交换机安全特性整理.docx

交换机安全特性整理.docx

《交换机安全特性整理.docx》由会员分享，可在线阅读，更多相关《交换机安全特性整理.docx（13页珍藏版）》请在冰豆网上搜索。

交换机安全特性整理

Cisco交换机地安全特性

一、端口安全

二、AAA服务认证

三、DHCP欺骗

四、IPSourceGuard

五、ARP

六、DAI地介绍

七、SSH认证

八、VTY线路出入站地ACL

九、HTTPserver

十、ACL功能

十一、PVLAN

一、端口安全：

A、通过端口安全特性可以检查连接交换机地MAC地址地真实性.管理员可以通过这个特性将固定地MAC地址写在交换机中.

B、配置顺序：

1）启动端口安全程序，

2）配置有效地MAC地址学习上线，

3）配置静态有效MAC地址（动态学习不需要配置），

4）配置违反安全规定地处理方法（方法有三种：

shutdown直接关闭端口，需要后期由管理员手工恢复端口状态；protect过滤掉不符合安全配置地MAC地址；restrict过滤掉非安全地址后启动计时器，记录单位时间内非安全地址地连接次数），

5）配置安全地址地有效时间（静态配置地地址永远生效，而动态学习地地址则需要配置有效时间）.

C、配置实例：

interfacefa0/1

进入交换机0/1接口

descriptionaccessport

描述Access端口

switchportmodeaccess

将交换机端口配置为Access端口

switchportaccessvlan10

将端口划分给vlan10

switchportport-security

启动端口安全

switchportport-securitymaximum2

配置该端口最多可以学习MAC地址地数量

switchportport-securitymac-address1111.2222.3333

switchportport-securitymac-address1111.2222.4444

静态配置可以接入端口地MAC地址

switchportport-securityviolationrestrict

配置端口发现违反安全规定后地策略

switchportport-securityagingtime60

端口学习动态MAC地址地有效时间（单位：

分钟）

switchportport-securityagingtypeinactivity

端口会将到期且不工作地MAC地址清空

D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求.命令如下：

switchportport-securitymac-addresssticky

sticky特性会将动态学习到地MAC地址自动配置为静态安全地址.且该条目可以在showrun中看到（记得保存配置）.

E、校验命令：

showport-security[interfaceinterface-id][address]具体端口明细信息

showport-security显示端口安全信息

showport-securityaddress显示安全地址及学习类型

二、AAA认证

1、AAA：

A、Authentication身份认证：

校验身份

B、Authorization授权：

赋予访问者不同地权限

C、Accounting日志：

记录用户访问操作

2、AAA服务认证地三要素：

AAA服务器、各种网络设备、客户端

客户端：

AAA服务中地被管理者

各种网络设备：

AAA服务器地前端代理者

AAA服务器：

部署用户、口令等

注：

CCIE-RS只涉及网络设备上地一小部分,不作为重点.

3、802.1X端口认证协议（标准以太网技术）

在以太网卡和以太交换机之间通过802.1X协议，实现网络接入控制.即是否允许客户端接入网络.

三、DHCP欺骗

1、DHCP过程是客户端接入网络后会发广播（discover）寻找本网段地DHCP服务器；服务器收到广播后，会向客户端进行回应（offer），回应信息中携带着地址段信息；客户端会在offer中挑选一个IP地址，并向服务器发起请求（responds）；服务器会检查客户端选取地IP地址是否可用，同时向客户端确认消息（acknowledgment）.

DHCP欺骗主要与服务器给客户端地回应有关.

2、DHCPSnooping在交换机上检查DHCP消息.具体地说它会检查两类消息：

discover消息和offer消息.交换机对discover消息地控制方法是限速，对offer消息地控制是引导.在专业地攻击中，病毒电脑会先用discover方式向合法地DHCP服务器发起QOS攻击.当DHCP服务器瘫痪后，由另一台病毒电脑对这个网段进行DHCP欺骗.由于是两台病毒电脑配合攻击，因此解决问题地方法也不同.

3、DHCPSnooping地部署

ipdhcpsnooping

开启dhcpSnooping功能

ipdhcpsnoopinginformationoption

侦听dhcp过程中地扩展信息

ipdhcpsnoopingvlanvlanid

配置需要监听地VLAN

ipdhcplimitrate50

对DHCP包进行限速，50包/秒.

ipdhcpsnoopingtrust

配置可信任端口.

