Cisco交换机的安全特性一、二端口安全AAA服务认证三、DHCP欺骗四、IPSourceGuard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTPserver十、ACL功能十一、PVLAN一、端口安全:A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。B、配置顺序:1)启动端口安全程序,2)配置有效的MAC地址学习上线,3)配置静态有效MAC地址(动态学习不需要配置),4)配置违反安全规定的处理方法(方法有三种:shutdown直接关闭端口,需要后期由管理员手工恢复端口状态;protect过滤掉不符合安全配置的MAC地址;restrict过滤掉非安全地址后启动计时器,记录单位时间内非安全地址的连接次数),5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学习的地址则需要配置有效时间)。C、配置实例:interfacefa0/1进入交换机0/1接口descriptionaccessport描述Access端口switchportmodeaccess将交换机端口配置为Access端口switchportaccessvlan10将端口划分给vlan10switchportport-security启动端口安全switchportport-securitymaximum2配置该端口最多可以学习MAC地址的数量switchportport-securitymac-address1111.2222.3333switchportport-securitymac-address1111.2222.4444静态配置可以接入端口的MAC地址switchportport-securityviolationrestrict配置端口发现违反安全规定后的策略switchportport-securityagingtime60端口学习动态MAC地址的有效时间(单位:分钟)switchportport-securityagingtypeinactivity端口会将到期且不工作的MAC地址清空D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。命令如下:switchportport-securitymac-addressstickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在showrun中看到(记得保存配置)。E、校验命令:showport-security[interfaceinterface-id[address]具体端口明细信息showport-security显示端口安全信息showport-securityaddress显示安全地址及学习类型二、AAA认证1、AAA:A、Authentication身份认证:校验身份B、Authorization授权:赋予访问者不同的权限C、Accounting日志:记录用户访问操作2、AAA服务认证的三要素:AAA服务器、各种网络设备、客户端客户端:AAA服务中的被管理者各种网络设备:AAA服务器的前端代理者AAA服务器:部署用户、口令等注:CCIE-RS只涉及网络设备上的一小部分,不作为重点。3、802.1X端口认证协议(标准以太网技术)在以太网卡和以太交换机之间通过802.1X协议,实现网络接入控制。即是否允许客户端接入网络。三、DHCP欺骗1、DHCP过程是客户端接入网络后会发广播(discover)寻找本网段的DHCP服务器;服务器收到广播后,会向客户端进行回应(offer),回应信息中携带着地址段信息;客户端会在offer中挑选一个IP地址,并向服务器发起请求(responds);服务器会检查客户端选取的IP地址是否可用,同时向客户端确认消息(acknowledgment))DHCP欺骗主要与服务器给客户端的回应有关。2、DHCPSnooping在交换机上检查DHCP消息。具体的说它会检查两类消息:discover消息和offer消息。交换机对discover消息的控制方法是限速,对offer消息的控制是引导。在专业的攻击中,病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后,由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击,因此解决问题的方法也不同。3、DHCPSnooping的部署ipdhcpsnooping开启dhcpSnooping功能ipdhcpsnoopinginformationoption侦听dhcp过程中的扩展信息ipdhcpsnoopingvlanvlanid配置需要监听的VLANipdhcplimitrate50对DHCP包进行限速,50包/秒。ipdhcpsnoopingtrust配置可信任端口。注1:最后两条命令,是在接口模式下配置。注2:没有被配置成trust的接口,都是untrust接口。注3:DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接,而是中间通过交换机连接,此时交换机会在DHCP过程中附加一些交换的信息(option)。这些信息可...
