交换机安全特性

《交换机安全特性》由会员分享，可在线阅读，更多相关《交换机安全特性（17页珍藏版）》请在装配图网上搜索。

1、 WORD整理版 Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTP server十、ACL功能十一、PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。B、配置顺序：1）启动端口安全程序，2）配置有效的MAC地址学习上线，3）配置静态有效MAC地址（动态学习不需要配置），4）配置违反安全规定的处理方法（方法有三种：shut down直接关闭端口，需要后期由管理员手工恢复端口

2、状态；protect 过滤掉不符合安全配置的MAC地址；restrict 过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数），5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。C、配置实例：interface fa 0/1进入交换机0/1接口description access port 描述Access端口switchport mode access 将交换机端口配置为Access端口switchport access vlan 10将端口划分给vlan10switchport port-security 启动端口安全switchpor

3、t port-security maximum 2配置该端口最多可以学习MAC地址的数量switchport port-security mac-address 1111.2222.3333switchport port-security mac-address 1111.2222.4444静态配置可以接入端口的MAC地址switchport port-security violation restrict配置端口发现违反安全规定后的策略switchport port-security aging time 60端口学习动态MAC地址的有效时间（单位：分钟）switchport port-se

4、curity aging type inactivity端口会将到期且不工作的MAC地址清空D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。命令如下：switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在show run中看到（记得保存配置）。E、校验命令：show port-security interface interface-id address具体端口明细信息show port-security 显示端口安全信息show

5、port-security address 显示安全地址及学习类型二、AAA认证1、AAA：A、Authentication 身份认证：校验身份 B、Authorization 授权：赋予访问者不同的权限C、Accounting 日志：记录用户访问操作2、AAA服务认证的三要素：AAA服务器、各种网络设备、客户端客户端：AAA服务中的被管理者各种网络设备：AAA服务器的前端代理者AAA服务器：部署用户、口令等注：CC IE-RS只涉及网络设备上的一小局部,不作为重点。3、802.1X端口认证协议（标准以太网技术）在以太网卡和以太交换机之间通过802.1X协议，实现网络接入控制。即是否允许客户端

6、接入网络。三、DHCP欺骗1、DHCP过程是客户端接入网络后会发播送（discover）寻找本网段的DHCP服务器；服务器收到播送后，会向客户端进展回应（offer），回应信息中携带着地址段信息；客户端会在offer中挑选一个IP地址，并向服务器发起请求（responds）；服务器会检查客户端选取的IP地址是否可用，同时向客户端确认消息（acknowledgment）。DHCP欺骗主要与服务器给客户端的回应有关。2、DHCP Snooping 在交换机上检查DHCP消息。具体的说它会检查两类消息：discover消息和offer消息。交换机对discover消息的控制方法是限速，对offer消

7、息的控制是引导。在专业的攻击中，病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后，由另一台病毒电脑对这个网段进展DHCP欺骗。由于是两台病毒电脑配合攻击，因此解决问题的方法也不同。3、DHCP Snooping的部署ip dhcp snooping开启dhcp Snooping功能ip dhcp snooping information option侦听dhcp过程中的扩展信息ip dhcp snooping vlan vlan id配置需要监听的VLANip dhcp limit rate 50对DHCP包进展限速，50包/秒。ip dhcp s

8、nooping trust配置可信任端口。注1：最后两条命令，是在接口模式下配置。注2：没有被配置成trust的接口，都是untrust接口。注3：DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接，而是中间通过交换机连接，此时交换时机在DHCP过程中附加一些交换的信息（option）。这些信息可以被DHCP Snooping监听。即：没有交换机，就没有（option）。4、DHCP Snooping的校验show ip dhcp snooping5、DHCP Snooping建设“绑定数据库”当DHCP Snooping被启用后，交换时机对untrust接口建设数

