交换机安全特性(整理)

1、Cisco 交换机地安全特性一、端口安全二、AAA 服务认证三、DHCP 欺骗四、IP Source Guard五、ARP六、DAI 地介绍七、SSH认证八、VTY 线路出入站地 ACL九、HTTP server十、ACL 功能十一、 PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机地 MAC 地址地真实性 .管理员可以通过这个特性将固定地 MAC 地址写在交换机中 . B、配置顺序：1）启动端口安全程序，2）配置有效地MAC 地址学习上线，3）配置静态有效MAC 地址（动态学习不需要配置），4）配置违反安全规定地处理方法（方法有三种：shut down 直接关闭端口，需要后期由

2、管理员手工恢复端口状态；protect 过滤掉不符合安全配置地 MAC 地址； restrict 过滤掉非安全地址后启动计时器，记录单位时间内非安全地址地连接次数），5）配置安全地址地有效时间（静态配置地地址永远生效，而动态学习地地址则需要配置有效时间）.C、配置实例：interface fa 0/1进入交换机 0/1 接口description access port描述 Access端口switchport mode access将交换机端口配置为Access端口switchport access vlan 10将端口划分给 vlan10switchport port-security启动

3、端口安全switchport port-security maximum 2配置该端口最多可以学习MAC 地址地数量静态配置可以接入端口地MAC 地址switchport port-securityviolation restrict配置端口发现违反安全规定后地策略switchport port-security aging time 60端口学习动态 MAC 地址地有效时间（单位：分钟）switchport port-security aging type inactivity端口会将到期且不工作地MAC 地址清空D、当管理员需要静态配置安全MAC 地址，而又不知道具体MAC地址时，可通过s

4、ticky 特性实现需求 .命令如下：switchport port-security mac-address stickysticky 特性会将动态学习到地MAC 地址自动配置为静态安全地址.且该条目可以在 show run 中看到（记得保存配置）.E、校验命令：show port-security interfaceinterface-id address具体端口明细信息show port-security显示端口安全信息show port-security address显示安全地址及学习类型二、AAA 认证1、AAA ：A、Authentication 身份认证：校验身份B、Autho

5、rization 授权：赋予访问者不同地权限C、Accounting 日志：记录用户访问操作2、AAA 服务认证地三要素： AAA 服务器、各种网络设备、客户端客户端： AAA 服务中地被管理者各种网络设备： AAA 服务器地前端代理者AAA 服务器：部署用户、口令等注： CC IE-RS 只涉及网络设备上地一小部分,不作为重点 .3、802.1X 端口认证协议（标准以太网技术）在以太网卡和以太交换机之间通过802.1X 协议，实现网络接入控制.即是否允许客户端接入网络.三、DHCP 欺骗1、DHCP 过程是客户端接入网络后会发广播（discover）寻找本网段地DHCP 服务器；服务器收到广

6、播后，会向客户端进行回应（ offer），回应信息中携带着地址段信息；客户端会在 offer 中挑选一个 IP 地址，并向服务器发起请求（ responds）；服务器会检查客户端选取地 IP 地址是否可用，同时向客户端确认消息（ acknowledgment）.DHCP 欺骗主要与服务器给客户端地回应有关.2、 DHCP Snooping 在交换机上检查 DHCP 消息 .具体地说它会检查两类消息： discover 消息和 offer 消息 .交换机对 discover 消息地控制方法是限速，对 offer 消息地控制是引导 .在专业地攻击中，病毒电脑会先用discover方式向合法地DHC

7、P服务器发起QOS攻击 .当DHCP服务器瘫痪后，由另一台病毒电脑对这个网段进行DHCP欺骗.由于是两台病毒电脑配合攻击，因此解决问题地方法也不同.3、DHCP Snooping地部署ip dhcp snoopingip dhcp snooping information optionip dhcp snooping vlanvlan idip dhcp limit rate 50ip dhcp snooping trust开启 dhcp Snooping功能侦听 dhcp 过程中地扩展信息配置需要监听地VLAN对 DHCP 包进行限速， 50 包/配置可信任端口 .秒.注 1：最后两条命令，

