端口安全学习.pptx

《端口安全学习.pptx》由会员分享，可在线阅读，更多相关《端口安全学习.pptx（30页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、四、实现四、实现VLAN间通信的原理间通信的原理【实验拓扑】F0/24F0/24F0/24F0/10F0/10F0/10NICNICNICF0/24F0/24F0/24F0/2F0/2F0/2S3750S3750S3750VLAN10VLAN10VLAN10VLAN20VLAN20VLAN20F0/20F0/20F0/20SVI 10SVI 10SVI 20SVI 20 目的网段目的网段 转发方式转发方式从SVI 10口发出从SVI 20口发出 交给B第1页/共30页第2页/共30页第3页/共30页第4页/共30页三层交换机三层交换机在逻辑上三层交换和路由是等同的，三层交换的过程就是IP报文选

2、路的过程。三层交换机与路由器在转发操作上的主要区别在于其实现的方式：三层交换机通过硬件实现查找和转发传统路由器通过微处理器上运行的软件实现查找和转发三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护第5页/共30页SVI SVI(Switch virtual interface)(Switch virtual interface)是和某个是和某个是和某个是和某个VLAN VLAN 关联的关联的关联的关联的IPIP接口。每个接口。每个接口。每个接口。每个 SVI SVI 只能和一个只能和一个只能和一个只能和一个VLANVLAN关联，可分为以下两关联，可分为以下两关联，可分为以下

3、两关联，可分为以下两种类型：种类型：种类型：种类型：SVI SVI 是本机的管理接口，通过该管理接口管理员可管理交换机。是本机的管理接口，通过该管理接口管理员可管理交换机。是本机的管理接口，通过该管理接口管理员可管理交换机。是本机的管理接口，通过该管理接口管理员可管理交换机。SVI SVI 是一个网关接口，用于是一个网关接口，用于是一个网关接口，用于是一个网关接口，用于3 3层交换机中跨层交换机中跨层交换机中跨层交换机中跨VLANVLAN之间的路由。之间的路由。之间的路由。之间的路由。您可通过您可通过您可通过您可通过interface vlan interface vlan 接口配置命令来创建

4、接口配置命令来创建接口配置命令来创建接口配置命令来创建SVISVI，然后给，然后给，然后给，然后给SVI SVI 分配分配分配分配IPIP地址来建立地址来建立地址来建立地址来建立VLANVLAN之间的路由。之间的路由。之间的路由。之间的路由。如图所示，如图所示，如图所示，如图所示，VLAN20 VLAN20 的主机可直接互相通讯，无需通过三层交换机的路由，若的主机可直接互相通讯，无需通过三层交换机的路由，若的主机可直接互相通讯，无需通过三层交换机的路由，若的主机可直接互相通讯，无需通过三层交换机的路由，若 VLAN10VLAN10、2020、3030、4040内的主机相互通讯必须通过各个内的主

5、机相互通讯必须通过各个内的主机相互通讯必须通过各个内的主机相互通讯必须通过各个VLAN VLAN 对应的对应的对应的对应的 SVISVI。第6页/共30页3 3层接口可分为以下几种类型层接口可分为以下几种类型 SVI(Switch virtual interface)SVI(Switch virtual interface)Routed port Routed port L3 Aggregate Port L3 Aggregate Port Routed portRouted port在三层交换机上，可以使用单个物理端口作为三层交换的网关接口，这个接在三层交换机上，可以使用单个物理端口作为三层

6、交换的网关接口，这个接口称为口称为Routed portRouted port。Routed portRouted port不具备不具备2 2层交换的功能。您可通过层交换的功能。您可通过no no switchportswitchport命令将一个命令将一个2 2层接口层接口switch portswitch port转变为转变为Routed portRouted port，然后给，然后给Routed Routed port port 分配分配IPIP地址来建立路由。地址来建立路由。一个限制是，当一个接口是一个限制是，当一个接口是L2 Aggregate Port L2 Aggregate P

7、ort 的成员口时，是不能用的成员口时，是不能用switchport/no switchport switchport/no switchport 命令进行层次切换的。命令进行层次切换的。第7页/共30页课程议题交换机端口安全第8页/共30页利用端口安全这个特性，你可以通过限制允许访问利用端口安全这个特性，你可以通过限制允许访问交换机上某个端口的交换机上某个端口的MAC地址以及地址以及IP(可选可选)来实现来实现严格控制对该端口的输入。当你为安全端口严格控制对该端口的输入。当你为安全端口(打开了打开了端口安全功能的端口端口安全功能的端口)配置了一些安全地址后，则除配置了一些安全地址后，则除了源