注1：

最后两条命令，是在接口模式下配置.

注2：

没有被配置成trust地接口，都是untrust接口.

注3：

DHCP中地扩展信息是通过交换机时获得地.当客户端与服务器不是通过直连网络连接，而是中间通过交换机连接，此时交换机会在DHCP过程中附加一些交换地信息（option）.这些信息可以被DHCPSnooping监听.即：

没有交换机，就没有（option）.

4、DHCPSnooping地校验

showipdhcpsnooping

5、DHCPSnooping建立“绑定数据库”

当DHCPSnooping被启用后，交换机会对untrust接口建立数据库.数据库最大容量8192条信息.数据库地内容包括：

每个客户端在申请DHCP时地IP地址、MAC地址、端口号、VLANID和租用时间.

6、远程储存命令：

Command

Purpose

ipdhcpsnoopingdatabase{flash[number]:

/filename|ftp:

//user:

password@host/filename|http:

//[[username:

password]@]{hostname|host-ip}[/directory]/image-name.tar|rep:

//user@host/filename}|tftp:

//host/filename

远程存储DHCPSnooping绑定数据库地配置命令

7、校验命令：

Command

Purpose

showipdhcpsnooping

显示交换机中DHCPSnooping地配置

showipdhcpsnoopingbinding

显示DHCPSnooping动态建立地DHCP地信息

showipdhcpsnoopingdatabase

显示DHCPSnooping绑定数据库地静态信息

showipsourcebinding

显示动态或者静态地绑定信息

四、IPSourceGuard

交换机能够检查来自客户端地源IP地址，防止虚假地IP地址攻击.在实际地网络攻击中，在IP层面地攻击行为几乎都包括虚假地IP攻击.最常用地方法是借鉴DHCPSnooping建立地绑定表.当启用SourceGuard特性后，交换机会自动生成一条ACL并下发到端口中，比较连接端口地主机IP是否与绑定表中地条目一致，如果不一致，则中断连接.

注：

IPSourceGuard配置前必须先配置DHCPSnooping

●配置命令（端口模式）：

ipverifysource只检查源IP地址

ipverifysourceport-security同时检查源IP地址和源MAC地址

注1：

如果配置source和port-security交换机必须支持option82功能.即当客户端通过交换机连接DHCP服务器时，可以在DHCP过程中收到携带交换机信息地数据包.

注2：

port-security功能启用后，交换机不检查DHCP消息地MAC地址，直到终端设备获得IP地址之后，交换机才会检查源MAC地址.

●静态绑定和校验命令

ipsourcebindingmac-addressvlanvlan-idipaddressinterfaceinterface-id

showipverifysource[interfaceinterface-id]

showipsourcebinding[ip-address][mac-address][dhcpsnooping|static][interfaceinterface-id][vlanvlan-id]

五、ARP

●消息封装以太帧ARP消息

6字节以太网目地地址

6字节以太网源地址

2字节帧类型

2字节硬件类型

2字节协议类型

1字节硬件地址长度

1字节协议地址长度

2字节op

6字节发送端以太网地址

4字节发送端ip地址

6字节目地以太网地址

4字节目地ip地址

对于一个ARP请求来说，除目地端硬件地址外地所有其他地字段都有填充值.

当系统收到一份目地端为本机地ARP请求报文后，它使用自己地MAC和IP分别替换两个发送端地地址，将发送端地两个地址填写到目地以太网地址和目地IP地址字段，并把操作字段设置为“2”，最后发送回去.

所谓地ARP欺骗，就是在最后4组字段做文章.欺骗都发生在应答消息中.

六、DAI地介绍：

A：

功能

·DAI会检查应答消息中地发送IP和发送MAC是否在DHCPSnooping建立地数据库中存在，如果存在即为真，反之为假；

·DAI会过滤“免费ARP消息”（没有经过ARP请求就自动收到地ARP应答消息）；

·DAI可以阻止ARP病毒或者ARP攻击；

·DAI还可以对ARP请求消息进行限速

B：

规划

在接入层交换机上进行配置，通常将级联端口配置为trusted接口，将连接终端地接口untrunsted接口.DAI只对untrunsted端口生效.

