返回
《交换机安全特性》word版

《交换机安全特性》word版

ID:25944552

大小:81.20 KB

页数:19页

时间:2018-11-23

《交换机安全特性》word版_第1页
《交换机安全特性》word版_第2页
《交换机安全特性》word版_第3页
《交换机安全特性》word版_第4页
《交换机安全特性》word版_第5页
资源描述:

《《交换机安全特性》word版》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IPSourceGuard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTPserver十、ACL功能十一、PVLANCisco-交换机安全特性二19CISCOcisco一、端口安全:A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。B、配置顺序:1)启动端口安全程序,2)配置有效的MAC地址学习上线,3)配置静态有效MAC地址(动态学习不需要配置),4)配置违反安全规定的处理方法(方法有三种:shutdown直接关

2、闭端口,需要后期由管理员手工恢复端口状态;protect过滤掉不符合安全配置的MAC地址;restrict过滤掉非安全地址后启动计时器,记录单位时间内非安全地址的连接次数),5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学习的地址则需要配置有效时间)。C、配置实例:interfacefa0/1进入交换机0/1接口descriptionaccessport描述Access端口switchportmodeaccess将交换机端口配置为Access端口switchportaccessvlan10将端口划分给vlan10Cisco-交换机安全特性二19CISCOciscoswit

3、chportport-security启动端口安全switchportport-securitymaximum2配置该端口最多可以学习MAC地址的数量switchportport-securitymac-address1111.2222.3333switchportport-securitymac-address1111.2222.4444静态配置可以接入端口的MAC地址switchportport-securityviolationrestrict配置端口发现违反安全规定后的策略switchportport-securityagingtime60端口学习动态MAC地址的有效时间(单

4、位:分钟)switchportport-securityagingtypeinactivity端口会将到期且不工作的MAC地址清空D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。命令如下:switchportport-securitymac-addressstickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在showrun中看到(记得保存配置)。E、校验命令:showport-security[interfaceinterface-id][address]具体端口明细信息showport-sec

5、urity显示端口安全信息Cisco-交换机安全特性二19CISCOciscoshowport-securityaddress显示安全地址及学习类型二、AAA认证1、AAA:A、Authentication身份认证:校验身份B、Authorization授权:赋予访问者不同的权限C、Accounting日志:记录用户访问操作2、AAA服务认证的三要素:AAA服务器、各种网络设备、客户端客户端:AAA服务中的被管理者各种网络设备:AAA服务器的前端代理者AAA服务器:部署用户、口令等注:CCIE-RS只涉及网络设备上的一小部分,不作为重点。3、802.1X端口认证协议(标准以太网技术)

6、在以太网卡和以太交换机之间通过802.1X协议,实现网络接入控制。即是否允许客户端接入网络。三、DHCP欺骗1、DHCP过程是客户端接入网络后会发广播(discover)寻找本网段的DHCP服务器;服务器收到广播后,会向客户端进行回应(offer),回应信息中携带着地址段信息;客户端会在offer中挑选一个IP地址,并向服务器发起请求(responds);服务器会检查客户端选取的IP地址是否可用,同时向客户端确认消息(acknowledgment)。Cisco-交换机安全特性二19CISCOciscoDHCP欺骗主要与服务器给客户端的回应有关。2、DHCPSnooping在交换机上检

7、查DHCP消息。具体的说它会检查两类消息:discover消息和offer消息。交换机对discover消息的控制方法是限速,对offer消息的控制是引导。在专业的攻击中,病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后,由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击,因此解决问题的方法也不同。3、DHCPSnooping的部署ipdhcpsnooping开启dhcpSnooping功能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。