9、据库。数据库最大容量8192条信息。数据库的内容包括：每个客户端在申请DHCP时的IP地址、MAC地址、端口号、VLAN ID和租用时间。6、远程储存命令：CommandPurposeip dhcp snooping database flashnumber:/filename | ftp:/user:passwordhost/filename | http:/username:passwordhostname | host-ip/directory/image-name.tar | rep:/userhost/filename | tftp:/host/filename远程存储DHCP Sn

10、ooping绑定数据库的配置命令7、校验命令：CommandPurposeshow ip dhcp snooping 显示交换机中DHCP Snooping的配置show ip dhcp snooping binding显示DHCP Snooping动态建设的DHCP的信息show ip dhcp snooping database显示DHCP Snooping绑定数据库的静态信息show ip source binding显示动态或者静态的绑定信息四、IP Source Guard 交换机能够检查来自客户端的源IP地址，防止虚假的IP地址攻击。在实际的网络攻击中，在IP层面的攻击行为几乎都包

11、括虚假的IP攻击。最常用的方法是借鉴DHCP Snooping建设的绑定表。当启用Source Guard特性后，交换时机自动生成一条ACL并下发到端口中，比拟连接端口的主机IP是否与绑定表中的条目一致，如果不一致，则中断连接。注：IP Source Guard配置前必须先配置DHCP Snoopingl 配置命令（端口模式）：ip verify source 只检查源IP地址ip verify source port-security 同时检查源IP地址和源MAC地址注1：如果配置source和port-security交换机必须支持option82功能。即当客户端通过交换机连接DHCP服务

12、器时，可以在DHCP过程中收到携带交换机信息的数据包。注2：port-security功能启用后，交换机不检查DHCP消息的MAC地址，直到终端设备获得IP地址之后，交换机才会检查源MAC地址。l 静态绑定和校验命令ip source binding mac-address vlan vlan-id ip address interface interface-idshow ip verify source interface interface-idshow ip source binding ip-address mac-address dhcp snooping | static int

13、erface interface-id vlan vlan-id五、ARPl 消息封装 以太帧 ARP消息6字节 以太网目的地址6字节 以太网源地址2字节 帧类型2字节 硬件类型2字节 协议类型1字节 硬件地址长度1字节 协议地址长度2字节 op6字节 发送端以太网地址4字节 发送端ip地址6字节 目的以太网地址4字节 目的ip地址对于一个ARP请求来说，除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后，它使用自己的MAC和IP分别替换两个发送端的地址，将发送端的两个地址填写到目的以太网地址和目的IP地址字段，并把操作字段设置为“2”，最后发送回去。所

14、谓的ARP欺骗，就是在最后4组字段做文章。欺骗都发生在应答消息中。六、DAI的介绍：A：功能 DAI会检查应答消息中的发送IP和发送MAC是否在DHCP Snooping建设的数据库中存在，如果存在即为真，反之为假； DAI会过滤“免费ARP消息”（没有经过ARP请求就自动收到的ARP应答消息）； DAI可以阻止ARP病毒或者ARP攻击； DAI还可以对ARP请求消息进展限速B：规划 在接入层交换机上进展配置，通常将级联端口配置为trusted接口，将连接终端的接口untrunsted接口。DAI只对untrunsted端口生效。C：ARP ACls配置命令：arp access-list a

15、cl-name配置ACL的名称permit ip host sender-ip mac host sender-mac log手工填写IP地址和对应的MAC地址Exit退出ACL配置ip arp inspection filter arp-acl-name vlan vlan-range static调用ACLs配置注：ARP Acl是是检查ARP消息，不是绑定主机的IP和MAC例：Arp access-list host2 配置arp ACL，名称host2Permit ip host 1.1.1.1 mac host 1.1.1 主机1.1.1.1的mac地址1.1.1Exit 退出ip

16、arp inspection filter host2 vlan 1 在vlan 1中调用host2interface ethe0/0/1 进入ethe0/0/1口no ip arp inspection trust 修改端口为untrust端口说明：以上配置完成后 ，交换机ethe0/0/1口应答的ARP消息中，发送端口IP和发送端口MAC地址，必须与host2中配置一样。如果ARP应答消息中的字段与ACL配置中的任何一项不符，则直接过滤。D：校验命令show arp access-list acl-nameshow ip arp inspection vlan vlan-rangeshow

