Cisco交换机的安全特性
二、 AAA服务认证
三、 DHCP欺骗
四、 IP Source Guard
五、 ARP
六、 DAI的介绍
七、 SSH认证
八、 VTY线路出入站的ACL
九、 HTTP server
十、 ACL功能
十一、PVLAN
一、 端口安全:
A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。 1)启动端口安全程序,
2)配置有效的MAC地址学习上线,
3)配置静态有效MAC地址(动态学习不需要配置),
4)配置违反安全规定的处理方法(方法有三种:shut down直接关闭端口,需要后期由管理员手工恢复端口状态;protect 过滤掉不符合安全配置的MAC地址;restrict 过滤掉非安全地址后启动计时器,记录单位时间内非安全地址的连接次数),
5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学习的地址则需要配置有效时间)。
C、配置实例:
interface fa 0/1 后窗惊魂电影 |
进入交换机0/1接口 |
description access port |
描述Access端口 |
switchport mode access |
将交换机端口配置为Access端口蓝衣魔鬼 |
switchport access vlan 10 |
将端口划分给vlan10英国首例死亡病例 |
switchport port-security |
启动端口安全 |
switchport port-security maximum 2 |
配置该端口最多可以学习MAC地址的数量 |
switchport port-security mac-address 1111.2222.3333 |
switchport port-security mac-address 1111.2222.4444 |
德鲁兹静态配置可以接入端口的MAC地址 |
switchport port-security violation restrict |
配置端口发现违反安全规定后的策略 |
switchport port-security aging time 60 |
端口学习动态MAC地址的有效时间(单位:分钟) |
switchport port-security aging type inactivity |
|
D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。命令如下:
switchport port-security mac-address sticky
sticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在show run中看到(记得保存配置)。
E、校验命令:
show port-security [interface interface-id] [address]具体端口明细信息
show port-security 显示端口安全信息
show port-security address 显示安全地址及学习类型
二、 AAA认证
1、 AAA:
A、 Authentication 身份认证:校验身份
B、 Authorization 授权:赋予访问者不同的权限
C、 Accounting 日志:记录用户访问操作
2、 AAA服务认证的三要素:AAA服务器、各种网络设备、客户端 客户端:AAA服务中的被管理者
各种网络设备:AAA服务器的前端代理者
AAA服务器:部署用户、口令等
注:CC IE-RS只涉及网络设备上的一小部分,不作为重点。
3、 802.1X端口认证协议(标准以太网技术)
在以太网卡和以太交换机之间通过802.1X协议,实现网络接入控制。即是否允许客户端接入网络。
三、 DHCP欺骗
1、 DHCP过程是客户端接入网络后会发广播(discover)寻本网段的DHCP服务器;服务器收到广播后,会向客户端进行回应(offer),回应信息中携带着地址段信息;客户端会在offer中挑选一个IP地址,并向服务器发起请求(responds);服务器会检查客户端选取的IP地址是否可用,同时向客户端确认消息(acknowledgment)。
DHCP欺骗主要与服务器给客户端的回应有关。
2、 DHCP Snooping 在交换机上检查DHCP消息。具体的说它会检查两类消息:discover消息和offer消息。交换机对discover消息的控制方法是限速,对offer消息的控制是引导。在专业的攻击中,病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后,由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击,因此解决问题的方法也不同。
3、 DHCP Snooping的部署
ip dhcp snooping | 开启dhcp Snooping功能 |
ip dhcp snooping information option | 侦听dhcp过程中的扩展信息 |
ip dhcp snooping vlan vlan id | 配置需要监听的VLAN |
ip dhcp limit rate 50 | 对DHCP包进行限速,50包/秒。 |
ip dhcp snooping trust | 配置可信任端口。 |
| |
注1:最后两条命令,是在接口模式下配置。
注2:没有被配置成trust的接口,都是untrust接口。
注3:DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接,而是中间通过交换机连接,此时交换机会在DHCP过程中附加一些交换的信息(option)。这些信息可以被DHCP Snooping监听。即:没有交换机,就没有(option)。新菠萝灰粉蚧
4、 DHCP Snooping的校验
show ip dhcp snooping
5、 DHCP Snooping建立“绑定数据库”
当DHCP Snooping被启用后,交换机会对untrust接口建立数据库。数据库最大容量8192条信息。数据库的内容包括:每个客户端在申请DHCP时的IP地址、MAC地址、端口号、VLAN ID和租用时间。
6、 远程储存命令:
复合材料学报Command | Purpose |
ip dhcp snooping database {flash[number]:/filename | ftp://user:password@host/filename | [[username:password]@]{hostname | host-ip}[/directory]/image-name.tar | rep://user@host/filename} | tftp://host/filename | 远程存储DHCP Snooping绑定数据库的配置命令 |
| |
7、 校验命令: