交换机安全特性 .docx

《交换机安全特性 .docx》由会员分享，可在线阅读，更多相关《交换机安全特性 .docx（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精品名师归纳总结一、 端口安全Cisco 交换机的安全特性可编辑资料 - - - 欢迎下载精品名师归纳总结二、 AAA 服务认证三、 DHCP 欺诈四、 IP Source Guard五、 ARP六、 DAI 的介绍七、 SSH认证八、 VTY 线路出入站的 ACL九、 HTTP server 十、 ACL 功能十一、 PVLAN一、 端口安全：A、通过端口安全特性可以检查连接交换机的MAC 的址的真实性 .治理员可以通过这个特性将固定的MAC 的址写在交换机中 .B、配置次序：1） 启动端口安全程序，2） 配置有效的 MAC 的址学习上线，3） 配置静态有效 MAC 的址（动态学习不需要配置

2、），4） 配置违反安全规定的处理方法（方法有三种： shut down 直接关闭端口，需要后期由治理员手工复原端口状态。 protect 过滤掉不符合安全配置的 MAC 的址。 restrict 过滤掉非安全的址后启动计时器，可编辑资料 - - - 欢迎下载精品名师归纳总结记录单位时间内非安全的址的连接次数）， 5）配置安全的址的有效时间（静态配置的的址永久生效，而动态学习的的址就需要配置有效时间） .C、配置实例：interface fa 0/1进入交换机 0/1 接口description access port 描述 Access端口switchport mode access将交换机端

3、口配置为 Access端口switchport access vlan 10将端口划分给 vlan10switchport port-security启动端口安全switchport port-security maximum 2配置该端口最多可以学习 MAC 的址的数量switchport port-security mac-address 1111.2222.3333 switchport port-security mac-address 1111.2222.4444 静态配置可以接入端口的 MAC 的址switchport port-securityviolation restrict

4、 配置端口发觉违反安全规定后的策略switchport port-security aging time 60端口学习动态 MAC 的址的有效时间（单位：分钟）switchport port-security aging type inactivity端口会将到期且不工作的 MAC 的址清空D、当治理员需要静态配置安全MAC 的址，而又不知道详细MAC的址时，可通过 sticky特性实现需求 .命令如下： switchport port-security mac-address stickysticky 特性会将动态学习到的 MAC 的址自动配置为静态安全的址 .且可编辑资料 - - - 欢迎

5、下载精品名师归纳总结该条目可以在 show run 中看到（记得储存配置） . E、校验命令：show port-security interfaceinterface-id address具 体端口明细信息show port-security显示端口安全信息show port-security address显示安全的址及学习类型二、 AAA 认证1、AAA ：A、 Authentication 身份认证：校验身份B、 Authorization 授权：给予拜访者不同的权限C、 Accounting 日志：记录用户拜访操作2、AAA服务认证的三要素： AAA服务器、各种网络设备、客户端客户端

6、： AAA 服务中的被治理者各种网络设备： AAA 服务器的前端代理者AAA 服务器：部署用户、口令等注： CC IE-RS 只涉及网络设备上的一小部分 ,不作为重点 . 3、802.1X 端口认证协议（标准以太网技术）在以太网卡和以太交换机之间通过802.1X 协议，实现网络接入掌握 .即是否答应客户端接入网络 .三、 DHCP 欺诈1、DHCP 过程是客户端接入网络后会发广播（discover）查找本网段的 DHCP 服务器。服务器收到广播后，会向客户端进行回应可编辑资料 - - - 欢迎下载精品名师归纳总结（ offer），回应信息中携带着的址段信息。客户端会在offer 中选择一个 I

7、P 的址，并向服务器发起恳求（ responds）。服务器会检查客户 端 选 取 的 IP的 址 是 否 可 用 ， 同 时 向 客 户 端 确 认 消 息（ acknowledgmen）t .DHCP 欺诈主要与服务器给客户端的回应有关 .2、DHCP Snooping 在交换机上检查 DHCP 消息.详细的说它会检查两类消息： discover 消息和 offer 消息.交换机对 discover 消息的掌握方法是限速，对 offer 消息的掌握是引导 .在专业的攻击中，病毒电脑会先用 discover 方式向合法的 DHCP 服务器发起 QOS 攻击.当DHCP 服务器瘫痪后，由另一台病