17、 ip arp inspection interfaceE：以太帧的ARP检查命令ip arp inspection validate src-macdst-macip 可以检查以太帧的内容， “以太网源地址”要和“发送端以太网地址”一样，“以太网目的地址”要和“目的以太网地址一样”配置实例：CommandPurposeip dhcp snooping 开启DHCP Snooping功能ip dhcp snooping vlan 10,20监听VLAN10与VLAN20ip arp inspection vlan 10,20检查VLAN10与VLAN20的arp信息interface fast

18、ethernet 0/1进入F0/1接口description Access Port 描述接口：Access Portswitchport mode access 配置接口属性为access接口switchport access vlan 10将接口隶属于VLAN10switchport port-security maximum 2本接口最多可以学习2个MAC地址switchport port-security violation restrict违反本接口的安全规定，则过滤掉非安全地址并启动计时器，统计单位时间内，非安全地址的连接次数switchport port-security 启动

19、端口安全特性ip dhcp limit rate 50对本端口实施DHCP限速：50包/秒ip verify source port-security 启动端口源IP检查功能，既查源IP又查源MACinterface fastethernet 0/24进入F0/24接口description Uplink 描述接口：Uplinkswitchport mode trunk 配置接口属性为trunkswitchport trunk allowed vlan 10,20允许该trunk接口通过vlan10和vlan20ip dhcp snooping trust 设置接口为DHCP Snooping

20、信任端口ip arp inspection trust设置接口为arp检测信任接口七、SSH认证telnet：明文传递，易被抓包ssh：使用加密算法，使用强身份认证cisco的产品都可以配置为ssh server。同时都具有客户端功能。配置例：hostname 123 定义主机名username xyz password abc123 设置管理员账户及密码ip domain-name 配置域名crypto key generate rsa 产生密钥算法ip ssh version 2 ssh协议的版本号line vty 0 15 配置vty线路login local 登录时使用本地的数据库tr

21、ansport input ssh 允许ssh连接八、VTY线路出入站的ACL命令：access-list 100 permit ip 10.0.0.0 0.0.0.255 any 允许源地址段为10.0.0.0/24 目的地址段为anyline vty 0 15access-class 100 inin：入站连接的源IP，out：以本机为源出站连接即：in是谁能连接我，out是我能连接谁九、HTTP server例如：hostname 123 定义主机名access-list 100 permit ip 10.1.9.0 0.0.0.255 any定义列表100，只允许源地址为10.1.9.

22、0/24网段通过，目的地址anyusername xyz password abc123 设置管理员账户及密码ip domain-name 配置域名crypto key generate rsa 产生密钥算法no ip http server 关闭http server服务ip http secure-server 开启http secure-server功能http access-class 100 in 进站方向调用列表100http authentication local 针对本地的http访问使用本地的用户名登录十、ACL功能交换机支持3种ACL。即：基于端口的acl，基于vlan的

23、acl和在三层接口上配置出站或入站的acl（三层交换机支持）。例如一：需求： drop all IGMP packets 丢弃所有的IGMP包 forward all tcp packets 转发所有的TCP包 drop all other ip packets 丢弃所有其他的（非IGMP和非TCP）IP包 forward all non-ip packets 转发所有的非IP包（不使用IP协议通讯的包，例如：以太帧等）命令：定义列表：ip access-list extended igmp-match 定义列表igmp-matchpermit igmp any any 允许igmp协议的源、

24、目的地址通过ip access-list extended tcp-match 定义列表tcp-matchpermit tcp any any 允许所有tcp协议的源、目的地址通过exit 退出调用列表vlan access-map drop-ip-default 10 创立基于vlan的控制列表：drop-ip-default是列表名称，10：序号match ip address igmp-match 定义筛选范围：调用列表igmp-matchaction drop 选择操作：将满足match条件的数据丢弃（drop）exit退出vlan access-map drop-ip-default