8、地址为这些安全地址的包外，这个端口将不转了源地址为这些安全地址的包外，这个端口将不转发其它任何报。发其它任何报。第9页/共30页交换机端口安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定第10页/共30页交换机端口安全安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包第11页/共30页当安全违例将产生时，可以选择多种方式来处理违例，当安全违

9、例将产生时，可以选择多种方式来处理违例，比如丢弃接收到的报，发送违例通知或关闭相应端口等。比如丢弃接收到的报，发送违例通知或关闭相应端口等。当安全违例产生时，你可以选择多种方式来处理违例：ProtectProtect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包RestrictRestrict：当违例产生时，将发送一个TrapTrap通知ShutdownShutdown：当违例产生时，将关闭端口并发送一个TrapTrap通知第12页/共30页当设置了安全端口上安全地址的最大个数后，你可以使当设置了安全端口上安全地址的最大个数后，你可以使用下面几种方式加满

10、端口上的安全地址：用下面几种方式加满端口上的安全地址：可以使用接口配置模式下的命令可以使用接口配置模式下的命令switchport port-switchport port-security mac-address mac-addressip-security mac-address mac-addressip-addressip-addressaddressip-address来手工配置端口的所有安全地址。来手工配置端口的所有安全地址。也也可以让该端口自动学习地址可以让该端口自动学习地址，这些自动学习到的地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。将变成该端口上的安

11、全地址，直到达到最大个数。需要注意的是，自动学习的安全地址均不会绑定需要注意的是，自动学习的安全地址均不会绑定IPIP地址，地址，如果在一个端口上，你已经配置了绑定如果在一个端口上，你已经配置了绑定IPIP地址的安全地地址的安全地址，则将不能再通过自动学习来增加安全地址。址，则将不能再通过自动学习来增加安全地址。第13页/共30页第14页/共30页配置安全端口 端口安全最大连接数配置switchport port-security 打开该接口的端口安全功能switchport port-security maximum value！设置接口上安全地址的最大个数，范围是1128，缺省值为128s

12、witchport port-security violationprotect|restrict|shutdown！设置处理违例的方式注意：1、端口安全功能只能在上进行、端口安全功能只能在上进行access端口配置。端口配置。2、当当端端口口因因为为违违例例而而被被关关闭闭后后，在在全全局局配配置置模模式式下下使使用用命命令令errdisable recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。第15页/共30页配置安全端口端口的安全地址绑定switchport port-security ！打开该接口的端口安全功能switchport port-securit

13、y mac-address mac-address ip-address ip-address！手工配置接口上的安全地址注意：1、端口安全功能只能在、端口安全功能只能在access端口上进行配置端口上进行配置 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MAC、单、单IP、MAC+IP第16页/共30页案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configure terminal Switch(config)#interface gigabitethernet 1/3 Sw

14、itch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#end第17页/共30页案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为，IP为Switch#configure

15、 terminalSwitch(config)#interface fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#end第18页/共30页查看配置信息查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-securitySwitch#show port-security Secure Port MaxSecureAddr CurrentAddr Se

16、curity Action -Gi1/3 8 1 Protect查看安全地址信息Switch#show port-security addressSwitch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins)-第19页/共30页F0/5F0/5F0/5NICNICNICNICNICNICF0/24F0/24F0/24F0/3F0/3F0/3端口端口安全安全VLAN 3VLAN 3VLAN 3F0/10F0/10F0/10VLAN 5VLAN 5VLAN 5VLAN 10VLA

17、N 10VLAN 10F0/24F0/24F0/24第20页/共30页课程议题课程议题风暴的抑制风暴的抑制第21页/共30页 概述概述 当一个端口上接收到过量的广播、多播或未知名单播当一个端口上接收到过量的广播、多播或未知名单播包时，一个就数据包的风暴会产生，这会导致网络变包时，一个就数据包的风暴会产生，这会导致网络变慢和报文传输超时几率大大增加。协议栈的执行错误慢和报文传输超时几率大大增加。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。或对网络的错误配置都有可能导致风暴的产生。第22页/共30页 我们可以分别针对广播、多播和未知名单播数据流进我们可以分别针对广播、多播和未知名单播

