交换机接入安全.docx
《交换机接入安全.docx》由会员分享,可在线阅读,更多相关《交换机接入安全.docx(11页珍藏版)》请在冰豆网上搜索。
交换机接入安全
交换机接入安全
交换机接入安全
端口安全
P320MAC表自动学习:
动态(默认)保持300秒.手工设置:
静态(安全)
默认,MAC表动态学习,允许任何用户接入。
MAC表
MACA
VLAN1
F0/1
MACB
VLAN1
F0/2
MACC
VLAN1
F0/3
MACD
VLAN1
F0/4
当未授权用户E接入端口F0/4,则交换机会自动刷新MAC表,并允许E接入,则E便可以访问网络资。
可以通过多种方式来限制E对网络的访问,其中一种便是端口安全。
实验:
端口安全1.在接入层交换机S29上,对于端口F0/1,2.,3,4只允许主机ABCD接入,违背关闭端口.S29(config)#
intf0/1
#
shutdown
目的:
清理MAC表
#
sw
modeacc
默认dynamaic,不能启用端口安全
#
sw
port-security
启用端口安全
#
sw
port-securitymaximun1
关联一个MAC(默认)
#
sw
port-securitymac-address000c.1111.111a静态绑定或#
swport-securitymac-addresssticky
动态学习MAC并绑定
#
sw
port-securityviolationshutdown
违背关闭(默认)
#
no
shutdown
……S29(config)#
intf0/4
#
shutdown
#
sw
modeacc
#
sw
port-security
启用端口安全
#
sw
port-securitymaximun1
关联一个MAC(默认)
#
sw
port-securitymac-address
000c.1111.111dd
静态绑定
#
sw
port-securityviolationshutdown
违背关闭
2.在交换机S3560上,在F0/1端口只允许主机ABC接入,其它禁止,违背受限.S3560(config)#intf0/1
#
shutdown
#
sw
modeacc
#
sw
port-security
#
sw
port-securitymaximun3
关联3个MAC(默认1个)
#
sw
port-securitymac-address
静态绑定
#
sw
port-securitymac-address
000c.1111.111bb
#
sw
port-securitymac-address
000c.1111.111cc
#
sw
port-securityviolation
restric
受限,合法通过,非法丢弃并产生日志消息
PProtect
保护,合法通过,非法丢弃,但不产生日志消息
3.错误禁用的恢复
(1)手工恢复先shutdown,后noshutdown
(2)自动恢复S(config)#errdisablerecoverycausepsecure-violation
重新启用的原因
#errdisablerecoveryinterval30
恢复时间间隔
注:
1.启用端口安全时,只能工作在access或trunk模式.(默认dynamaicauto)
2.配置时,应先将端口关闭,否则配置不起作用。
sw#shport-securityinterfacef0/3sw#sherrdisabledetect
ErrDisableReason
Detection
Mode-
-
-
---
00:
26:
9E:
81:
89:
10
infinite
static
1
FastEther0/500:
E0:
4C:
82:
1A:
EE
423621
dhcp-snooping
1
FastEther0/100:
E0:
4C:
82:
1A:
EE
411916
dhcp-snooping
2
FastEther0/1Totalnumberofbindings:
3
#clearipdhcpsnoopingbinding*#clearipdhcpbinding*
动态ARP检测(
DAI.
)
P329
分析^p:
ARP欺骗。
用户上网,先通过ARP找网关的MAC.1.A广播查询"1.254你的MAC是多少,请回答"2.所有主机都能收到,但正常只能网关回答:
"1.254的MAC是MACG"
主机D,ARP病毒
抢先回答:
1.254
MACD3.主机A在二层将用MACD封装.
最终,主机A的所有流量都将被转发到D.
中间人攻击D可以对重要信息进行过滤,如上网帐号、邮箱帐号、电子银行帐号等。
注:
与DHCP欺骗的区别DHCP欺骗
假冒网关IPARP欺骗
假冒网关MAC
解决办法:
动态ARP检查.