8、毒电脑对这个网段进行DHCP 欺诈.由于是两台病毒电脑协作攻击，因此解决问题的方法也不同.3、DHCP Snooping的部署ip dhcp snoopingip dhcp snooping information option ip dhcp snooping vlanvlan idip dhcp limit rate 50ip dhcp snooping trust开启 dhcp Snooping功能侦听 dhcp 过程中的扩展信息配置需要监听的 VLAN对 DHCP 包进行限速， 50 包/ 秒.配置可信任端口 .注 1：最终两条命令，是在接口模式下配置 .注 2：没有被配置成 trus

9、t 的接口，都是 untrust 接口.注 3： DHCP 中的扩展信息是通过交换机时获得的.当客户端与服务器不是通过直连网络连接，而是中间通过交换机连接，此时交换机会在 DHCP 过程中附加一些交换的信息（ option） .这些信息可以被DHCP Snooping监听.即：没有交换机，就没有（ option）. 4、DHCP Snooping的校验可编辑资料 - - - 欢迎下载精品名师归纳总结show ip dhcp snooping5、DHCP Snooping建立“绑定数据库”当 DHCP Snooping 被启用后，交换机会对 untrust 接口建立数据库 . 数据库最大容量 8

10、192 条信息.数据库的内容包括：每个客户端在申请DHCP 时的 IP 的址、 MAC 的址、端口号、 VLAN ID和租用时间 .6、远程储存命令：CommandPurpose可编辑资料 - - - 欢迎下载精品名师归纳总结ip dhcp snooping databaseflashnumber:/filename|ftp:/ user:passwordhost/filenam| ehttp:/远程储备 DHCP Snooping 绑定数据可编辑资料 - - - 欢迎下载精品名师归纳总结username:passwordhostname可编辑资料 - - - 欢迎下载精品名师归纳总结| ho

11、st-ip/directory/image-name.tar | rep:/ userhost/filename|tftp:/ host/filename库的配置命令可编辑资料 - - - 欢迎下载精品名师归纳总结7、校验命令：CommandPurposeshow ip dhcp snooping显示交换机中 DHCP Snooping 的配置show ip dhcp snooping binding显示 DHCP Snooping动态建立的DHCP 的信息显示 DHCP Snooping绑定数据库的可编辑资料 - - - 欢迎下载精品名师归纳总结show ip dhcp snooping d

12、atabase静态信息可编辑资料 - - - 欢迎下载精品名师归纳总结show ip source binding显示动态或者静态的绑定信息四、 IP Source Guard交换机能够检查来自客户端的源IP 的址，防止虚假的 IP 的址攻击.在实际的网络攻击中，在 IP 层面的攻击行为几乎都包括虚假的IP 攻击.最常用的方法是借鉴 DHCP Snooping 建立的绑定表 .当启用可编辑资料 - - - 欢迎下载精品名师归纳总结Source Guard 特性后，交换机会自动生成一条ACL 并下发到端口中，比较连接端口的主机 IP 是否与绑定表中的条目一样，假如不一样，就中断连接 .注： IP

13、 Source Guard配置前必需先配置 DHCP Snooping配置命令（端口模式）：ip verify source只检查源 IP 的址ip verify source port-security同时检查源 IP 的址和源 MAC 的址注 1：假如配置 source和 port-security交换机必需支持 option82 功能. 即当客户端通过交换机连接 DHCP 服务器时，可以在 DHCP 过程中收到携带交换机信息的数据包 .注 2： port-security 功能启用后，交换机不检查DHCP 消息的 MAC的址，直到终端设备获得 IP 的址之后，交换机才会检查源MAC 的址