8、是在接口模式下配置 .注 2：没有被配置成 trust 地接口，都是 untrust 接口 .注 3： DHCP 中地扩展信息是通过交换机时获得地 .当客户端与服务器不是通过直连网络连接，而是中间通过交换机连接，此时交换机会在 DHCP 过程中附加一些交换地信息（ option）.这些信息可以被DHCP Snooping监听 .即：没有交换机，就没有（option）.4、DHCP Snooping地校验show ip dhcp snooping5、DHCP Snooping建立“绑定数据库”当 DHCP Snooping 被启用后，交换机会对untrust 接口建立数据库 .数据库最大容量81

9、92 条信息 .数据库地内容包括：每个客户端在申请DHCP 时地 IP 地址、 MAC 地址、端口号、 VLAN ID和租用时间 .6、远程储存命令：CommandPurposeip dhcp snooping databaseflashnumber:/filename|ftp:/ user:passwordhost/filename|远程存储 DHCP Snooping 绑定数据http:/ username:passwordhostname库地配置命令| host-ip/directory/image-name.tar |rep:/|userhost/filenametftp:/host/

10、filename7、校验命令：CommandPurposeshow ip dhcp snooping显示交换机中 DHCP Snooping 地配置show ip dhcp snooping binding显示 DHCP Snooping动态建立地DHCP 地信息show ip dhcp snooping database显示 DHCP Snooping绑定数据库地静态信息show ip source binding显示动态或者静态地绑定信息四、 IP Source Guard交换机能够检查来自客户端地源IP 地址，防止虚假地 IP 地址攻击 .在实际地网络攻击中，在IP 层面地攻击行为几乎都

11、包括虚假地IP 攻击 .最常用地方法是借鉴DHCP Snooping 建立地绑定表 .当启用Source Guard 特性后，交换机会自动生成一条ACL 并下发到端口中，比较连接端口地主机IP 是否与绑定表中地条目一致，如果不一致，则中断连接 .注： IP Source Guard配置前必须先配置DHCP Snooping配置命令（端口模式）：ip verify source只检查源 IP 地址ip verify source port-security同时检查源 IP 地址和源 MAC 地址注 1：如果配置 source和 port-security交换机必须支持 option82 功能 .

12、即当客户端通过交换机连接DHCP 服务器时，可以在DHCP 过程中收到携带交换机信息地数据包.注 2：port-security 功能启用后，交换机不检查 DHCP 消息地 MAC 地址，直到终端设备获得 IP 地址之后，交换机才会检查源 MAC 地址.静态绑定和校验命令ip source binding mac-address vlanvlan-id ip addressinterface interface-idshow ip verify source interfaceinterface-idshow ip source binding ip-address mac-addressdh

13、cp snooping | staticinterface interface-id vlan vlan-id五、 ARP消息封装 以太帧 ARP 消息6 字节以太网目地地址6 字节以太网源地址2字节 帧类型2字节 硬件类型2字节 协议类型1字节 硬件地址长度1字节 协议地址长度2字节 op6 字节发送端以太网地址4 字节发送端 ip 地址6 字节目地以太网地址4 字节目地 ip 地址对于一个 ARP 请求来说，除目地端硬件地址外地所有其他地字段都有填充值 .当系统收到一份目地端为本机地ARP 请求报文后，它使用自己地 MAC 和 IP 分别替换两个发送端地地址，将发送端地两个地址填写到目地以

14、太网地址和目地 IP 地址字段，并把操作字段设置为“2”，最后发送回去 .所谓地 ARP 欺骗，就是在最后 4 组字段做文章 .欺骗都发生在应答消息中 .六、DAI 地介绍：A：功能·DAI会检查应答消息中地发送IP 和发送MAC 是否在DHCPSnooping建立地数据库中存在，如果存在即为真，反之为假；· DAI 会过滤“免费 ARP 消息”（没有经过 ARP 请求就自动收到地 ARP 应答消息）；· DAI 可以阻止 ARP 病毒或者 ARP 攻击；· DAI 还可以对 ARP 请求消息进行限速B：规划在接入层交换机上进行配置，通常将级联端口配置为