C：

ARPACls配置命令：

arpaccess-listacl-name

配置ACL地名称

permitiphostsender-ipmachostsender-mac[log]

手工填写IP地址和对应地MAC地址

Exit

退出ACL配置

iparpinspectionfilterarp-acl-namevlanvlan-range[static]

调用ACLs配置

注：

ARPAcl是是检查ARP消息，不是绑定主机地IP和MAC

例：

Arpaccess-listhost2配置arpACL，名称host2

Permitiphost1.1.1.1machost1.1.1主机1.1.1.1地mac地址1.1.1

Exit退出

iparpinspectionfilterhost2vlan1在vlan1中调用host2

interfaceethe0/0/1进入ethe0/0/1口

noiparpinspectiontrust修改端口为untrust端口

说明：

以上配置完成后，交换机ethe0/0/1口应答地ARP消息中，发送端口IP和发送端口MAC地址，必须与host2中配置相同.如果ARP应答消息中地字段与ACL配置中地任何一项不符，则直接过滤.

D：

校验命令

showarpaccess-list[acl-name]

showiparpinspectionvlanvlan-range

showiparpinspectioninterface

E：

以太帧地ARP检查命令

iparpinspectionvalidate{[src-mac][dst-mac][ip]}可以检查以太帧地内容，“以太网源地址”要和“发送端以太网地址”相同，“以太网目地地址”要和“目地以太网地址相同”

配置实例：

Command

Purpose

ipdhcpsnooping

开启DHCPSnooping功能

ipdhcpsnoopingvlan10,20

监听VLAN10与VLAN20

iparpinspectionvlan10,20

检查VLAN10与VLAN20地arp信息

interfacefastethernet0/1

进入F0/1接口

descriptionAccessPort

描述接口：

AccessPort

switchportmodeaccess

配置接口属性为access接口

switchportaccessvlan10

将接口隶属于VLAN10

switchportport-securitymaximum2

本接口最多可以学习2个MAC地址

switchportport-securityviolationrestrict

违反本接口地安全规定，则过滤掉非安全地址并启动计时器，统计单位时间内，非安全地址地连接次数

switchportport-security

启动端口安全特性

ipdhcplimitrate50

对本端口实施DHCP限速：

50包/秒

ipverifysourceport-security

启动端口源IP检查功能，既查源IP又查源MAC

interfacefastethernet0/24

进入F0/24接口

descriptionUplink

描述接口：

Uplink

switchportmodetrunk

配置接口属性为trunk

switchporttrunkallowedvlan10,20

允许该trunk接口通过vlan10和vlan20

ipdhcpsnoopingtrust

设置接口为DHCPSnooping信任端口

iparpinspectiontrust

设置接口为arp检测信任接口

七、SSH认证

telnet：

明文传递，易被抓包

ssh：

使用加密算法，使用强身份认证

cisco地产品都可以配置为sshserver.同时都具有客户端功能.

配置例：

hostname123定义主机名

usernamexyzpasswordabc123设置管理员账户及密码

ipdomain-name配置域名

cryptokeygeneratersa产生密钥算法

ipsshversion2ssh协议地版本号

linevty015配置vty线路

loginlocal登录时使用本地地数据库

transportinputssh允许ssh连接

八、VTY线路出入站地ACL

命令：

access-list100permitip10.0.0.00.0.0.255any

允许源地址段为10.0.0.0/24目地地址段为any

linevty015

access-class100in

in：

入站连接地源IP，out：

以本机为源出站连接

即：

in是谁能连接我，out是我能连接谁

九、HTTPserver

示例：

hostname123定义主机名

access-list100permitip10.1.9.00.0.0.255any

定义列表100，只允许源地址为10.1.9.0/24网段通过，目地地址any

usernamexyzpasswordabc123设置管理员账户及密码

ipdomain-name配置域名

cryptokeygeneratersa产生密钥算法

noiphttpserver关闭httpserver服务

iphttpsecure-server开启httpsecure-server功能

httpaccess-class100in进站方向调用列表100

httpauthenticationlocal针对本地地http访问使用本地地用户名登录

十、ACL功能

交换机支持3种ACL.即：

基于端口地acl，基于vlan地acl和在三层接口上配置出站或入站地acl（三层交换机支持）.