14、.静态绑定和校验命令ip source binding mac-address vlavnlan-idip addressinterfaceinterface-idshow ip verify source interfaceinterface-idshow ip source binding ip-address mac-addres sdhcp snooping | static interfaceinterface-id vlan vlan-id五、ARP消息封装 以太帧 ARP 消息6 字节 以太网目的的址6 字节 以太网源的址可编辑资料 - - - 欢迎下载精品名师归纳总结2 字节

15、帧类型2 字节 硬件类型2 字节 协议类型1 字节 硬件的址长度1 字节 协议的址长度2 字节 op6 字节 发送端以太网的址4 字节 发送端 ip 的址6 字节 目的以太网的址4 字节 目的 ip 的址对于一个 ARP 恳求来说，除目的端硬件的址外的全部其他的字段都有填充值 .当系统收到一份目的端为本机的ARP 恳求报文后，它使用自己的 MAC 和 IP 分别替换两个发送端的的址，将发送端的两个的址填写到目的以太网的址和目的IP 的址字段，并把操作字段设置为“ 2”，最终发送回去 .所谓的 ARP 欺诈，就是在最终 4 组字段做文章 .欺诈都发生在应答消息中 .六、 DAI 的介绍：A：功能

16、 DAI会检查应答消息中的发送IP 和发送 MAC 是否在 DHCP Snooping建立的数据库中存在，假如存在即为真，反之为假。可编辑资料 - - - 欢迎下载精品名师归纳总结 DAI 会过滤“免费 ARP 消息”（没有经过ARP 恳求就自动收到的 ARP 应答消息）。 DAI 可以阻挡 ARP 病毒或者 ARP 攻击。 DAI 仍可以对 ARP 恳求消息进行限速B：规划在接入层交换机上进行配置，通常将级联端口配置为trusted 接口，将连接终端的接口 untrunsted接口.DAI 只对 untrunsted端口生效 .C： ARP ACls 配置命令： arp access-lis

17、at cl-name 配置 ACL 的名称permit ip host sender-ipmac hostsender-maclog手工填写 IP 的址和对应的 MAC 的址Exit退出 ACL 配置ip arp inspection filterarp-acl-namevlan vlan-rangestatic调用 ACLs 配置注： ARP Acl 是是检查 ARP 消息，不是绑定主机的 IP 和 MAC例：Arp access-list host2配置 arp ACL，名称 host2Permit ip host 1.1.1.1 mac host 1.1.1主机 1.1.1.1的 mac

18、的址 1.1.1 Exit退出ip arp inspection filter host2 vlan 1 在 vlan 1 中调用 host2可编辑资料 - - - 欢迎下载精品名师归纳总结interface ethe0/0/1进入 ethe0/0/1 口no ip arp inspection trust修改端口为 untrust 端口说明： 以上配置完成后 ，交换机 ethe0/0/1 口应答的 ARP 消息中， 发送端口 IP 和发送端口 MAC 的址，必需与 host2 中配置相同 .假如ARP 应答消息中的字段与 ACL 配置中的任何一项不符，就直接过滤 .D：校验命令show ar

19、p access-listacl-nameshow ip arp inspection vlanvlan-range show ip arp inspection interface E：以太帧的 ARP 检查命令ip arp inspection validatesrc-macdst-macip可以检查以太帧的内容， “ 以太网源的址 ”要和“ 发送端以太网的址 ”相同，“ 以太网目的的址 ”要和“ 目的以太网的址相同 ”Commandip dhcp snoopingip dhcp snooping vlan 10,20 ip arp inspection vlan 10,20 interf

20、ace fastethernet 0/1 description Access Port switchport mode access switchport access vlan 10switchport port-security maximum 2Purpose开启 DHCP Snooping功能监听 VLAN10 与 VLAN20检查 VLAN10 与 VLAN20 的 arp 信息进入 F0/1 接口描述接口： Access Port配置接口属性为 access接口将接口隶属于VLAN10switchport port-security violation restrict本接口最多

21、可以学习 2 个 MAC 的址违反本接口的安全规定，就过滤掉非安全的址并启动计时器，统计单位时间内，非安全的址的连接次数配置实例：可编辑资料 - - - 欢迎下载精品名师归纳总结switchport port-securityip dhcp limit rate 50启动端口安全特性对本端口实施 DHCP 限速： 50包/ 秒ip verify source port-security启动端口源 IP 检查功能，既查源 IP 又查源 MAC进入 F0/24 接口描述接口： Uplink配置接口属性为 trunkinterface fastethernet 0/24description Upl