15、trusted 接口，将连接终端地接口untrunsted接口.DAI 只对 untrunsted端口生效 .C：ARP ACls 配置命令：arp access-listacl-name配置 ACL 地名称permit ip host sender-ipmac hostsender-maclog手工填写 IP 地址和对应地 MAC 地址Exit退出 ACL 配置ip arp inspection filter arp-acl-namevlan vlan-rangestatic调用 ACLs 配置注： ARP Acl 是是检查 ARP 消息，不是绑定主机地IP 和 MAC例：Arp acces

16、s-list host2配置 arp ACL，名称 host2主机地 mac地址Exit退出ip arp inspection filter host2 vlan 1 在 vlan 1中调用 host2interface ethe0/0/1进入 ethe0/0/1 口no ip arp inspection trust修改端口为 untrust 端口说明：以上配置完成后，交换机 ethe0/0/1 口应答地 ARP 消息中，发送端口 IP 和发送端口 MAC 地址，必须与 host2 中配置相同 .如果 ARP 应答消息中地字段与 ACL 配置中地任何一项不符，则直接过滤 .D：校验命令sho

17、w arp access-listacl-nameshow ip arp inspection vlanvlan-rangeshow ip arp inspection interfaceE：以太帧地 ARP 检查命令ip arp inspection validate src-macdst-macip可以检查以太帧地内容， “ 以太网源地址 ”要和“ 发送端以太网地址 ”相同，“ 以太网目地地址 ”要和“ 目地以太网地址相同 ”配置实例：Commandip dhcp snoopingip dhcp snooping vlan 10,20 ip arp inspection vlan 10,2

18、0 interface fastethernet 0/1 description Access Port switchport mode access switchport access vlan 10 switchport port-security maximum 2switchport port-security violation restrictPurpose开启 DHCP Snooping功能监听 VLAN10 与 VLAN20检查 VLAN10 与 VLAN20 地 arp 信息进入 F0/1 接口描述接口： Access Port配置接口属性为 access接口将接口隶属于 V

19、LAN10本接口最多可以学习 2 个 MAC 地址违反本接口地安全规定，则过滤掉非安全地址并启动计时器，统计单位时间内，非安全地址地连接次数switchport port-security启动端口安全特性ip dhcp limit rate 50对本端口实施 DHCP 限速： 50包/ 秒ip verify source port-security启动端口源 IP 检查功能，既查源 IP 又查源 MACinterface fastethernet 0/24进入 F0/24 接口description Uplink描述接口： Uplinkswitchport mode trunk配置接口属性为

20、trunkswitchport trunk allowed vlan 10,20允许该 trunk 接口通过 vlan10和 vlan20ip dhcp snooping trust设置接口为 DHCP Snooping 信任端口ip arp inspection trust设置接口为 arp 检测信任接口七、 SSH认证telnet：明文传递，易被抓包ssh：使用加密算法，使用强身份认证cisco 地产品都可以配置为ssh server同.时都具有客户端功能 .配置例：hostname 123定义主机名username xyz password abc123设置管理员账户及密码ip doma

21、in-name 配置域名crypto key generate rsa产生密钥算法ip ssh version 2ssh协议地版本号line vty 0 15配置vty线路login local登录时使用本地地数据库transport input ssh允许ssh 连接八、VTY 线路出入站地 ACL命令：允许源地址段为目地地址段为 anyline vty 0 15access-class 100 inin：入站连接地源IP，out：以本机为源出站连接即： in 是谁能连接我， out 是我能连接谁九、HTTP server示例：hostname 123定义主机名定义列表 100，只允许源地址

