交换机接入安全
交换机接入安全
端口安全P320
MAC表
自动学习: 动态( 默认) 保持300秒.
手工设置: 静态( 安全)
默认,MAC表动态学习,允许任何用户接入。
MAC表
MAC A VLAN 1 F0/1
MAC B VLAN 1 F0/2
MAC C VLAN 1 F0/3
MAC D VLAN 1 F0/4
当未授权用户E 接入端口F0/4,则交换机会自动刷新MAC表,并允许E接入,则E 便可以访问网络资源。
可以通过多种方式来限制E对网络的访问,其中一种便是端口安全。
实验:端口安全
1. 在接入层交换机S29上,对于端口F0/1,
2.,3, 4只允许主机A B C D接入,违背关闭端口.
S29(config )# int f0/1
# shutdown 目的:清理MAC表
# sw mode acc 默认dynamaic,不能启用端口安全
# sw port-security启用端口安全
# sw port-security maximun 1关联一个MAC(默认)
# sw port-security mac-address000c.1111.111a静态绑定
或# sw port-security mac-address sticky 动态学习MAC并绑定
# sw port-security violation shutdown 违背关闭(默认)
# no shutdown
……
S29(config )# int f0/4
# shutdown
# sw mode acc
# sw port-security启用端口安全
# sw port-security maximun 1关联一个MAC(默认)
# sw port-security mac-address000c.1111.111d静态绑定
# sw port-security violation shutdown 违背关闭
2. 在交换机S3560上,在F0/1端口只允许主机A B C 接入,其它禁止,违背受限.
S3560(config )# int f0/1
# shutdown
# sw mode acc
# sw port-security
# sw port-security maximun 3关联3个MAC(默认1个)
# sw port-security mac-address000c.1111.111a静态绑定
# sw port-security mac-address000c.1111.111b
# sw port-security mac-address000c.1111.111c
# sw port-security violation restric受限,合法通过,非法丢弃并
产生日志消息
Protect 保护,合法通过,非法丢弃,
但不产生日志消息
3. 错误禁用的恢复
(1)手工恢复
先shutdown, 后no shutdown
(2) 自动恢复
S(config)# errdisable recovery cause psecure-violation 重新启用的原因
# errdisable recovery interval 30恢复时间间隔
注:1.启用端口安全时,只能工作在access或trunk模式.(默认dynamaic auto) 2.配置时,应先将端口关闭, 否则配置不起作用。
sw#sh port-security interface f0/3
sw#sh errdisable detect
ErrDisable Reason Detection Mode
----------------- --------- ----
arp-inspection Enabled port
bpduguard Enabled port
channel-misconfig Enabled port
dhcp-rate-limit Enabled port
psecure-violation Enabled port
sw#sh errdisable recovery 查看哪些行为的禁用可以自动恢复
防范欺骗攻击
DHCP监听 P326
DHCP IP地址 172.16.1.1
子网掩码 255.255.255.0
网关 172.16.1.254
DNS…….
分析DHCP攻击:
DHCP基于广播,同一网络中的所有主机都可以收到,恶意用户D发送伪造的DHCP 应答,造成两种后果。
1.非法的IP地址192.1.1.0导致用户不能联网
2. 合法的IP地址,但将网关设为自己的IP : 1.4中间人攻击导致用户将访问外网的流量发送到1.4 ,然后1.4将重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。
解决办法:DHCP监听
1. 防止伪造的DHCP应答。
可信端口应答通过
不可信端口应答被丢弃
注:启用DHCP监听后,所有端口被视为不可信,应将连接DHCP服务器的端口设为可信的。
2. 可以限制用户发送DHCP请求的速率,防止DHCP请求泛洪攻击。
3. 可以建立一个DHCP监听绑定表,用于防止IP欺骗和ARP欺骗。
MAC IP 租用期限对应端口
A 192.168.1.1 8 F0/1
B 192.168.1.2 8 F0/2
C 192.168.1.3 8 F0/3
D 192.168.1.4 8 F0/4
分析教材CCNP 302 页
SW(config)# ip dhcp snooping 启用DHCP监听功能
