交换机端口安全总结.docx

交换机端口安全总结.docx

《交换机端口安全总结.docx》由会员分享，可在线阅读，更多相关《交换机端口安全总结.docx（22页珍藏版）》请在冰豆网上搜索。

交换机端口安全总结

交换机端口安全总结2011-08-2410:

44:

30来源：

互联网

交换机端口安全总结最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

...

交换机端口安全总结

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。

首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。

1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。

当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。

3550-1#conft

3550-1（config）#intf0/1

3550-1（config-if）#switchportmodeaccess/指定端口模式。

3550-1（config-if）#switchportport-securitymac-address00-90-F5-10-79-C1/配置MAC地址。

3550-1（config-if）#switchportport-securitymaximum1/限制此端口允许通过的MAC地址数为1。

3550-1（config-if）#switchportport-securityviolationshutdown/当发现与上述配置不符时，端口down掉。

2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。

3550-1#conft

3550-1（config）#intf0/1

3550-1（config-if）#switchporttrunkencapsulationdot1q

3550-1（config-if）#switchportmodetrunk/配置端口模式为TRUNK。

3550-1（config-if）#switchportport-securitymaximum100/允许此端口通过的最大MAC地址数目为100。

3550-1（config-if）#switchportport-securityviolationprotect/当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。

1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conft

3550-1（config）#mac-address-tablestatic00-90-F5-10-79-C1vlan2drop/在相应的Vlan丢弃流量。

3550-1#conft

3550-1（config）#mac-address-tablestatic00-90-F5-10-79-C1vlan2intf0/1/在相应的接口丢弃流量。

理解端口安全：

当你给一个端口配置了最大安全mac地址数量，安全地址是以一下方式包括在一个地址表中的：

·你可以配置所有的mac地址使用switchportport-securitymac-address，这个接口命令。

·你也可以允许动态配置安全mac地址，使用已连接的设备的mac地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：

如果这个端口shutdown了，所有的动态学的mac地址都会被移除。

一旦达到配置的最大的mac地址的数量，地址们就会被存在一个地址表中。

设置最大mac地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：

·最大安全数目mac地址表外的一个mac地址试图访问这个端口。

·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：

·protect-当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。

·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。

·shutdown-一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。

当一个安全端口处在error-disable状态，你要恢复正常必须得敲入全局下的errdisablerecoverycausepsecure-violation命令，或者你可以手动的shut再noshut端口。

这个是端口安全违规的默认动作。

默认的端口安全配置：

以下是端口安全在接口下的配置-

特性：

port-sercurity默认设置：

关闭的。

特性：

最大安全mac地址数目默认设置：

1

特性：

违规模式默认配置：

shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发snmp陷阱。

下面是配置端口安全的向导-

·安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之前必须的是switchmodeacc之后。

·安全端口不能是一个被保护的口。

·安全端口不能是SPAN的目的地址。

·安全端口不能属于GEC或FEC的组。

·安全端口不能属于802.1x端口。

如果你在安全端口试图开启802.1x，就会有报错信息，而且802.1x也关了。

如果你试图改变开启了802.1x的端口为安全端口，错误信息就会出现，安全性设置不会改变。

最后说一下802.1X的相关概念和配置。

802.1X身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。

它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。

这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代Windows的AD。

配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X；其次则需要在相应的接口上启用802.1X身份验证。

（建议在所有的端口上启用802.1X身份验证，并且使用radius服务器来管理用户名和密码）

下面的配置AAA认证所使用的为本地的用户名和密码。

3550-1#conft

3550-1（config）#aaanew-model/启用AAA认证。

3550-1（config）#aaaauthenticationdot1xdefaultlocal/全局启用802.1X协议认证，并使用本地用户名与密码。

3550-1（config）#intrangef0/1-24

3550-1（config-if-range）#dot1xport-controlauto/在所有的接口上启用802.1X身份验证。

后记

通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。

但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。

通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议。

在可控性，可管理性上802.1X都是不错的选择

　免责声明：

本文仅代表作者个人观点，与本站无关。

其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

责任编辑：

hackbase123

本文引用网址：

与您的QQ/MSN好友分享!