18、数据流进行风暴控制。当接收到的广播、多播或未知名单播包行风暴控制。当接收到的广播、多播或未知名单播包过量时，交换机将暂时禁止相应类型的包的转发直到过量时，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常数据流恢复正常(这时包的转发将恢复正常这时包的转发将恢复正常)。S3550/S3750S3550/S3750系列交换机的所有千兆接口支持风暴系列交换机的所有千兆接口支持风暴控制的设置。控制的设置。S3750-24/48 S3750-24/48 交换机的千兆口和百兆交换机的千兆口和百兆均支持风暴控制，并且支持配置风暴产生的均支持风暴控制，并且支持配置风暴产生的阀值阀值：只：只允许广播、多播和未

19、知名单播数据流占用接口一定比允许广播、多播和未知名单播数据流占用接口一定比例的带宽，你可以通过命令来配置这个占用带宽的最例的带宽，你可以通过命令来配置这个占用带宽的最大比例大比例第23页/共30页 配置风暴控制配置风暴控制 缺省情况下，针对广播、多播和未知名单播的风暴控缺省情况下，针对广播、多播和未知名单播的风暴控制功能均被关闭。制功能均被关闭。针对百兆、千兆接口打开其各种数据流针对百兆、千兆接口打开其各种数据流(广播、多播和广播、多播和未知名单播未知名单播)的风暴控制开关的风暴控制开关 Switch(config)#interface fastEthernet 0/1Switch(confi

20、g)#interface fastEthernet 0/1 Switch(config-if)#storm-control Switch(config-if)#storm-control broadcastbroadcast level 30level 30 storm-control storm-control multicastmulticast level level level level storm-control storm-control unicastunicast level level level level第24页/共30页 Level Level是一个百分数，值的范围从

21、是一个百分数，值的范围从1 1100100。表示接口允许通过广播包。表示接口允许通过广播包数据的最大流量占接口最大带宽数据的最大流量占接口最大带宽(百兆端口为百兆端口为100Mbps100Mbps，千兆端口为，千兆端口为1000Mbps)1000Mbps)的百分比，当流量超过的百分比，当流量超过level level 表示的百分比的时，接口将表示的百分比的时，接口将丢弃超出部分的广播包。缺省值为丢弃超出部分的广播包。缺省值为1000 1000 个报文个报文/秒。秒。第25页/共30页 show storm-control interface-idshow storm-control inter

22、face-idcopy running-config startup-configcopy running-config startup-configSwitch#show storm-control broadcast Switch#show storm-control broadcast Interface Filter State Upper Lower CurrentInterface Filter State Upper Lower Current-Fa0/1 Link Down 30.00%30.00%0.00%Fa0/1 Link Down 30.00%30.00%0.00%第2

23、6页/共30页 一次查看所有接口的风暴控制功能的使能状态：一次查看所有接口的风暴控制功能的使能状态：Switch#show storm-controlSwitch#show storm-control Interface Broadcast Control Multicast Control Unicast ControlInterface Broadcast Control Multicast Control Unicast Control-Fa 0/1 Disabled Disabled DisabledFa 0/1 Disabled Disabled Disabled Fa 0/2 Di

24、sabled Disabled DisabledFa 0/2 Disabled Disabled Disabled Fa 0/3 Enabled 20%Enabled30%Enabled40%Fa 0/3 Enabled 20%Enabled30%Enabled40%Fa 0/4 Disabled Disabled DisabledFa 0/4 Disabled Disabled Disabled Fa 0/5 Disabled Disabled DisabledFa 0/5 Disabled Disabled Disabled Fa 0/6 Disabled Enabled50%Disabl

25、edFa 0/6 Disabled Enabled50%Disabled第27页/共30页F0/23F0/23F0/23【综合实验拓扑综合实验拓扑】F0/5F0/5F0/5NICNICNICF0/5F0/5F0/5NICNICNICF0/24F0/24F0/24F0/23F0/23F0/23F0/24F0/24F0/24F0/3F0/3F0/3端口端口聚合聚合端口端口安全安全第28页/共30页F1/0F1/0F1/0F0/4F0/4F0/4NICNICNICF0/5F0/5F0/5NICNICNICF0/23F0/23F0/23F0/24F0/24F0/24F0/3F0/3F0/3端口端口聚合聚合风暴风暴抑制抑制F1/1F1/1F1/1【综合实验拓扑综合实验拓扑】端口端口安全安全第29页/共30页感谢您的观看！第30页/共30页