交换机接入安全_第1页
交换机接入安全_第2页
交换机接入安全_第3页
交换机接入安全_第4页
交换机接入安全_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

交换机接入安全交换机接入安全端口安全P320MAC表自动学习:动态(默认)保持300秒.手工设置:静态(安全)默认,MAC表动态学习,允许任何用户接入。MAC表MACAVLAN1F0/1MACBVLAN1F0/2MACCVLAN1F0/3MACDVLAN1F0/4当未授权用户E接入端口F0/4,则交换机会自动刷新MAC表,并允许E接入,则E便可以访问网络资。可以通过多种方式来限制E对网络的访问,其中一种便是端口安全。实验:端口安全1.在接入层交换机S29上,对于端口F0/1,2.,3,4只允许主机ABCD接入,违背关闭端口.S29(config)#intf0/1#shutdown目的:清理MAC表#swmodeacc默认dynamaic,不能启用端口安全#swport-security启用端口安全#swport-securitymaximun1关联一个MAC(默认)#swport-securitymac-address000c.1111.111a静态绑定或#swport-securitymac-addresssticky动态学习MAC并绑定#swport-securityviolationshutdown违背关闭(默认)#noshutdown……S29(config)#intf0/4#shutdown#swmodeacc#swport-security启用端口安全#swport-securitymaximun1关联一个MAC(默认)#swport-securitymac-address000c.1111.111dd静态绑定#swport-securityviolationshutdown违背关闭在交换机S3560上,在F0/1端口只允许主机ABC接入,其它禁止,违背受限.S3560(config)#intf0/1#shutdown#swmodeacc#swport-security#swport-securitymaximun3关联3个MAC(默认1个)#swport-securitymac-address静态绑定#swport-securitymac-address000c.1111.111bb#swport-securitymac-address000c.1111.111cc#swport-securityviolationrestric受限,合法通过,非法丢弃并产生日志消息PProtect保护,合法通过,非法丢弃,但不产生日志消息错误禁用的恢复(1)手工恢复先shutdown,后noshutdown自动恢复S(config)#errdisablerecoverycausepsecure-violation重新启用的原因#errdisablerecoveryinterval30恢复时间间隔注:1.启用端口安全时,只能工作在access或trunk模式.(默认dynamaicauto)2.配置时,应先将端口关闭,否则配置不起作用。sw#shport-securityinterfacef0/3sw#sherrdisabledetectErrDisableReasonDetectionMode-00:26:9E:81:89:10infinitestatic1FastEther0/500:E0:4C:82:1A:EE423621dhcp-snooping1FastEther0/100:E0:4C:82:1A:EE411916dhcp-snooping2FastEther0/1Totalnumberofbindings:3#clearipdhcpsnoopingbinding*#clearipdhcpbinding*动态ARP检测(DAI.)P329分析^p:ARP欺骗。用户上网,先通过ARP找网关的MAC.1.A广播查询"1.254你的MAC是多少,请回答"2.所有主机都能收到,但正常只能网关回答:"1.254的MAC是MACG"主机D,ARP病毒抢先回答:1.254MACD3.主机A在二层将用MACD封装.最终,主机A的所有流量都将被转发到D.中间人攻击D可以对重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。注:与DHCP欺骗的区别DHCP欺骗假冒网关IPARP欺骗假冒网关MAC解决办法:动态ARP检查.(在交换机上进行)S3560(config)#iparpinspectionvlan1-3在VLAN1-3下启用ARP检测启用后,交换机将会拦截VLNA1-3接口收到的ARP应答,进行合法性检查。在判断是否存在欺骗行为时,可以采用以下2种方式:.采用DHCP监听绑定表,或手工设置的IP-MAC-接口绑定关系表。MACIP租用期限对应端口A8F0/1BF0/2C8F0/3D8F0/4MACAMACD1.254MACDF0/4收到二层ARP应答.如果没有上述表项,可以手工配置ARP访问列表.S3560(config)#arpaccess-listARP--01手工建立ARP绑定表S3560(config)#iparpinspectionfilterARP--01vlan1调用ARP绑定表其它配置:S3560(config)#intg0/1iparpinspectiontrust(两个交换机之间的ARP应答视为可信,避免重复检查.)考试300题S3560(config)#intf0/2iparpinspectionlimitrate10arp请求限速,防止arp泛洪攻击。实验测试的结果:ARP检测合法应答通过,非法应答丢弃;2.ARP超速接口,动作是shutdown;3.DAI会自动调用已有的DHCP监听绑定表或手工IP-MAC-接口绑定表进行ARP检测,也可调用已配置的ARP访问列表。其它PARP安全措施:PC杀毒,安装ARP防火墙。PC手工ARP绑定(在终端PC上进行)启动项arp.batarp-s192.168.1.100-0c-ce-12-12-11arp-s192.168.1.200-0c-01-12-12-12arp-s192.168.1.300-0c-01-12-12-13路由器ARP绑定r1(config)#arp172.16.11.1c007.1a30.f10darpa附:ARP表老化时间1.Windows2022/XP,ARP的老化时间默认为2分钟,如果一个ARP缓存表项在2分钟内用到,则再延长2分钟,直到最大生命周期10分钟。然后被移除,再通过一个新的ARP请求/回应来得新的对应关系。CISCO路由器的ARP老化时间默认为4小时,可以进行修改。r1#shintf0/0FastEther0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Half-duplex,10Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00r1(config)#intf0/0#arptimeout120r1#shintf0/0FastEther0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)ARPtype:ARPA,ARPTimeout00:02:00r1#sharpProtocolAddressAge(min)HardwareAddrTypeInterfaceInterARPAFastEther0/1Inter1ARPAFastEther0/0InterARPAFastEther0/0路由器ARP静态绑定。r1(config)#arp172.16.11.1c007.1a30.f10darpar1#sharpProtocolAddressAge(min)HardwareAddrTypeInterfaceInterARPAFastEther0/1InterARPAInterARPAFastEther0/0r1#sharp172.16.11.1detailARPentryfor172.16.11.1,linktypeIP.Static,lastupdated0minuteago.EncaptypeisARPA,hardwareaddressisc007.1a30.f10d,6byteslong.ARPsubblocks:StaticARPSubblockFloatingentry.Entryisplete,a

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论