交换机攻击与防护课件

L o g oL o g o交换机攻击与防护网络安全防护网络安全防护 教师：尹伟教师：尹伟拼搏拼搏设备安全设备安全交换机的安全交换机的安全:PasswordVLANACLPort SecurityLogging拼搏拼搏设备安全设备安全交换机的特权用户密码交换机的特权用户密码:(config)#enable secret 密码密码拼搏拼搏设备安全设备安全主机主机A主机主机B主机主机C主机主机K主机主机F主机主机D主机主机E交换机交换机1交换机交换机2拼搏拼搏设备安全设备安全一一,VLAN是英文是英文Virtual Local Area Network的缩写，即虚拟局域网的缩写，即虚拟局域网VLAN:逻辑划分广播域逻辑划分广播域二二,VLAN的分类主要有以下几种：的分类主要有以下几种：基于端口的基于端口的VLAN 基于基于MAC地址的地址的VLAN 基于第基于第3层的层的VLAN 拼搏拼搏VLAN特性特性:分段分段 灵活性灵活性 安全性安全性第三层第三层第二层第二层第一层第一层销售部销售部人力资源部人力资源部工程部工程部一个一个VLAN=一个广播域一个广播域=逻辑网段逻辑网段(子网子网)设备安全设备安全拼搏拼搏设备安全设备安全三三,部署部署VLAN动机动机:1,正确动机正确动机:安全性安全性 灵活性灵活性 控制广播控制广播2,错误动机错误动机:VLAN可以减少对路由器的依赖可以减少对路由器的依赖拼搏拼搏设备安全设备安全四四.VLAN部署原则部署原则:按照行政机构部署按照行政机构部署VLAN VLAN与与IP子网一一对应子网一一对应Account172.16.10.0/24vlan10Account172.16.10.0/24vlan10Account172.16.40.0/24vlan40HR172.16.30.0/24vlan30marker172.16.20.0/24vlan20marker172.16.50.0/24vlan50拼搏拼搏设备安全设备安全五五,VLAN协议：协议：VTP（vlan trunking protocol）VLAN主干协议主干协议1,VTP功能：功能：发送发送/转发转发VTP通告通告2,VTP模式：服务器模式模式：服务器模式;客户端模式客户端模式;透明模式透明模式3,VTP域：把域：把VLAN客户端和客户端和VLAN服务器，放在同一域内，服务器，放在同一域内，VLAN客户端只在该域客户端只在该域 内查找内查找VLAN服务器服务器 配置：配置：sw(vlan)#vtp domain 域名域名拼搏拼搏设备安全设备安全4,VTP裁剪：裁剪：交换机在转发广播前，向相应链路上发送探测信息，探测链路上是否存在相应交换机在转发广播前，向相应链路上发送探测信息，探测链路上是否存在相应 VLAN的成员：的成员：1）成员存在：）成员存在：交换机向该链路上发送广播交换机向该链路上发送广播 2）成员不存在：）成员不存在：交换机不向该链路上发送广播（广播被裁剪）交换机不向该链路上发送广播（广播被裁剪）配置：配置：VTP裁剪功能只需配置在裁剪功能只需配置在VLAN服务器上服务器上 sw(vlan)#vtp prunning拼搏拼搏设备安全设备安全5,VTP验证：验证：配置：配置：sw(vlan)#vtp password 密码密码6,vtp版本：版本：(VTPv1不支持令牌环，不支持令牌环，VTPv2支持令牌环支持令牌环)配置：配置：sw(vlan)#vtp v2-mode拼搏拼搏设备安全设备安全交换机端口安全交换机端口安全1.MAC地址与端口绑定，当发现主机的地址与端口绑定，当发现主机的MAC地址与交换机上指定的地址与交换机上指定的MAC地址不同地址不同时时,交换机相应的端口将交换机相应的端口将down掉掉.当给端口指定当给端口指定MAC地址时地址时,端口模式必须为端口模式必须为access或者或者Trunk状态状态 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport mode access /指定端口模式指定端口模式 sw(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1/配置配置MAC地址地址 sw(config-if)#switchport port-security maximum 1/限制此端口允许通过的限制此端口允许通过的MAC地址数为地址数为1 sw(config-if)#switchport port-security violation shutdown/当发现与上述配置不符时，端口当发现与上述配置不符时，端口down掉掉 拼搏拼搏设备安全设备安全2.通过通过MAC地址来限制端口流量，此配置允许一地址来限制端口流量，此配置允许一TRUNK口最多通过口最多通过N个个MAC地址，地址，超过超过N时，来自新的主机的数据帧将被丢失时，来自新的主机的数据帧将被丢失 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport trunk encapsulation dot1q sw(config-if)#switchport mode trunk sw(config-if)#switchport port-security maximum 100/允许此端口通过的最大允许此端口通过的最大MAC地址数目为地址数目为100 sw(config-if)#switchport port-security violation protect/当当MAC地址数目超过地址数目超过100时时,交换机继续工作，但来自新的主机的数据帧将丢失交换机继续工作，但来自新的主机的数据帧将丢失 sw(config-if)#switchport port-security violation shutdown/当当MAC地址数目超过地址数目超过100时时,这个端口会这个端口会shutdown拼搏拼搏设备安全设备安全默认的端口安全配置：默认的端口安全配置：以下是端口安全在接口下的配置以下是端口安全在接口下的配置-特性：特性：port-sercurity 默认设置：关闭的。默认设置：关闭的。特性：最大安全特性：最大安全mac地址数目地址数目 默认设置：默认设置：1特性：违规模式特性：违规模式 默认配置：默认配置：shutdown，这端口在最大安全，这端口在最大安全mac地址数量达到的时地址数量达到的时候会候会shutdown。拼搏拼搏设备安全设备安全基于基于MAC地址的访问控制列表地址的访问控制列表Switch(config)#mac access-list extended MAC10定义一个定义一个MAC地址访问控制列表并且命名该列表名为地址访问控制列表并且命名该列表名为MAC10 Switch(config-ext-nacl)#permit host 0009.6bc4.d4bf any定义定义MAC地址为地址为0009.6bc4.d4bf的主机可以访问任意主机的主机可以访问任意主机 Switch(config-ext-nacl)#permit any host 0009.6bc4.d4bf定义所有主机可以访问定义所有主机可以访问MAC地址为地址为0009.6bc4.d4bf的主机的主机 Switch(config-if)#interface Fa0/20#进入配置具体端口的模式进入配置具体端口的模式 Switch(config-if)#mac access-group MAC10 in在该端口上应用名为在该端口上应用名为MAC10的访问列表的访问列表Switch(config)#no mac access-list extended MAC10清除名为清除名为MAC10的访问列表的访问列表