(在交换机上进行)
S3560(config)#iparpinspectionvlan1-3
在VLAN1-3下启用ARP检测启用后,交换机将会拦截VLNA1-3接口收到的ARP应答,进行合法性检查。
在判断是否存在欺骗行为时,可以采用以下2种方式:
1.采用DHCP监听绑定表,或手工设置的IP-MAC-接口绑定关系表。
MAC
IP
租用期限
对应端口
A
8
F0/1
B
8
F0/2
C
8
F0/3
D
8
F0/4
MACA
MACD
1.254MACD
F0/4收到
二层
ARP应答
2.如果没有上述表项,可以手工配置ARP访问列表.S3560(config)#arpaccess-list
ARP--01
手工建立ARP绑定表
S3560(config)#iparpinspectionfilterARP--01
vlan1
调用ARP绑定表
其它配置:
S3560(config)#intg0/1
#iparpinspectiontrust
(两个交换机之间的ARP应答视为可信,避免重复检查.)
考试300题
S3560(config)#intf0/2
#iparpinspectionlimitrate10
arp请求限速,防止arp泛洪攻击。
实验测试的结果:
1.ARP检测合法应答通过,非法应答丢弃;2.ARP超速接口,动作是shutdown;3.DAI会自动调用已有的DHCP监听绑定表或手工IP-MAC-接口绑定表进行ARP检测,也可调用已配置的ARP访问列表。
其它PARP安全措施:
1.PC杀毒,安装ARP防火墙。
2.PC手工ARP绑定
(在终端PC上进行
)
启动项
arp.bat
arp-s192.168.1.100-0c-ce-12-12-11arp-s192.168.1.200-0c-01-12-12-12arp-s192.168.1.300-0c-01-12-12-13
3.路由器ARP绑定
r1(config)#arp172.16.11.1c007.1a30.f10darpa
附:
ARP表老化时间1.Windows2022/XP,ARP的老化时间默认为2分钟,如果一个ARP缓存表项在2分钟内用到,则再延长2分钟,直到最大生命周期10分钟。
然后被移除,再通过一个新的ARP请求/回应来得新的对应关系。
2.CISCO路由器的ARP老化时间默认为4小时,可以进行修改。
r1#
shintf0/0FastEther0/0isup,lineprotocolisup
HardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)
Half-duplex,10Mb/s,100BaseTX/FX
ARPtype:
ARPA,ARPTimeout04:
00:
00
r1(config)#intf0/0#arptimeout120
r1#
shintf0/0FastEther0/0isup,lineprotocolisup
HardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)
ARPtype:
ARPA,ARPTimeout00:
02:
00r1#sharp
Protocol
Address
Age(min)
HardwareAddr
Type
InterfaceInter
-
ARPA
FastEther0/1Inter
1
ARPA
FastEther0/0
Inter
-
ARPA
FastEther0/0
3.路由器ARP静态绑定。
r1(config)#arp172.16.11.1c007.1a30.f10darpa
r1#sharpProtocol
Address
Age(min)
HardwareAddr
Type
InterfaceInter
-
ARPA
FastEther0/1Inter
-
ARPA
Inter
-
ARPA
FastEther0/0r1#sharp172.16.11.1detail
ARPentryfor172.16.11.1,linktypeIP.
Static,lastupdated0minuteago.
EncaptypeisARPA,hardwareaddressisc007.1a30.f10d,6byteslong.
ARPsubblocks:
*StaticARPSubblock
Floatingentry.
Entryisplete,attachedtoFastEther0/0.
*IPARPAdjacencyAdjacency(for172.16.11.1onFastEther0/0)wasinstalled.
保护三张表:
1.路由表
确保路由表正确、全面(静态路由、路由协议正确配置)。
2.ARP表
推荐静态绑定。
防止ARP表被欺骗,同时可以减少广播流量。
3.MAC表
建议静态绑定。
防止MAC表被攻击,同时可以防止非法用户接入。
升级会员 