欢迎来到天天文库
浏览记录
ID:56960498
大小:909.00 KB
页数:48页
时间:2020-07-22
《网络设备调试04交换机端口安全课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、主讲教师:马宇麟授课专业:计算机应用技术第4讲交换机端口安全网络设备调试当交换机收到数据帧后发现,MAC地址表中只有数据帧的目标MAC地址而没有源MAC地址的记录,该交换机该如何处理数据帧?接口双工不匹配会有何结果?速率不匹配会有何结果?交换机配置模式有哪些?课程回顾本章结构端口安全DHCP监听的原理DHCP监听配置与示例IP源防护配置与示例IP源防护原理交换机端口安全端口安全的配置端口安全配置示例DHCP监听常见数据链路层安全威胁动态ARP检测配置与示例IP源防护动态ARP检测动态ARP检测原理F0
2、/3回顾交换机转发原理PC1与PC2通信常见数据链路层安全威胁F0/1F0/2PC1PC2MAC–Address-Table0050.56c0.00010050.56c0.0002PC30050.56c0.0001FFFF.FFFF.FFFF0050.56c0.0002ARP广播单播帧转发数据MAC地址扩散大量伪造源MAC地址的数据帧使MAC地址表溢出导致MAC地址表中找不到数据帧目的地址所对应的条目常见数据链路层安全威胁F0/1F0/2PC1PC2MAC–Address-Table0050.56c0
3、.00010050.56c0.0002PC30050.56c0.00010050.56c0.0002溢出伪造大量源MAC地址F0/3因MAC地址表溢出,无法查找表转发,数据帧被广播形式发送发给PC2的单播帧PC3获得了PC1、PC2之间传输的数据ARP攻击的原理欺骗其他所有计算机欺骗被攻击计算机常见数据链路层安全威胁PC1PC2网关网关的MAC地址是XX-XX-XX-XX-XX-XX(虚假MAC地址)PC1的MAC地址是XX-XX-XX-XX-XX-XX(虚假MAC地址)InternetARP欺骗原理
4、欺骗网关欺骗主机常见数据链路层安全威胁PC1PC2网关我是网关,我的MAC地址是XX-XX-XX-XX-XX-XX(PC2的MAC地址)我是PC1,我的MAC地址是XX-XX-XX-XX-XX-XX(PC2的MAC地址)InternetPC1访问互联网的流量需要经过PC2转发PC1PC2我是PC1,我的MAC地址是XX-XX-XX-XX-XX-XX(PC3的MAC地址)我是PC2,我的MAC地址是XX-XX-XX-XX-XX-XX(PC3的MAC地址)PC3PC1到PC2的流量需要经过PC3转发DHC
5、P服务器欺骗与DHCP地址耗尽DHCP服务器欺骗即客户端将自己配置为DHCP服务器,分派虚假的IP地址及其信息或者直接响应DHCP请求DHCP地址耗尽即客户端不断的冒充新客户发送DHCP请求,请求服务器分派IP地址,这样很快耗尽DHCP配置的IP地址池,其他计算机无法使用IP地址欺骗客户端使用自己配置的IP地址冒充其他客户端或网络管理员,对其他用户、设备、服务器等进行非法操作IP地址欺骗主要是利用自行配置IP地址实现的常见数据链路层安全威胁交换机端口安全的作用基于MAC地址限制、允许客户端流量避免MA
6、C地址扩散攻击避免MAC地址欺骗攻击(主机使用虚假MAC地址发送非法数据)端口安全F0/3F0/1F0/2启用交换机端口安全特性启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入或干道模式配置允许访问网络的MAC地址配置接口允许的最大活跃地址数量配置静态绑定的MAC地址交换机端口安全的配置5-1Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum{max
7、-addr}max-addr参数的范围是1~8192,在默认情况下为1Switch(config-if)#switchportport-securitymac-address{mac-addr}mac-addr为静态绑定的MAC地址配置老化时间如果同一端口主机经常变化,而旧MAC地址一直保留,这可能导致新连接到端口的客户无法正常通讯配置交换机接口老化时间,让交换机删除一段时间内没有流量的MAC地址time参数范围是1~1440分钟,默认为0表示不删除absolute参数为老化时间到期后,删除所有MAC
8、地址并重新学习inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除交换机端口安全的配置5-2Switch(config-if)#switchportport-securityagingtime{time}Switch(config-if)#switchportport-securityagingtype{absolute
9、inactivity}Switch(config-if)#switchportpo
此文档下载收益归作者所有