22、ink switchport mode trunkswitchport trunk allowed vlan 10,20 ip dhcp snooping trustip arp inspection trust答应该 trunk 接口通过 vlan10和 vlan20设置接口为 DHCP Snooping 信任端口设置接口为 arp 检测信任接口七、 SSH认证telnet：明文传递，易被抓包可编辑资料 - - - 欢迎下载精品名师归纳总结ssh：使用加密算法，使用强身份认证cisco的产品都可以配置为 ssh server同.时都具有客户端功能 .可编辑资料 - - - 欢迎下载精品名师归

23、纳总结配置例：hostname 123定义主机名username xyz password abc123设置治理员账户及密码 ip domain-name 配置域名crypto key generate rsa产生密钥算法ip ssh version 2ss协h 议的版本号line vty 0 15配置 vty 线路login local登录时使用本的的数据库transport input ssh答应 ssh连接八、 VTY 线路出入站的 ACL命令：可编辑资料 - - - 欢迎下载精品名师归纳总结access-list 100 permit ip 10.0.0.0 0.0.0.255 any

24、 答应源的址段为 10.0.0.0/24目的的址段为 any line vty 0 15access-class 100 inin：入站连接的源 IP，out：以本机为源出站连接即： in 是谁能连接我， out 是我能连接谁九、 HTTP server示例：hostname 123定义主机名access-list 100 permit ip 10.1.9.0 0.0.0.255 any定义列表 100，只答应源的址为 10.1.9.0/24网段通过，目的的址 any username xyz password abc123设置治理员账户及密码ip domain-name 配置域名 crypt

25、o key generate rsa产生密钥算法 no ip http server关闭 http server服务ip http secure-server开启 http secure-serve功r 能http access-class 100 in进站方向调用列表 100http authentication local针对本的的 http 拜访使用本的的用户名登录十、 ACL 功能交换机支持 3 种 ACL.即：基于端口的 acl，基于 vlan 的 acl 和在三层接口上配置出站或入站的 acl（三层交换机支持） .示例一：可编辑资料 - - - 欢迎下载精品名师归纳总结需求： dr

26、op all IGMP packets丢弃全部的 IGMP 包 forward all tcp packets 转发全部的 TCP 包 drop all other ip packets 丢弃全部其他的（非 IGMP 和非 TCP） IP包 forward all non-ip packets 转发全部的非 IP 包（不使用 IP 协议通讯的包，例如：以太帧等）命令：定义列表：ip access-list extendeidgmp-match 定义列表 igmp-match permit igmp any any答应 igmp 协议的源、目的的址通过ip access-list extende

27、tdcp-match定义列表 tcp-match permit tcp any any 答应全部 tcp 协议的源、目的的址通过exit退出调用列表vlan access-mapdrop-ip-default 10创建基于 vlan 的掌握列表： drop-ip-default 是列表名称， 10：序号matchip addressigmp-match 定义选择范畴：调用列表 igmp-match actiondrop 选择操作：将满意 match 条件的数据丢弃（ drop） exit 退出vlan access-mapdrop-ip-default 20 drop-ip-default 列

28、表 第 20 句可编辑资料 - - - 欢迎下载精品名师归纳总结matchip addresstcp-match 定义选择范畴：调用列表 tcp-matchaction forward选 择 操作 ： 将 满 足 match 条 件 的 数 据 包 转 发（ forward）注： 在 access-map中假如配置了有关 IP 协议的策略，无论是 drop 仍是 forward，列表在最终默认 deny 有关 IP 协议的其他流量 .因此需求三得到满意 .同时，由于上述列表中没有涉及的非IP 流量，因此对非IP 流量不做任何处理，直接转发 .需求四得到满意 .示例二： 需求： forward

