返回顶部

当前位置: 主页 > 新闻资讯 > 热点聚焦 >

交换机安全配置 - CISCO交换机安全配置

2015-05-04

        分享 - 交换网络的攻击类型,交换机安全配置步骤,多个配置实例:

       

  一、交换网络的攻击类型:

  1)MAC层的攻击

  2)VLAN的攻击

  3)欺骗攻击

  4)攻击交换设备

  二、Port-Security--解决MAC层攻击

  interface f0/1

  switchport mode aceess

  switchport port-security

  switchport port-security max 2

  switchport port-security violation {shutdown | portect | restrict}

  switchport port-security mac-address aaaa.aaaa.aaaa

  违规动作:portect | restrict

  假设PC1(MAC1)--->正常使用

  PC2(MAC2)--->正常使用

  PC3(MAC3)--->无法使用

  shutdown发现违规时,使用的设备都无法通讯

  portect 发现违规时,不发送SNMP trap给网管

  restrict 发现按违规时,发送SNMP trap给网管

  SNMP(简单的网络管理协议)工作原理

  NMS(网络管理服务器)-------SNMP------网络设备(路由器、交换机等)

  ----->get---->定期轮询,周期不可太长也不能太短。

  <-----trap<----

  ----->set----->对网络设备进行配置

  补充:mac地址绑定

  mac address-table static bbbb.bbbb.bbbb vlan 10 interface f0/2

  err-disable状态如何恢复?

  1)配置err-disable recovery:一定时间后自动恢复(不推荐使用)

  2)手工恢复:

  interface f0/1

  shutdown

  no shutdown

  三、AAA验证

  功能:验证用户身份、授权、记账

  AAA:RADIUS Server ---标准

  TACACS+ Server--思科私有

  方式:本地AAA认证--在路由器或交换上进行AAA认证服务

  远程AAA认证--在网络中独立搭建AAA Server

  配置例子;

  FZR2(config)#aaa new-model //开启AAA认证服务

  FZR2(config)#aaa authentication login login_vty local line //创建AAA认证列表,且指定本地认证和备用line认证。

  FZR2(config)#username user01 password 0 pass01 //创建用户名、密码数据库

  FZR2(config)#line vty 0 4

  FZR2(config-line)#password cisco

  FZR2(config-line)#login authentication login_vty //指定login采用的验证列表

  FZR2(config)#line con 0

  FZR2(config-line)#login authentication login_vty

  四、交换ACL:

  1)Port ACL:配置在二层端口上,控制进入二层接口的流量;

  **标准的IP ACL(源IP)

  **扩展的IP ACL(源IP、目标IP、协议、端口)

  **MAC扩展ACL(源/目MAC地址,协议)

  配置例子1:

  mac access-list extended limit

  permit host aaaa.aaaa.aaaa host 网关mac

  deny host aaaa.aaaa.aaaa any

  interface f0/20

  mac access-group limit in

  配置例子2:

  access-list 1 deny host 10.1.1.1

  access-list 1 permit any

  interface f0/5

  switchport

  ip access-group 1 in

  2)Router ACL:配置在三层端口,控制不同的VLAN间路由的流量,可以对进、出流量控制。

  3)VLAN ACL(VACL):即 VLAN maps,控制所有的流量(包括桥接、路由的流量);

  VLAN map不需要定义方向,它过滤所有的出、入流量

  配置例子:

  vlan access-map test 10

  action drop

  match ip address 1

  vlan access-map test 20

  action forward

  !

  vlan filter test vlan-list 10

  access-list 1 permit 10.1.1.1一、交换网络的攻击类型:

  1)MAC层的攻击

  2)VLAN的攻击

  3)欺骗攻击

  4)攻击交换设备

  二、Port-Security--解决MAC层攻击

  interface f0/1

  switchport mode aceess

  switchport port-security

  switchport port-security max 2

  switchport port-security violation {shutdown | portect | restrict}

  switchport port-security mac-address aaaa.aaaa.aaaa

  违规动作:portect | restrict

  假设PC1(MAC1)--->正常使用

  PC2(MAC2)--->正常使用

  PC3(MAC3)--->无法使用

  shutdown发现违规时,使用的设备都无法通讯

  portect 发现违规时,不发送SNMP trap给网管

  restrict 发现按违规时,发送SNMP trap给网管

  SNMP(简单的网络管理协议)工作原理

  NMS(网络管理服务器)-------SNMP------网络设备(路由器、交换机等)

  ----->get---->定期轮询,周期不可太长也不能太短。

  <-----trap<----

  ----->set----->对网络设备进行配置

  补充:mac地址绑定

  mac address-table static bbbb.bbbb.bbbb vlan 10 interface f0/2

  err-disable状态如何恢复?

  1)配置err-disable recovery:一定时间后自动恢复(不推荐使用)

  2)手工恢复:

  interface f0/1

  shutdown

  no shutdown

  三、AAA验证

  功能:验证用户身份、授权、记账

  AAA:RADIUS Server ---标准

  TACACS+ Server--思科私有

  方式:本地AAA认证--在路由器或交换上进行AAA认证服务

  远程AAA认证--在网络中独立搭建AAA Server

  配置例子;

  FZR2(config)#aaa new-model //开启AAA认证服务

  FZR2(config)#aaa authentication login login_vty local line //创建AAA认证列表,且指定本地认证和备用line认证。

  FZR2(config)#username user01 password 0 pass01 //创建用户名、密码数据库

  FZR2(config)#line vty 0 4

  FZR2(config-line)#password cisco

  FZR2(config-line)#login authentication login_vty //指定login采用的验证列表

  FZR2(config)#line con 0

  FZR2(config-line)#login authentication login_vty

  四、交换ACL:

  1)Port ACL:配置在二层端口上,控制进入二层接口的流量;

  **标准的IP ACL(源IP)

  **扩展的IP ACL(源IP、目标IP、协议、端口)

  **MAC扩展ACL(源/目MAC地址,协议)

  配置例子1:

  mac access-list extended limit

  permit host aaaa.aaaa.aaaa host 网关mac

  deny host aaaa.aaaa.aaaa any

  interface f0/20

  mac access-group limit in

  配置例子2:

  access-list 1 deny host 10.1.1.1

  access-list 1 permit any

  interface f0/5

  switchport

  ip access-group 1 in

  2)Router ACL:配置在三层端口,控制不同的VLAN间路由的流量,可以对进、出流量控制。

  3)VLAN ACL(VACL):即 VLAN maps,控制所有的流量(包括桥接、路由的流量);

  VLAN map不需要定义方向,它过滤所有的出、入流量

  配置例子:

  vlan access-map test 10

  action drop

  match ip address 1

  vlan access-map test 20

  action forward

  !

  vlan filter test vlan-list 10

  access-list 1 permit 10.1.1.1

        [交换机安全设置][cisco交换机安全配置][华为交换机安全配置]文章来源:互联网

©  北京京兆亿达科技有限公司 版权所有 京ICP备14043786号-1

服务专线:400-0809-059  

地址:北京市海淀区上地信息路7号-1层D21室

李亚洲 Tel:137-1889-5661

李   白 Tel:186-1832-0142

陈振周 Tel:158-1142-4623

在线客服