# ip dhcp snooping vlan 1-3 指定在哪些VLAN下监听
# int f0/20
# ip dhcp snooping trust 设为可信端口
# int range f0/1 – 19
# ip dhcp snooping limit rate 3 限制用户的DHCP请求速率, 超速shut 实验:
DHCP监听
sw # sh ip dhcp snooping
# sh ip dhcp snooping binding
# clear ip dhcp snooping binding *
# clear ip dhcp binding *
考试76, 98题
说明:SW2950有Bug,DHCP监听SW2950支持不好,连接用户的接口如果不设trust, 用户的DHCP请求包也会被丢弃,而且也获取不到DHCP监听绑定表。
源IP地址防护(防止IP欺骗)P328
恶意用户攻击服务器、交换机、路由器等设备,为防止被日志记录,追查到自己
伪造IP地址:其它用户栽赃别人
不存在的用户无法追查
配置:
# int range f0/1 - 4
# ip verify source 在f0/1-4上启用IP源防护
防范:启用IP源防护,收到包,检查IP和MAC与端口的对应关系是否合法。可以借助于DHCP监听绑定表,也可以手工设置绑定表。
1. 借助DHCP监听绑定表。CCNP 教材304
例:用户D(192.168.1.4) 假冒用户A(192.168.1.1)的IP攻击服务器。从端口F0/4发给交换机:
MAC网关MAC D192.168.1.1 192.168.10.1攻击报文F0/4
192.168.1.4 F0/4 (监听表)IP-端口的对应关系与DHC P监听绑定表内容不同。伪造,丢弃。
2. 手工绑定
S3560 (config)# ip source binding000c.1212.121a vlan 1 192.168.1.1 int f0/1
MAC VLAN IP 接口
ip source binding000c.1212.121b vlan 1 192.168.1.2 int f0/2
ip source binding000c.1212.121c vlan 1 192.168.1.3 int f0/3
ip source binding000c.1212.121d vlan 1 192.168.1.4 int f0/4
注:(1)采用DHCP, 必须启用ip dhcp snooping;静态绑定则不用启该功能。
(2)如果同时希望防止MAC欺骗,则必须启用端口安全sw port-security(启用后默认特性:允许1 个MAC,违规shutdown;当改为允许多个MAC时,
违规自动变为restric)考试355题
# int range f0/5
# sw port-security
# ip verify source [ port-security ]
查看:
sw3550#sh ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ---------
Fa0/2 ip inactive-no-snooping-vlan
Fa0/3 ip inactive-no-snooping-vlan
Fa0/4 ip inactive-no-snooping-vlan
Fa0/5 ip-mac inactive-no-snooping-vlan
sw3550#sh ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ----- --------
00:26:9E:81:89:10 192.168.1.13 infinite static 1 FastEthernet0/5 00:E0:4C:82:1A:EE 192.168.1.12 423621 dhcp-snooping 1 FastEthernet0/1 00:E0:4C:82:1A:EE 192.168.2.21 411916 dhcp-snooping 2 FastEthernet0/1 Total number of bindings: 3
# clear ip dhcp snooping binding *
# clear ip dhcp binding *
动态ARP 检测(DAI. )P329
分析:ARP欺骗。
用户上网,先通过ARP找网关的MAC.
1. A广播查询"1.254你的MAC是多少,请回答"
2. 所有主机都能收到,但正常只能网关回答:" 1.254的MAC是MAC G"
主机D,ARP病毒抢先回答: 1.254 MAC D
3. 主机A在二层将用MAC D封装.
最终,主机A访问外网的所有流量都将被转发到D. 中间人攻击
D可以对重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。
注:与DHCP欺骗的区别
DHCP欺骗假冒网关IP
ARP欺骗假冒网关MAC
解决办法:动态ARP检查.(在交换机上进行)
S3560 (config)# ip arp inspection vlan 1-3 在VLAN1-3下启用ARP检测
启用后,交换机将会拦截VLNA1-3接口收到的ARP应答,进行合法性检查。在判断是否存在欺骗行为时,可以采用以下2种方式:
1. 采用DHCP监听绑定表,或手工设置的IP-MAC-接口绑定关系表。
MAC IP 租用期限对应端口
A 192.168.1.1 8 F0/1
B 192.168.1.2 8 F0/2
C 192.168.1.3 8 F0/3
D 192.168.1.4 8 F0/4
MAC A MAC D 1.254MAC D F0/4收到
二层ARP应答
2.如果没有上述表项,可以手工配置ARP访问列表.