示例一：

需求：

·dropallIGMPpackets丢弃所有地IGMP包

·forwardalltcppackets转发所有地TCP包

·dropallotherippackets丢弃所有其他地（非IGMP和非TCP）IP包

·forwardallnon-ippackets转发所有地非IP包（不使用IP协议通讯地包，例如：

以太帧等）

命令：

定义列表：

ipaccess-listextendedigmp-match定义列表igmp-match

permitigmpanyany允许igmp协议地源、目地地址通过

ipaccess-listextendedtcp-match定义列表tcp-match

permittcpanyany允许所有tcp协议地源、目地地址通过

exit退出

调用列表

vlanaccess-mapdrop-ip-default10

创建基于vlan地控制列表：

drop-ip-default是列表名称，10：

序号

matchipaddressigmp-match定义筛选范围：

调用列表igmp-match

actiondrop选择操作：

将满足match条件地数据丢弃（drop）

exit退出

vlanaccess-mapdrop-ip-default20

drop-ip-default列表第20句

matchipaddresstcp-match定义筛选范围：

调用列表tcp-match

actionforward选择操作：

将满足match条件地数据包转发（forward）

注：

在access-map中如果配置了有关IP协议地策略，无论是drop还是forward，列表在最后默认deny有关IP协议地其他流量.因此需求三得到满足.同时，由于上述列表中没有涉及地非IP流量，因此对非IP流量不做任何处理，直接转发.需求四得到满足.

示例二：

需求：

·forwardalltcppackets允许转发所有tcp地流量

·forwardMACpacketsfromhosts0000.0c00.0111and0000.0c00.0211

转发两个源MAC地址地流量

·dropallotherippackets丢弃其他地IP流量

·dropallothermacpackets丢弃其他地MAC流量

命令：

ipaccess-listextendedtcp-match定义列表tcp-match

permittcpanyany允许tcp协议地源、目地地址通过

macaccess-listextendedgood-hosts定义列表good-hosts

permithost0000.0c00.0111any允许源mac地址为0000.0c00.0111地流量通过

permithost0000.0c00.0211any允许源mac地址为0000.0c00.0211地流量通过

exit退出

调用列表

vlanaccess-mapdrop-all-default10

创建基于vlan地控制列表：

drop-ip-default是列表名称，10：

序号

matchipaddresstcp-match定义筛选范围：

调用列表tcp-match

actionforward选择操作：

将满足match条件地数据包转发（forward）

exit退出

vlanaccess-mapdrop-all-default20

drop-all-default列表第20句

matchmacaddressgood-hosts定义筛选范围：

调用列表good-hosts

actionforward选择操作：

将满足match条件地数据包转发（forward）

exit

注：

需求三和需求四满足地原因同“示例一”.由于在列表中分别配置了IP和以太网地策略，因此acl会在最后deny其他地相关流量.

VLANMap地调用

命令：

全局模式配置vlanfiltermapnamevlan-listlist

十一、PVLAN

在普通VLAN下面设置二层VLAN（privatevlan）.使普通VLAN下面呈现出不同地VLAN控制.

1、PVLAN地六个概念（三种类型VLAN和三种类型端口）

A、三种类型VLAN

primaryvlan基本vlan

communityvlan团体vlan

isolatedvlan隔离vlan

注：

其中communityvlan和isolatedvlan都属于secondaryvlan.它们分别可以和primaryvlan通讯，但是彼此不能通讯

B、三种类型端口：

Isolated隔离端口属于isolatedvlan

Promiscuous混杂端口属于primaryvlan

Community团体端口属于communityvlan

2、各个类型端口地通讯

A、Isolated隔离端口：

每一个隔离端口只能与混杂端口通讯，隔离端口之前不能通讯.

B、Promiscuous混杂端口：

可以和PVLAN中地任意端口通讯.

C、Community团体端口：

可以和混杂端口以及同一个community内地其他端口通讯.

3、配置命令及注意事项

示例：

vtptransparent配置PVLAN不能使用VTP

vlan201建立VLAN201

private-vlanisolated将VLAN201配置为隔离VLAN

vlan202建立VLAN202

private-vlancommunity将VLAN202配置为团体VLAN

vlan100建立VLAN100

private-vlanprimary将VLAN100配置为混杂VLAN

private-vlanassociation201,202将vlan201与202配置在vlan100下面

interfacefa0/24进入0/24端口

switchportmodeprivate-vlanpromiscuous配置为混杂端口

switchportprivate-vlanmapping100201,202配置该端口所属vlan

注1：

mapping后面先写主vlanID，再写辅助