交换机基础安全功能原理与应用共46页
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
课程内容
第一章:设备管理安全 第二章:接入安全 第三章:防攻击
8
接入安全
概述
➢ 制定一组安全规则,让网络中的主机以合法的身份接入网络,并得到有 效的防护
措施
➢ ACL
×
➢ 保护端口
➢ 全局地址绑定 ➢ 端口安全 ➢ 802.1x
√×
9
保护端口
概述
➢ 禁止交换机端口之间的通讯(二层)
➢ Ruijie(config)# address-bind uplink gi 0/25
开启全局绑定地址功能
➢ Ruijie(config)#address-bind install
查看全局绑定地址
➢ Ruijie#show address-bind
13
端口安全
概述
➢ 基于端口制定接入规则 ➢ 接入规则
保护端口角色
➢ 保护口
√
➢ 非保护口
保护端口规则
➢ 保护口之间禁止通讯
protected
➢ 保护口允许与非保护口通讯
√
protected
× 10
保护端口(续)
保护端口配置
➢ Ruijie(config)#int range fa 0/1-24 ➢ Ruijie(config-if-range)#switchport protected
• 端口MAC最大个数 • 端口+MAC • 端口+MAC+VLAN • 端口+IP • 端口+IP+MAC+VLAN
×
F0/4
√ × √ F0/1
F0/2
F0/3
√
1.1.1.1
001a.a900.0002 VLAN 10
1.1.1.2
001a.a900.0001
VLAN 100
14
端口安全配置
禁用Telnet协议
➢ 方法一:Ruijie(config)#no enable service telnet-server ➢ 方法二:Ruijie(config-line)#transport input ssh
使用SNMPv3
➢ Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99
4
使用中强密码
概述
➢ 密码位数尽量保证在6位以上 ➢ 不要使用纯数字 ➢ 不要使用ruijie、admin、star、123456类似的密码
密码强度举例
➢ 弱密码:aabbcc、567890 ➢ 中等强度密码:ruijie345 ➢ 高等强度密码:Ruijie#876
5
源地址限制
概述
➢ 只有合法的源地址才能管理设备
15
端口安全缺省配置
内容 端口安全开关 最大安全地址过滤项个数(MAC) 安全地址过滤项 违例处理方式
√ ××
1.1.1.1 001a.a900.0001
1.1.1.1 001a.a900.0002
1.1.1.2
001a.a900.0001
12
全局地址绑定配置
配置全局绑定地址
➢ Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001
配置全局绑定地址上联口
修订记录
修订日期 修订版本
2009-03-14 V1.0 2009-04-22 V1.1 2009-09-03 V1.2 2009-03-22 V1.3
修订描述
初稿完成。 添加安全通道环境中防ARP注意事项 添加备注,添加IP Source guard功能,修正部分参数错误 重新优化课程结构,将交换机安全功能进行整合
打开端口安全功能
➢ Ruijie(config-FastEthernet 0/1)#switchport port-security
配置最大MAC地址数
➢ Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3
配置MAC地址绑定
作者
徐立欢 徐立欢 徐立欢 徐立欢
1
学习目标
理解交换机常用安全功能的应用场合 掌握交换机常用安全功能的配置与注意事项
2
课程内容
第一章:设备管理安全 第二章:接入安全 第三章:防攻击
3
设备管理安全
概述
➢ 设备易管理性与安全性成反比,必须有效的平衡管理与安全的关系
措施
➢ 使用中/强密码 ➢ 源地址限制 ➢ 使用安全管理协议
限制远程管理源地址
➢ Ruijie(config)#access-list 99 permit host 192.168.1.100 ➢ Ruijie(config)#line vty 0 4 ➢ Ruijie(config-line)#access-class 99 in
限制SNMP管理源地址
➢ Ruijie(config)#access-list 99 permit host 192.168.1.100 ➢ Ruijie(config)#snmp-server community ruijie rw 99
6
使用安全管理协议
使用加密管理协议
➢ 禁用Telnet协议,使用SSH管理设备 ➢ 使用SNMPv3
配置IP+MAC绑定
➢ Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 Biblioteka Baidu92.168.10.1
配置违例处理方式
➢ Ruijie(config-FastEthernet 0/1)# sw po violation{protect | restrict | shutdown}
➢ Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 ➢ Ruijie(config-FastEthernet 0/1)#sw po mac 001a.a900.0001 vlan 10
配置IP地址绑定
➢ Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1
级联情况下的配置
➢ 保护端口可以跨交换机使用 ➢ 位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口
protected
protected
SW1
SW2
11
全局地址绑定
概述
➢ 在交换机中绑定接入主机的IP+MAC地址
➢ 只有被绑定的IP+MAC地址才能接入网络
应用场景