S3560 (config)# arp access-list ARP-01 手工建立ARP绑定表
# permit ip host 172.16.1.1 mac host 000c.0101.0101
# permit ip host 172.16.1.2 mac host 000c.0101.0102
S3560 (config) # ip arp inspection filter ARP-01vlan 1 调用ARP绑定表
其它配置:
S3560 (config)# int g0/1
# ip arp inspection trust ( 两个交换机之间的ARP应答视为可信, 避免重复检查.) 考试300题
S3560 (config)# int f0/2
# ip arp inspection limit rate 10 arp请求限速,防止arp泛洪攻击。
实验测试的结果:
1. ARP检测合法应答通过,非法应答丢弃;
2.ARP超速接口,动作是shutdown;
3.DAI会自动调用已有的DHCP监听绑定表或手工IP-MAC-接口绑定表进行ARP
检测,也可调用已配置的ARP访问列表。
其它ARP安全措施:
1. PC杀毒,安装ARP 防火墙。
2. PC手工ARP绑定(在终端PC上进行)
启动项arp.bat
arp -s 192.168.1.1 00-0c-ce-12-12-11
arp -s 192.168.1.2 00-0c-01-12-12-12
arp -s 192.168.1.3 00-0c-01-12-12-13
3. 路由器ARP绑定
r1(config)#arp 172.16.11.1 c007.1a30.f10d arpa
附:ARP表老化时间
1. Windows 2003/XP,ARP的老化时间默认为2分钟,如果一个ARP缓存表项在2分钟内用到,则再延长2分钟,直到最大生命周期10分钟。然后被移除,再通过一个新的ARP 请求/回应来得新的对应关系。
2. CISCO路由器的ARP老化时间默认为4小时,可以进行修改。
r1# sh int f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.1e4c.0000 (bia c000.1e4c.0000)
Internet address is 172.16.11.2/24
Half-duplex, 10Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
r1(config)#int f0/0
#arp timeout 120
r1# sh int f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.1e4c.0000 (bia c000.1e4c.0000)
Internet address is 172.16.11.2/24
ARP type: ARPA, ARP Timeout 00:02:00
r1#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 123.1.1.1 - c000.1e4c.0001 ARPA FastEthernet0/1
Internet 172.16.11.1 1 c007.1a30.f10d ARPA FastEthernet0/0
Internet 172.16.11.2 - c000.1e4c.0000 ARPA FastEthernet0/0
3. 路由器ARP静态绑定。
r1(config)#arp 172.16.11.1 c007.1a30.f10d arpa
r1#sh arp
Protocol Address Age (min) Hardware Addr Type Interface Internet 123.1.1.1 - c000.1e4c.0001 ARPA FastEthernet0/1 Internet 172.16.11.1 - c007.1a30.f10d ARPA
Internet 172.16.11.2 - c000.1e4c.0000 ARPA FastEthernet0/0
r1#sh arp 172.16.11.1 detail
ARP entry for 172.16.11.1, link type IP.
Static, last updated 0 minute ago.
Encap type is ARPA, hardware address is c007.1a30.f10d, 6 bytes long.
ARP subblocks:
* Static ARP Subblock
Floating entry.
Entry is complete, attached to FastEthernet0/0.
* IP ARP Adjacency
Adjacency (for 172.16.11.1 on FastEthernet0/0) was installed.
保护三张表:
1. 路由表确保路由表正确、全面(静态路由、路由协议正确配置)。
2. ARP表推荐静态绑定。防止ARP表被欺骗,同时可以减少广播流量。
3. MAC表建议静态绑定。防止MAC表被攻击,同时可以防止非法用户接入。
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
交换机安全技术操作规程正式样本
文件编号:TP-AR-L1307 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 交换机安全技术操作规 程正式样本
交换机安全技术操作规程正式样本 使用注意:该操作规程资料可用在组织/机构/单位管理上,形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范,条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤
气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立 管直立砖煤气道立火道底部与空气混合燃烧。 空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管 n型管吸气管气液分离器初冷器鼓风 机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
三层交换机配置实例
