cisco交换机端口安全

《cisco交换机端口安全》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、交换机端口安全案例一案例分析防范方法案例二案例分析防范方法案例一交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表——CAM表根本原因——CAM表的大小是固定的攻击者利用工具产生大量的MAC,快速填满交换机的CAM表，交换机就像HUB一样工作，非法攻击者可以利用监听工具监听所有端口的流量案例分析——MAC攻击配置端口安全功能静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权通过配置portsecurity可以控制端口上最大可以通过的MAC地址数量，对于超过规定数量的MAC处理进行违背处理防范方法设置端口安全功能switchportport-s

2、ecurity设置端口允许合法MAC地址的数目switchportport-securitymaximumnum防范方法设置超过端口允许的最大MAC地址数后端口行为switchportport-securityviolationactshutdown——端口关闭protect——端口不转发数据，不报警restrict——端口不转发数据，报警防范方法静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权switchportport-securitymac-addressX.X.X防范方法示例一#Clearmac-address-tabledynamic#interfa

3、cefa0/4#switchportmodeaccess#switchportport-security#switchportport-securitymaximum3#switchportport-securityviolationshutdown#switchportport-securitymac-addresssticky案例二：IP地址欺骗常见的欺骗攻击种类有MAC欺骗、IP欺骗、IP/MAC欺骗，伪造身份病毒和木马的攻击也会使用欺骗的源IP地址，掩盖真实的源主机设置“端口+MAC+IP”绑定设置MAC地址访问控制列表设置IP地址访问控制列表最后把两种ACL应用到端

4、口防范方法设置MAC地址访问控制列表macaccess-listextendedmac-acl-name绑定规则{deny

5、permit}{any

6、sourceMACaddress

7、sourceMACmask}{any

8、destinationMACaddress

9、destinationMACaddressmask}[typemask

10、lsaplsapmask

11、aarp

12、amber

13、dec-spanning

14、decnet-iv

15、diagnostic

16、dsm

17、etype-6000

18、etype-8042

19、lat

20、lavc-sca

21、mop-console

22、mop-dump

23、msdos

24、

25、mumps

26、netbios

27、vines-echo

28、vines-ip

29、xns-idp

30、0-65535][coscos]防范方法设置IP地址访问控制列表ipaccess-listextendedmac-acl-name设置规则permit/denyprotocolsource-ipdes-ipeqport应用到端口macaccess-groupmac-acl-namein/outipaccess-groupip-acl-namein/out防范方法谢谢观赏