25、 20drop-ip-default列表 第20句match ip address tcp-match 定义筛选范围：调用列表tcp-matchaction forward 选择操作：将满足match条件的数据包转发（forward）注：在access-map中如果配置了有关IP协议的策略，无论是drop还是forward，列表在最后默认deny有关IP协议的其他流量。因此需求三得到满足。同时，由于上述列表中没有涉及的非IP流量，因此对非IP流量不做任何处理，直接转发。需求四得到满足。例如二：需求： forward all tcp packets 允许转发所有tcp的流量 forward MA

26、C packets from hosts 0000.0c00.0111and 0000.0c00.0211转发两个源MAC地址的流量 drop all other ip packets 丢弃其他的IP流量 drop all other mac packets 丢弃其他的MAC流量命令：ip access-list extended tcp-match 定义列表tcp-matchpermit tcp any any 允许tcp协议的源、目的地址通过mac access-list extended good-hosts 定义列表good-hostspermit host 0000.0c00.011

27、1 any允许源mac地址为0000.0c00.0111的流量通过permit host 0000.0c00.0211 any允许源mac地址为0000.0c00.0211的流量通过exit 退出调用列表vlan access-map drop-all-default 10创立基于vlan的控制列表：drop-ip-default是列表名称，10：序号match ip address tcp-match 定义筛选范围：调用列表tcp-matchaction forward 选择操作：将满足match条件的数据包转发（forward）exit 退出vlan access-map drop-all

28、-default 20drop-all-default列表 第20句match mac address good-hosts 定义筛选范围：调用列表good-hostsaction forward选择操作：将满足match条件的数据包转发（forward）exit注：需求三和需求四满足的原因同 “例如一”。由于在列表中分别配置了IP和以太网的策略，因此acl会在最后deny其他的相关流量。VLAN Map的调用命令：全局模式配置vlan filter mapname vlan-list list十一、PVLAN在普通VLAN下面设置二层VLAN（private vlan）。使普通VLAN下面呈

29、现出不同的VLAN控制。1、PVLAN的六个概念（三种类型VLAN和三种类型端口）A、三种类型VLANprimary vlan 根本vlancommunity vlan 团体vlanisolated vlan 隔离vlan注：其中community vlan和isolated vlan都属于secondary vlan。它们分别可以和primary vlan通讯，但是彼此不能通讯B、三种类型端口：Isolated 隔离端口 属于isolated vlanPromiscuous 混杂端口 属于primary vlanCommunity 团体端口 属于community vlan2、各个类型端口的

30、通讯A、Isolated隔离端口：每一个隔离端口只能与混杂端口通讯，隔离端口之前不能通讯。B、Promiscuous混杂端口：可以和PVLAN中的任意端口通讯。C、Community 团体端口：可以和混杂端口以及同一个community内的其他端口通讯。3、配置命令及考前须知例如：vtp transparent 配置PVLAN不能使用VTPvlan 201 建设VLAN201private-vlan isolated 将VLAN201配置为隔离VLANvlan 202 建设VLAN202private-vlan community 将VLAN202配置为团体VLANvlan 100 建设VLA

31、N100private-vlan primary 将VLAN100配置为混杂VLANprivate-vlan association 201,202 将vlan201与202配置在vlan100下面interface fa0/24 进入0/24端口switchport mode private-vlan promiscuous 配置为混杂端口switchport private-vlan mapping 100 201,202 配置该端口所属vlan注1：mapping 后面先写主vlan ID，再写辅助vlan ID。interface range fa0/1-2 进入fa0/1和fa0/2

32、口switchport mode private-vlan host 将端口配置为辅助端口switchport private-vlan host-association 100 202 配置端口可通行vlan注2：host-association 先写主vlan ID后写辅助vlan ID。interface range fa0/3-4 进入fa0/3和fa0/4口switchport mode private-vlan host 将端口配置为辅助端口switchport private-vlan host-association 100 201 配置端口可通行vlan4、校验show vlan private-vlan 范文范例 参考指导