三层交换综合实验 一般来讲,设计方案中主要包括以下内容: ◆????? 用户需求 ◆????? 需求分析 ◆????? 使用什么技术来实现用户需求 ◆????? 设计原则 ◆????? 拓扑图 ◆????? 设备清单 一、模拟设计方案 【用户需求】 1.应用背景描述 某公司新建办公大楼,布线工程已经与大楼内装修同步完成。现公司需要建设大楼内部的办公网络系统。大楼的设备间位于大楼一层,可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。在每层办公楼中有楼层配线间,用来放置接入层交换机与配线架。目前公司工程部25人、销售部25人、发展部25人、人事部10人、财务部加经理共15人。 2.用户需求 为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务,目前的信息点数大约100个,今后有扩充到200个的可能。 公司的很多业务依托于网络,要求网络的性能满足高效的办公要求。同时对网络的可靠性要求也很高,要求在办公时间内,网络不能宕掉。因此,在网络设计过程中,要充分考虑到网络设备的可靠性。同时,无论是网络设备还是网络线路,都应该考虑冗余备份。不能因为单点故障,而导致整个网络的瘫痪,影响公司业务的正常进行。 公司需要通过专线连接外部网络。 【需求分析】 为了实现网络的高速、高性能、高可靠性还有冗余备份功能,主要用于双核心拓扑结构的网络中。
本实验采用双核心拓扑结构,将三层交换技术和VTP、STP、EthernetChannel 综合运用。 【设计方案】 1、在交换机上配置VLAN,控制广播流量 2、配置2台三层交换机之间的EthernetChannel,实现三层交换机之间的高速互通 3、配置VTP,实现单一平台管理VLAN, 同时启用修剪,减少中继端口上不必要的广播信息量 4、配置STP,实现冗余备份、负载分担、避免环路 5、在三层交换机上配置VLAN间路由,实现不同VLAN之间互通 6、通过路由连入外网,可以通过静态路由或RIP路由协议 【网络拓扑】 根据用户对可靠性的要求,我们将网络设计为双核心结构,为了保证高性能,采用双核心进行负载分担。当其中的一台核心交换机出现故障的时候,数据能自动转换到另一台交换机上,起到冗余备份作用。 注意:本实验为了测试与外网的连通性,使用一个简单网络
思科交换机安全 做 802.1X、port-security案例
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
交换机端口安全性
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
交换机安全技术操作规程(正式)
编订:__________________ 单位:__________________ 时间:__________________ 交换机安全技术操作规程 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-4732-39 交换机安全技术操作规程(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立管直立砖煤气道立火道底部与空气混合燃烧。
空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管n型管吸气管气液分离器初冷器鼓风机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。 生产工艺流程:各单种煤1至5号料仓皮带秤煤1皮带破碎机煤2皮带煤仓摇臂给料器加煤车碳化室推焦车拦焦车熄焦车熄焦塔晾焦台焦1皮带转运站焦2皮带焦厂外运 三、设备构造及型号 63孔焦炉系双联火道废弃循环下喷单热式焦炉,
接入层交换机配置文档
接入层交换机配置文档开机过程:
这里需要输“no”才能进入用户模式“>”(第一次开机才会出现) 配置交换机: 进入用户模式后输入“enable”进入特权模式(命令可以用“tab”键补全) 在特权模式下可使用show命令后面可以跟具体的参数
在特权模式下输入“conf treminal”进入全局模式,也叫配置模式 在全局模式下可以实现用户名、密码、设备名称、路由等配置,还可以创建vlan、进入vlan 接口、进入物理接口。 //创建用户名和密码,这个用户名和密码是远程登陆时候需要用到的:用户名:cisco 密码:cisco //这是从特权模式进入到全局模式需要用的密码,这个密码无论远程登陆或者console线连接登陆都是需要的(密码是密文的)密码:cisco 配置设备名称: //在全局模式下配置本设备名称:“hostname 后加设备名称” (JR=接入、JHJ=交换机、LTBGL=炼铁办公楼、C3560=交换机型号) 划分Vlan:
//首先全局模式创建相应的vlan:vlan 2 进入vlan 2 :int vlan 2 开启vlan 2 :no shutdown 然后进入物理端口,配置需要划分vlan的端口,例如把f0/1口划分到vlan 2里 //全局模式下进入f0/1口:interface f0/1 把此端口划分到vlan 2:switchport access vlan 2 把此端口模式设置成访问模式:switchport mode access 开启此端口:no shutdowm 还可以同时将多个端口划分到同一个vlan里, 全局模式下进入多个端口:interface range f0/1 - 24 例如: 配置trunk链路 //全局模式下进入需要配置trunk模式的端口:interface range g0/1 -2 封装dot1q协议:switchport trunk encapsulation dot1q 设置trunk模式:switchport mode trunk 开启端口:no shutdown 配置管理地址: //全局模式下进入vlan 1的端口模式:interface vlan 1 添加一个ip地址:ip address 10.99.21.1 255.255.255.128
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
交换机安全防范技术
编号:SM-ZD-40739 交换机安全防范技术Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