绑定:1.1.1.1 001a.a900.0001
课程内容
第一章:设备管理安全 第二章:接入安全 第三章:防攻击
8
接入安全
概述
➢ 制定一组安全规则,让网络中的主机以合法的身份接入网络,并得到有 效的防护
措施
➢ ACL
×
➢ 保护端口
➢ 全局地址绑定 ➢ 端口安全 ➢ 802.1x
√×
9
保护端口
概述
➢ 禁止交换机端口之间的通讯(二层)
➢ Ruijie(config)# address-bind uplink gi 0/25
开启全局绑定地址功能
➢ Ruijie(config)#address-bind install
查看全局绑定地址
➢ Ruijie#show address-bind
13
端口安全
概述
➢ 基于端口制定接入规则 ➢ 接入规则
保护端口角色
➢ 保护口
√
➢ 非保护口
保护端口规则
➢ 保护口之间禁止通讯
protected
➢ 保护口允许与非保护口通讯
√
protected
× 10
保护端口(续)
保护端口配置
➢ Ruijie(config)#int range fa 0/1-24 ➢ Ruijie(config-if-range)#switchport protected
• 端口MAC最大个数 • 端口+MAC • 端口+MAC+VLAN • 端口+IP • 端口+IP+MAC+VLAN
×
F0/4
√ × √ F0/1
F0/2
F0/3
√
1.1.1.1
001a.a900.0002 VLAN 10
1.1.1.2
001a.a900.0001
VLAN 100
14
端口安全配置
禁用Telnet协议
➢ 方法一:Ruijie(config)#no enable service telnet-server ➢ 方法二:Ruijie(config-line)#transport input ssh
使用SNMPv3
➢ Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99
4
使用中强密码
概述
➢ 密码位数尽量保证在6位以上 ➢ 不要使用纯数字 ➢ 不要使用ruijie、admin、star、123456类似的密码
密码强度举例
➢ 弱密码:aabbcc、567890 ➢ 中等强度密码:ruijie345 ➢ 高等强度密码:Ruijie#876
5
源地址限制
概述
➢ 只有合法的源地址才能管理设备
15
端口安全缺省配置
内容 端口安全开关 最大安全地址过滤项个数(MAC) 安全地址过滤项 违例处理方式
√ ××
1.1.1.1 001a.a900.0001
1.1.1.1 001a.a900.0002
1.1.1.2
001a.a900.0001
12
全局地址绑定配置
配置全局绑定地址
➢ Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001
配置全局绑定地址上联口
修订记录
修订日期 修订版本
2009-03-14 V1.0 2009-04-22 V1.1 2009-09-03 V1.2 2009-03-22 V1.3
修订描述
初稿完成。 添加安全通道环境中防ARP注意事项 添加备注,添加IP Source guard功能,修正部分参数错误 重新优化课程结构,将交换机安全功能进行整合
打开端口安全功能
➢ Ruijie(config-FastEthernet 0/1)#switchport port-security
配置最大MAC地址数
➢ Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3
配置MAC地址绑定
作者
徐立欢 徐立欢 徐立欢 徐立欢
1
学习目标
理解交换机常用安全功能的应用场合 掌握交换机常用安全功能的配置与注意事项
2
课程内容
第一章:设备管理安全 第二章:接入安全 第三章:防攻击
3
设备管理安全
概述
➢ 设备易管理性与安全性成反比,必须有效的平衡管理与安全的关系
措施
➢ 使用中/强密码 ➢ 源地址限制 ➢ 使用安全管理协议
限制远程管理源地址
➢ Ruijie(config)#access-list 99 permit host 192.168.1.100 ➢ Ruijie(config)#line vty 0 4 ➢ Ruijie(config-line)#access-class 99 in
限制SNMP管理源地址
➢ Ruijie(config)#access-list 99 permit host 192.168.1.100 ➢ Ruijie(config)#snmp-server community ruijie rw 99
6
使用安全管理协议
使用加密管理协议
➢ 禁用Telnet协议,使用SSH管理设备 ➢ 使用SNMPv3
配置IP+MAC绑定
➢ Ruijie(config-FastEthernet 0/1)#sw po bi 001a.a900.0001 vlan 10 Biblioteka Baidu92.168.10.1
配置违例处理方式
➢ Ruijie(config-FastEthernet 0/1)# sw po violation{protect | restrict | shutdown}
➢ Ruijie(config-FastEthernet 0/1)#sw po mac-address 001a.a900.0001 ➢ Ruijie(config-FastEthernet 0/1)#sw po mac 001a.a900.0001 vlan 10
配置IP地址绑定
➢ Ruijie(config-FastEthernet 0/1)#sw po binding 192.168.10.1
级联情况下的配置
➢ 保护端口可以跨交换机使用 ➢ 位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口
protected
protected
SW1
SW2
11
全局地址绑定
概述
➢ 在交换机中绑定接入主机的IP+MAC地址
➢ 只有被绑定的IP+MAC地址才能接入网络
应用场景
绑定:1.1.1.1 001a.a900.0001