欢迎来到天天文库
浏览记录
ID:56828169
大小:214.50 KB
页数:9页
时间:2020-07-15
《交换机接入安全.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、交换机接入安全端口安全P320MAC表自动学习:动态(默认)保持300秒.手工设置:静态(安全)默认,MAC表动态学习,允许任何用户接入。MAC表 MACAVLAN1F0/1MACBVLAN1F0/2MACCVLAN1F0/3MACDVLAN1F0/4当未授权用户E接入端口F0/4,则交换机会自动刷新MAC表,并允许E接入,则E便可以访问网络资源。可以通过多种方式来限制E对网络的访问,其中一种便是端口安全。实验:端口安全1.在接入层交换机S29上,对于端口F0/1,2.,3,4只允许主机ABCD接入,违背关闭端口.S29(config)#intf0/1#shutdown目的:清理
2、MAC表#swmodeacc默认dynamaic,不能启用端口安全#swport-security 启用端口安全#swport-securitymaximun1 关联一个MAC(默认)#swport-securitymac-address000c.1111.111a 静态绑定或#swport-securitymac-addresssticky动态学习MAC并绑定#swport-securityviolationshutdown 违背关闭(默认)#noshutdown……S29(config)#intf0/4#shutdown#swmodeac
3、c#swport-security 启用端口安全#swport-securitymaximun1 关联一个MAC(默认)#swport-securitymac-address000c.1111.111d 静态绑定#swport-securityviolationshutdown 违背关闭2.在交换机S3560上,在F0/1端口只允许主机ABC接入,其它禁止,违背受限.S3560(config)#intf0/1#shutdown#swmodeacc#swport-security #swport-securitymaxi
4、mun3 关联3个MAC(默认1个)#swport-securitymac-address000c.1111.111a 静态绑定 #swport-securitymac-address000c.1111.111b#swport-securitymac-address000c.1111.111c#swport-securityviolationrestric 受限,合法通过,非法丢弃并产生日志消息 Protect保护,合法通过,非法丢弃,但不产生日志消息3.错误禁用的恢复(1)手工恢复先shutdown,后noshu
5、tdown(2)自动恢复S(config)#errdisablerecoverycausepsecure-violation重新启用的原因#errdisablerecoveryinterval30 恢复时间间隔 注:1.启用端口安全时,只能工作在access或trunk模式.(默认dynamaicauto) 2.配置时,应先将端口关闭,否则配置不起作用。sw#shport-securityinterfacef0/3sw#sherrdisabledetectErrDisableReasonDetectionMode------------------------
6、------arp-inspectionEnabledportbpduguardEnabledportchannel-misconfigEnabledportdhcp-rate-limitEnabledportpsecure-violationEnabledportsw#sherrdisablerecovery查看哪些行为的禁用可以自动恢复防范欺骗攻击DHCP监听P326DHCPIP地址172.16.1.1 子网掩码255.255.255.0 网关172.16.1.254 DNS…….分析DHCP攻击:DHCP基于广播,同一网络中的所有主机都可以收到,恶意用户D
7、发送伪造的DHCP应答,造成两种后果。1.非法的IP地址 192.1.1.0 导致用户不能联网2.合法的IP地址,但将网关设为自己的IP:1.4 中间人攻击 导致用户将访问外网的流量发送到1.4,然后1.4将重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。解决办法:DHCP监听1.防止伪造的DHCP应答。可信端口 应答通过 不可信端口 应答被丢弃 注:启用DHCP监听后,所有端口被视为不可信,应将连接DHCP服务器的端口设为可信的。 2.可以限制用户发送
此文档下载收益归作者所有
