cisco交换机端口的安全配置
一、switchport port-security
设置端口安全功能,端口安全的违例处理等。使用该命令的no选项关闭端口安全的设置,或者将安全违例处理方式恢复成缺省值。
switchport port-security [violation {protect | restrict | shutdown}]
no switchport port-security [violation]
参数说明参数描述
port-security 接口安全开关
violation protect 发现违例,则丢弃违例的报文。
violation restrict 发现违例,则丢弃违例的报文并且发送trap。violation shutdown
发现违例,则丢弃报文、发送Trap并且关闭
接口。
缺省配置接口的安全缺省是关闭的。命令模式接口配置模式
使用指导利用端口安全这个特性,可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报。此外,还可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。
配置举例下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能,并设置违例处理为shutdown:
Ruijie(config)# interface gigabitethernet1/1
Ruijie(config-if)# switchport port-security
Ruijie(config-if)# switchport port-security violation shutdown
二、switchport port-security aging
该命令为一个接口上的所有安全地址配置老化时间。打开这个功能,就需要设置安全地址的最大个数,这样,就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址,或者关闭老化功能。
switchport port-security aging {static | time time }
no switchport port-security aging {static | time}
参数说明参数描述
Static
表示老化时间将同时应用于手工配置的安全
地址和自动学习的地址,否则则只应用于自
动学习的地址。
time time
表示这个端口上安全地址的老化时间,范围
是0-1440,单位是分钟。如果设置为0,则
老化功能实际上被关闭。
缺省配置不老化任何安全地址命令模式接口配置模式
使用指导可以在接口配置模式下使用命令no switchport port-security aging time关闭一个接口的安全地址老化功能,使用命令no switchport port-security aging static 来是老化时间仅应用于动态学习到的安全地址。
使用show port-security命令查看设置。
配置举例Ruijie(config)# interface gigabitethernet1/1
Ruijie(config-if)# switchport port-security aging time8 Ruijie(config-if)# switchport port-security aging static
相关命令命令描述
show port-security
显示端口安全的设置信息和安
全地址。
三、switchport port-security maximum
设置端口最大安全地址个数,使用no选项可恢复缺省个数:switchport port-security maximum value
[no] switchport port-security maximum
参数说明参数描述
value 安全地址个数1-128
缺省配置128
命令模式接口模式
使用指导安全地址个数包含静态配置和动态学习的安全地址个数的总和,缺省为128个,如果设置的安全地址个数小于当前已有的安全地址个数,将提示设置失败
配置举例例1:设置口10的端口安全地址个数为2:Ruijie(config)#interg0/10
Ruijie(config-if)# switchport port-security maximum2
四、switchport port-security mac-address
接口模式下手工配置静态安全地址,使用no选项删除配置的地址:[no] switchport port-security mac-address mac-address[vlan vlan-id]
参数说明参数描述
mac-address 静态安全地址
vlan-id
MAC地址的VID
注意:仅在TRUNK口下才支持设置vlan-id
的设置
缺省配置无
命令模式接口模式
配置举例例1:设置TRUNK接口10的静态安全地址00d0.f800.5555 VID=2:Ruijie(config)#inter g0/10
Ruijie(config-if)# switchport port-security mac-address00d0.f800.5555 vlan2
五、show port-security
显示端口安全的设置信息和安全地址。
show port-security [address] [interfaceinterface-id] [all]
参数说明参数描述
address
显示所有的安全地址,或者是指定接口的所
有安全地址。
interfaceinterface-id 显示指定接口的端口安全设置信息。
all 显示所有接口的端口安全设置信息。
命令模式特权模式
使用指导如果使用该命令时不加参数,则显示所有接口的安全设置状态、违例处理等信息,同时显示所有安全地址表的信息。
配置举例Ruijie# show port-security
Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action -------- -------------- ----------- -----------
Gi1/1 128 1 Restrict
Gi1/2 128 0 Restrict
Gi1/3 8 1 Protect
六、switchport protected
该命令是将接口设为保护接口。使用该命令的no选项关闭保护接口。
switchport protected
no switchport protected
缺省配置缺省关闭保护接口
命令模式接口配置模式
使用指导当将某些端口设为保护口之后,缺省情况下保护口和保护口之间不能进行二层交换可以进行3层路由,保护口与非保护口之间可以正常通讯。使用show interfaces switchport命令查看设置。
配置举例Ruijie(config)# interface gigabitethernet 1/1 Ruijie(config-if)# switchport protected
相关命令命令描述
show interfaces switchport 查看接口设置和统计信息。
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。Cisco的SPAN。 分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像整个或数个VLAN到一个目的端口。 配置方法: 1. SPAN (1) 创建SPAN源端口 monitor session session_number source interface interface-id [, | -] [both | rx | tx] **session_number,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,连续的用“-”连接。 **[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。 (2)创建SPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] **一样的我就不说了。 **session_number要和上面的一致。 **interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。 **[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封装,其他VLAN封装,ISL则全部封装。 2.VSPAN (1)创建VSPAN源VLAN monitor session session_number source vlan vlan-id [, | -] rx **一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。 (2)创建VSPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] **和SPAN的一样。 3.RSPAN RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port ) ,在由反射端口将其通过网络转发到目的交换机中的VLAN上(一般情况下,这个VLAN 是专为镜像而设的,不要作为客户端接入所用),再在目 的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN 被使用,该镜像专用VLAN的信息会被转发到所有的VLAN
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。
2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP 电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN:总部ISR3845 路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换 机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不 同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 (P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与 MARS以及IPS进行横向联动,自动拦截攻击。 o安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分 区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
配置端口聚合提供冗余备份链路 1 实验原理 端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 2 实验步骤 (1)交换机A的基本配置 switchA#conf t switchA(config)#vlan 10 switchA(config-vlan)#name sales switchA(config-vlan)#exit switchA(config)#int fa0/5 switchA(config-if)#switchport access vlan 10 switchA(config)#exit switchA#sh vlan id 10 (2)在交换机switchA上配置端口聚合
switchA(config)#int aggregateport 1 switchA(config-if)#switchport mode trunk switchA(config-if)#exit switchA(config)#int range fa0/1-2 switchA(config-if-range)#port-group 1 switchA(config-if-range)#exit switchA#sh aggregatePort 1summary (3)在交换机B上基本配置(同(1)) (4)在交换机switchB上配置端口聚合(同(2))(5)验证测试 验证当交换机之间一条链路断开时,PC1和PC2任能互相通信。 C:\>Ping 192.168.10.30 –t
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
开启Cisco交换机DHCP Snooping功能 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。 3、客户端随意指定IP地址 客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。 二、DHCP Snooping技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP 监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。 DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC 的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS 攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和
实验4 交换机端口安全配置 【实验目的】 1.掌握交换机的端口安全功能; 2.控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求你对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4,该主机连接在1台RG2126上边。 【实验器材】 交换机,PC,网线。 【实验分组】 每组8人 【实验原理】 针对交换机的所有端口,配置最大连接数为1; 针对FastEthernet0/2端口进行IP地址绑定; 针对FastEthernet0/3端口进行IP+MAC地址绑定。 【实验拓扑】
【实验步骤】 步骤1配置交换机的最大连接数限制。 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能 Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 步骤2 验证交换机端口的最大连接数限制。 Switch#Show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky