交换机安全特性VIP专享VIP免费

Cisco交换机的安全特性一、二端口安全AAA服务认证三、DHCP欺骗四、IPSourceGuard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTPserver十、ACL功能十一、PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。B、配置顺序：1）启动端口安全程序，2）配置有效的MAC地址学习上线，3）配置静态有效MAC地址（动态学习不需要配置），4）配置违反安全规定的处理方法（方法有三种：shutdown直接关闭端口，需要后期由管理员手工恢复端口状态；protect过滤掉不符合安全配置的MAC地址；restrict过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数），5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。C、配置实例：interfacefa0/1进入交换机0/1接口descriptionaccessport描述Access端口switchportmodeaccess将交换机端口配置为Access端口switchportaccessvlan10将端口划分给vlan10switchportport-security启动端口安全switchportport-securitymaximum2配置该端口最多可以学习MAC地址的数量switchportport-securitymac-address1111.2222.3333switchportport-securitymac-address1111.2222.4444静态配置可以接入端口的MAC地址switchportport-securityviolationrestrict配置端口发现违反安全规定后的策略switchportport-securityagingtime60端口学习动态MAC地址的有效时间（单位：分钟）switchportport-securityagingtypeinactivity端口会将到期且不工作的MAC地址清空D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。命令如下：switchportport-securitymac-addressstickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在showrun中看到（记得保存配置）。E、校验命令：showport-security[interfaceinterface-id[address]具体端口明细信息showport-security显示端口安全信息showport-securityaddress显示安全地址及学习类型二、AAA认证1、AAA：A、Authentication身份认证：校验身份B、Authorization授权：赋予访问者不同的权限C、Accounting日志：记录用户访问操作2、AAA服务认证的三要素：AAA服务器、各种网络设备、客户端客户端：AAA服务中的被管理者各种网络设备：AAA服务器的前端代理者AAA服务器：部署用户、口令等注：CCIE-RS只涉及网络设备上的一小部分,不作为重点。3、802.1X端口认证协议（标准以太网技术）在以太网卡和以太交换机之间通过802.1X协议，实现网络接入控制。即是否允许客户端接入网络。三、DHCP欺骗1、DHCP过程是客户端接入网络后会发广播（discover）寻找本网段的DHCP服务器；服务器收到广播后，会向客户端进行回应（offer），回应信息中携带着地址段信息；客户端会在offer中挑选一个IP地址，并向服务器发起请求（responds）；服务器会检查客户端选取的IP地址是否可用，同时向客户端确认消息（acknowledgment））DHCP欺骗主要与服务器给客户端的回应有关。2、DHCPSnooping在交换机上检查DHCP消息。具体的说它会检查两类消息：discover消息和offer消息。交换机对discover消息的控制方法是限速，对offer消息的控制是引导。在专业的攻击中，病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后，由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击，因此解决问题的方法也不同。3、DHCPSnooping的部署ipdhcpsnooping开启dhcpSnooping功能ipdhcpsnoopinginformationoption侦听dhcp过程中的扩展信息ipdhcpsnoopingvlanvlanid配置需要监听的VLANipdhcplimitrate50对DHCP包进行限速，50包/秒。ipdhcpsnoopingtrust配置可信任端口。注1：最后两条命令，是在接口模式下配置。注2：没有被配置成trust的接口，都是untrust接口。注3：DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接，而是中间通过交换机连接，此时交换机会在DHCP过程中附加一些交换的信息（option）。这些信息可...