交换机安全防范技术 简介:该方案资料适用于公司或组织通过合理化地制定计划,达成上下级或不同的人员之间形成统一的行动方针,明确执行目标,工作内容,执行方式,执行进度,从而使整体计划目标统一,行动协调,过程有条不紊。文档可直接下载或修改,使用时请详细阅读内容。 在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式
2016年华为交换机配置步骤讲解
BIOS LOADING ... CopyrighT (c) 2008-2011 HUAWEI TECH CO,, LTD, (Ver248t ^un 26 2012, 18:54:52) press ctr1+B to enrer BOOTROM menu ?*. 0 Auto-booti ng.,. Decompressing image file .*? done Inirialize FSP Task PPI DEV sysinit .............................................. OK vrrp emd di sabl e... BFD emd disable*.. SEP emd di sable? * ? Hard system init............................................ OK Begin to start the system, pl ease wai ti ng VOS VF5彳门亍工 ............................... O K. Starrup File Check........................................ O K vos monitor ini t*..*,*..* .OK CFM inix advan匚E ........................................ OK PAT init .......................................................... OK HA S2M 1nit.................................................. O K VDS VFS irht hind............................. OK vRP_Root begin,,, VRP_in111 al 1zeTask begin.?. init the Device Link .................................... . . CFG(_planETrrit begin................................ CFM_Ini t begi n ........................................... CLi_cmdinit begin■ VRP_RegestAnLiNK€ird begin create task begi门……. task 1n1t begin... Recover configurate on, ,, OK!Press ENTER To get started. 恢复出厂设置:
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
信息安全技术 网络交换机安全技术要求(标准状态:现行)
I C S35.040 L80 中华人民共和国国家标准 G B/T21050 2019 代替G B/T21050 2007 信息安全技术 网络交换机安全技术要求 I n f o r m a t i o n s e c u r i t y t e c h n o l o g y S e c u r i t y r e q u i r e m e n t s f o r n e t w o r k s w i t c h 2019-08-30发布2020-03-01实施 国家市场监督管理总局
目 次 前言Ⅲ 1 范围1 2 规范性引用文件1 3 术语和定义二 缩略语1 3.1 术语和定义1 3.2 缩略语2 4 网络交换机描述2 5 安全问题定义3 5.1 资产3 5.2 威胁4 5.3 组织安全策略5 5.4 假设6 6 安全目的 7 6.1 T O E 安全目的7 6.2 环境安全目的9 7 安全要求9 7.1 扩展组件定义9 7.2 安全功能要求10 7.3 安全保障要求19 8 基本原理30 8.1 安全目的基本原理30 8.2 安全要求基本原理42 8.3 组件依赖关系49 参考文献52
前言 本标准按照G B/T1.1 2009给出的规则起草三 本标准代替G B/T21050 2007‘信息安全技术网络交换机安全技术要求(评估保证级3)“三与G B/T21050 2007相比,除编辑性修改外主要技术变化如下: 对使用范围进行了修改,并增加了关于密码算法的约定(见第1章,2007年版的第1章); 增加了对术语标准的引用(见第2章,2007年版第2章); 增加了 可信I T产品 术语,删掉了 网络交换机 术语(见第3章,2007年版的第3章); 修改了网络交换机的描述(见第4章,2007年版的第4章); 将安全环境修改为安全问题定义,且归并和修改了假设二威胁二组织安全策略(见第5章,2007年 版的第5章); 修改和删减了安全目的(见第6章,2007年版的第6章); 增加了扩展组件,根据G B/T18336 2015增删了安全要求(见第7章); 增加了基本原理一章(见第8章)三 请注意本文件的某些内容可能涉及专利三本文件的发布机构不承担识别这些专利的责任三 本标准由全国信息安全标准化技术委员会(S A C/T C260)提出并归口三 本标准起草单位:中国信息安全测评中心二吉林信息安全测评中心二华为技术有限公司二清华大学二锐捷网络股份有限公司二网神信息技术(北京)股份有限公司三 本标准主要起草人:李凤娟二张宝峰二刘晖二张翀斌二贾炜二张骁二庞博二刘昱函二唐喜庆二蒋显岚二刘玭娉二钟建伟二刘海利二叶晓俊二李玲二徐涛三 本标准所代替标准的历次版本发布情况为: G B/T21050 2007三
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
H3C交换机端口绑定与端口安全
H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息
端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192、168、1、106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。