22、为网段通过，目地地址anyusername xyz password abc123设置管理员账户及密码ip domain-name 配置域名crypto key generate rsa产生密钥算法no ip http server关闭http server服务ip http secure-server开启http secure-server功能http access-class 100 in进站方向调用列表100http authentication local针对本地地 http 访问使用本地地用户名登录十、ACL 功能交换机支持 3 种 ACL.即：基于端口地 acl，基于 vlan 地

23、 acl 和在三层接口上配置出站或入站地 acl（三层交换机支持） . 示例一：需求：· drop all IGMP packets 丢弃所有地 IGMP 包· forward all tcp packets 转发所有地 TCP 包· drop all other ip packets 丢弃所有其他地（非 IGMP 和非 TCP）IP包· forward all non-ip packets 转发所有地非 IP 包（不使用 IP 协议通讯地包，例如：以太帧等）命令：定义列表：ip access-list extendedigmp-match 定义列表 i

24、gmp-matchpermit igmp any any允许 igmp 协议地源、目地地址通过ip access-list extendedtcp-match定义列表 tcp-matchpermit tcp any any 允许所有 tcp 协议地源、目地地址通过exit退出调用列表vlan access-mapdrop-ip-default 10创建基于 vlan 地控制列表： drop-ip-default 是列表名称， 10：序号 matchip addressigmp-match 定义筛选范围：调用列表 igmp-match actiondrop 选择操作：将满足 match 条件地数

25、据丢弃（ drop） exit 退出vlan access-mapdrop-ip-default 20drop-ip-default 列表 第 20 句matchip addresstcp-match 定义筛选范围：调用列表tcp-matchaction forward选 择 操作 ： 将 满 足match 条 件 地 数 据 包 转 发（ forward）注：在 access-map中如果配置了有关IP 协议地策略，无论是drop 还是 forward，列表在最后默认 deny 有关 IP 协议地其他流量 .因此需求三得到满足 .同时，由于上述列表中没有涉及地非 IP 流量，因此对非IP 流

26、量不做任何处理，直接转发.需求四得到满足 .示例二：需求：· forward all tcp packets 允许转发所有 tcp 地流量·转发两个源 MAC 地址地流量· drop all other ip packets丢弃其他地 IP 流量· drop all other mac packets丢弃其他地 MAC 流量命令：ip access-list extendedtcp-match 定义列表 tcp-matchpermittcp any any 允许 tcp 协议地源、目地地址通过mac access-list extendedgood-ho

27、sts定义列表 good-hosts允许源 mac 地址为地流量通过允许源 mac 地址为地流量通过exit退出调用列表vlan access-mapdrop-all-default 10创建基于 vlan 地控制列表： drop-ip-default 是列表名称， 10：序号match ip addresstcp-match 定义筛选范围：调用列表tcp-matchaction forward选择操作 ： 将满 足match 条件地 数 据包转 发（forward）exit 退出vlan access-mapdrop-all-default 20drop-all-default列表 第 20

28、 句match mac addressgood-hosts 定义筛选范围：调用列表 good-hosts action forward 选 择 操作 ： 将 满 足 match 条 件 地 数 据 包 转 发（forward）exit注：需求三和需求四满足地原因同“示例一” .由于在列表中分别配置了 IP 和以太网地策略，因此acl 会在最后 deny其他地相关流量 .VLAN Map 地调用命令：全局模式配置 vlan filtervlan-listlistmapname十一、PVLAN在普通VLAN 下面设置二层VLAN （ private vlan） .使普通VLAN 下面呈现出不同地 VLAN 控制 .1、 PVLAN 地六个概念（三种类型VLAN 和三种类型端口）A、三种类型 VLANprimary vlan基本 vlancommunity vlan 团体 vlanisolated vlan隔离 vlan注：其中 community vlan 和 isolated vlan都属于 secondaryvlan.它们分别可以和 primary vlan通讯，但是彼此不能通讯B、三种类型端口：Isolated 隔离端口属于 isolated vlanPromiscuous 混杂端口属于 primary vlanCommun