29、all tcp packets 答应转发全部 tcp 的流量 forward MAC packets from hosts 0000.0c00.0111and 0000.0c00.0211转发两个源 MAC 的址的流量 drop all other ip packets丢弃其他的 IP 流量 drop all other mac packets丢弃其他的 MAC 流量命令：ip access-list extendetcdp-match 定义列表 tcp-matchpermittcp any any 答应 tcp 协议的源、目的的址通过mac access-list extendegdood-

30、hosts定义列表 good-hostspermithost 0000.0c00.0111any 答应源 mac 的址为 0000.0c00.0111的流量通过permit host 0000.0c00.0211an允y 许源 mac 的址为 0000.0c00.0211的流量通过可编辑资料 - - - 欢迎下载精品名师归纳总结exit退出调用列表vlan access-mapdrop-all-default 10创建基于 vlan 的掌握列表： drop-ip-default 是列表名称， 10：序号match ip addresstcp-match 定义选择范畴：调用列表 tcp-matc

31、haction forward选择操作 ： 将满 足 match 条件的 数 据包转 发（ forward） exit 退出vlan access-mapdrop-all-default 20 drop-all-default列表 第 20 句match mac addressgood-hosts 定义选择范畴：调用列表 good-hostsaction forward选 择 操作 ： 将 满 足 match 条 件 的 数 据 包 转 发（ forward） exit注： 需求三和需求四满意的缘由同“示例一” .由于在列表中分别配置了 IP 和以太网的策略，因此 acl 会在最终 deny其

32、他的相关流量 .VLAN Map 的调用命令：全局模式配置 vlan filter mapnamevlan-list list十一、PVLAN在一般 VLAN下面设置二层VLAN （ private vlan） .使一般VLAN 下面出现出不同的 VLAN 掌握.1、PVLAN 的六个概念（三种类型VLAN 和三种类型端口）可编辑资料 - - - 欢迎下载精品名师归纳总结A、三种类型 VLAN primary vlan基本 vlan community vlan 团体 vlan isolated vlan隔离 vlan注：其中 community vlan 和 isolated vlan都属于

33、 secondaryvlan.它们分别可以和 primary vlan通讯，但是彼此不能通讯B、三种类型端口：Isolated隔离端口 属于 isolated vlan Promiscuous 混杂端口 属于 primary vlan Community团体端口 属于 community vlan 2、各个类型端口的通讯A、Isolated 隔离端口：每一个隔离端口只能与混杂端口通讯，隔离端口之前不能通讯 .B、Promiscuous混杂端口：可以和 PVLAN 中的任意端口通讯 .C、Community 团体端口：可以和混杂端口以及同一个community 内的其他端口通讯 .3、配置命令及

34、留意事项示例：vtp transparent配置 PVLAN 不能使用 VTP vlan 201建立 VLAN201private-vlan isolated将 VLAN201 配置为隔离 VLANvlan 202建立 VLAN202可编辑资料 - - - 欢迎下载精品名师归纳总结private-vlan community将 VLAN202 配置为团体 VLAN vlan 100建立 VLAN100private-vlan primary将 VLAN100 配置为混杂 VLANprivate-vlan association201,202将 vlan201与 202 配置在 vlan100下

35、面可编辑资料 - - - 欢迎下载精品名师归纳总结interface fa0/24进入 0/24 端口switchport mode private-vlan promiscuou配s置为混杂端口可编辑资料 - - - 欢迎下载精品名师归纳总结switchport private-vlan mapping100 201,202配置该端口所属 vlan注 1：mapping 后面先写主 vlan ID，再写帮助 vlan ID. interface range fa0/1-2进入 fa0/1 和 fa0/2 口switchport mode private-vlan host 将端口配置为帮助端口switchport private-vlan host-association100 202 配置端口可通行 vlan注 2：host-association先写主 vlan ID 后写帮助 vlan ID. interface range fa0/3-4进入 fa0/3 和 fa0/4 口switchport mode private-vlan host 将端口配置为帮助端口switchport private-vlan host-association100 201配置端口可通行 vlan 4、校验show vlan private-vlan可编辑资料 - - - 欢迎下载