database显示DHCP Snooping绑定数据库的静态信息show ip source binding显示动态或者静态的绑定信息四、IP Source Guard 交换机能够检查来自客户端的源IP地址,防止虚假的IP地址攻击。在实际的网络攻击中,在IP层面的攻击行为几乎都包括虚假的IP攻击。最常用的方法是借鉴DHCP Snooping建立的绑定表。当启用Source Guar

11、d特性后,交换机会自动生成一条ACL并下发到端口中,比较连接端口的主机IP是否与绑定表中的条目一致,如果不一致,则中断连接。注:IP Source Guard配置前必须先配置DHCP Snoopingl 配置命令端口模式:ip verify source 只检查源IP地址ip verify source port-security 同时检查源IP地址和源MAC地址注1:如果配置source和port-security交换机必须支持option82功能。即当客户端通过交换机连接DHCP服务器时,可以在DHCP过程中收到携带交换机信息的数据包。注2:port-security功能启用后,交换机不检

12、查DHCP消息的MAC地址,直到终端设备获得IP地址之后,交换机才会检查源MAC地址。l 静态绑定和校验命令ip source binding mac-address vlan vlan-id ip address interface interface-idshow ip verify source interface interface-idshow ip source binding ip-address mac-address dhcp snooping | static interface interface-id vlan vlan-id五、ARPl 消息封装以太帧 ARP消息6字

13、节 以太网目的地址6字节 以太网源地址2字节 帧类型2字节 硬件类型2字节 协议类型1字节 硬件地址长度1字节 协议地址长度2字节 op6字节 发送端以太网地址4字节 发送端ip地址6字节 目的以太网地址4字节 目的ip地址对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后,它使用自己的MAC和IP分别替换两个发送端的地址,将发送端的两个地址填写到目的以太网地址和目的IP地址字段,并把操作字段设置为2,最后发送回去。所谓的ARP欺骗,就是在最后4组字段做文章。欺骗都发生在应答消息中。六、DAI的介绍:A:功能 DAI会检查应答消息

14、中的发送IP和发送MAC是否在DHCP Snooping建立的数据库中存在,如果存在即为真,反之为假; DAI会过滤免费ARP消息没有经过ARP请求就自动收到的ARP应答消息; DAI可以阻止ARP病毒或者ARP攻击; DAI还可以对ARP请求消息进行限速B:规划 在接入层交换机上进行配置,通常将级联端口配置为trusted接口,将连接终端的接口untrunsted接口。DAI只对untrunsted端口生效。C:ARP ACls配置命令:arp access-list acl-name配置ACL的名称permit ip host sender-ip mac host sender-mac log手工填写IP地址和对应的MAC地址Exit退出ACL配置ip arp inspection filter arp-acl-namevlan vlan-range static调用ACLs配置注:ARP Acl是是检查ARP消息,不是绑定主机的IP和MAC例:Arp access-list host2 配置arp ACL,名称host2Permit ip host 1.1.1.1 mac host 1.1.1 主机1.1.1.1的mac地址1.1.1Exit 退出ip arp inspection filter host2 vlan 1 在vl

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号