上一篇：

Apache的KeepAlive和TCP/IP的TIME_WAIT

下一篇：

Cisco设备配置AAA认证！

发表评论　加入收藏　告诉好友　打印本页　关闭窗口　返回顶部

交换机端口安全总结的相关文章

最新

交换机端口安全总结Apache的KeepAlive和TC顽固文件删除批处理网络环境ping丢包率测试本地连接属性打不开临时解决如何建造一个虚拟专用网IIS多个web站点BREWSDK九大功能之网络服网络管理中的常用命令ftp服务器基本配置过程网络端口之关闭端口网络端口之端口完全解析网络端口之端口传输机制VMware试验问题总结通过已连接的端口，查看对应windows连接linux桌面服务器多网卡绑定dns配置高级篇OracleVM建立虚拟机步骤CMD下设置超强安全电脑教你禁止别人使用USB接口无法停止“通用卷”设备的解内置无线网卡破解无线【BT4TCP劫持原理分析与实践9行代码废掉Windows！

教你如何提取别人QQ头像的图如何建立跨VLAN的大型PPPoE华为MSR系列路由器-NAT连接分析子网划分的原理Cisco29603750交换机端口策略路由总结CISCO三层交换机接二层交换利用三层交换机实现不同VLA利用路由器实现不同VLAN间的Cisco交换机,交换容量，背板一个Vlan配置多个IP地址路由选择协议的分类----RICisco交换机，交换容量，背Cisco路由器的基本配置Cisco路由器的密码恢复黑基IT培训

热点

9行代码废掉Windows！

教你如何提取别人QQ头像的图CMD下设置超强安全电脑内置无线网卡破解无线【BT4教你禁止别人使用USB接口Cisco路由器的基本配置一个Vlan配置多个IP地址无法停止“通用卷”设备的解两个路由器之间做LTL的VPN的策略路由总结动态对静态分析子网划分的原理网络管理中的常用命令Cisco路由器的密码恢复子网划分如何建立跨VLAN的大型PPPoE利用路由器实现不同VLAN间的vmware下linux找不到网卡et图片

变种机器狗木马病毒防

“反黑军团”总教头

黑客训练营一瞥

Linux下如何知道某个

Windows系统无线局域

推荐

恶意网页病毒十三大症状分析及修揭露Q币/Q号被盗的真相“伪装网站”的欺诈方法介绍及案手工查杀病毒常见文件型分析总结如何知道自己是不是中木马QQ宝典　六法则保护你安全聊天小技巧解决QQ占用CPU资源过高问机器狗病毒入侵源代码以及入侵原

--------------------------------------------------------------------------------

关于黑基|免责条款|诚聘英才|广告服务|投稿指南

Copyright©2010HInternational.AllRightsReserved.黑基网版权所有

京ICP备05010001号

中国网通·中国电信

本篇文章来源于黑基网-中国最大的网络安全站点原文链接：

最简单的解释就是：

交换机的端口工作模式一般可以分为三种：

Access，Multi，Trunk。

trunk模式的端口用于交换机与交换机，交换机与路由器，大多用于级联网络设备。

Access多用于接入层也叫接入模式。

主要是将端口静态接入。

详细点的：

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：

access/trunk/multi/dot1q-tunnel。

　　1、access:

主要用来接入终端设备，如PC机、服务器、打印服务器等。

　　2、trunk:

主要用在连接其它交换机，以便在线路上承载多个vlan。

　　3、multi:

在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。

主要用于接入支持多vlan的服务器或者一些网络分析设备。

现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

　　4、dot1q-tunnel:

用在Q-in-Q隧道配置中。

　　Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。

cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。

根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：

　　1、switchportmodeaccess:

强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。

　　2、switchportmodedynamicdesirable:

主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。

如果不能形成trunk模式，则工作在access模式。

这种模式是现在交换机的默认模式。

　　3、switchportmodedynamicauto:

只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk/desirable之一时，才会成为Trunk。

如果不能形成trunk模式，则工作在access模式。

　　4、switchportmodetrunk:

强制接口成为Trunk接口，并且主动诱使对方成为Trunk模式，所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。

　　5、switchportnonegotiate:

严格的说，这不算是种接口模式，它的作用只是阻止交换机接口发出DTP数据包，它必须与switchportmodetrunk或者switchportmodeaccess一起使用。

　　6、switchportmodedot1q-tunnel：

　配置交换机接口为隧道接口（非Trunk），以便与用户交换机的Trunk接口形成不对称链路

1、

窗体顶端

WhenacollisionoccursinanetworkusingCSMA/CD,howdohostswithdatatotransmitrespondafterthebackoffperiod

hasexpired?

Thehostsreturntoalisten-before-transmitmode.

Thehostscreatingthecollisionhaveprioritytosenddata.

Thehostscreatingthecollisionretransmitthelast16frames.

Thehostsextendtheirdelayperiodtoallowforrapidtransmission.

窗体底端

4、

5、

Refertotheexhibit.Theswitchandthehubhavedefaultconfigurations,andtheswitchhasbuiltitsCAMtable.WhichofthehostswillcaptureacopyoftheframewhenworkstationAsendsaunicastpackettoworkstationC?

workstationC

workstationsBandC

workstationsA,B,C,andtheinterfacesoftherouter

workstationsB,C,D,E,F,andinterfacesoftherouter

9、

窗体顶端

Whatistheeffectoftheswitchportmodedynamicdesirablecommand?

DTPcannotnegotiatethetrunksincethenativeVLANisnotthedefaultVLAN.

Theremoteconnectedinterfacecannotnegotiateatrunkunlessitisalsoconfiguredasdynamicdesirable.

TheconnecteddevicesdynamicallydeterminewhendataformultipleVLANsmustbetransmittedacrossthelinkandbringthetrunkupasneeded.

Atrunklinkisformediftheremoteconnecteddeviceisconfiguredwiththeswitchportmodedynamicautoorswitchportmodetrunkcommands.

窗体底端

10、

Refertotheexhibit.Theexhibitedconfigurationsdonotallowtheswitchestoformatrunk.Whatisthemostlikelycauseofthisproblem?

CiscoswitchesonlysupporttheISLtrunkingprotocol.

Thetrunkcannotbenegotiatedwithbothendssettoauto.

Bydefault,Switch1willonlyallowVLAN5acrossthelink.

AcommonnativeVLANshouldhavebeenconfiguredontheswitches.

7、

？

Whatstatementaboutthe802.1qtrunkingprotocolistrue?

802.1qisCiscoproprietary.

802.1qframesaremappedtoVLANsbyMACaddress.

802.1qdoesNOTrequiretheFCSoftheoriginalframetoberecalculated.

802.1qwillnotperformoperationsonframesthatareforwardedoutaccessports.

？

Whatswitchportmodeswillallowaswitchtosuccessfullyformatrunkinglinkiftheneighboringswitchportisin"dynamicdesirable"mode?

dynamicdesirablemode

onordynamicdesirablemode

on,auto,ordynamicdesirablemode

on,auto,dynamicdesirable,ornonegotiatemode

6、

Refertotheexhibit.S2waspreviouslyusedinalabenvironmentandhasbeenaddedtotheproductionnetworkinservermode.ThelabandproductionnetworksusethesameVTPdomainname,sothenetworkadministratormadenoconfigurationchangestoS2beforeaddingittotheproductionnetwork.Thelabdomainhasahigherrevisionnumber.AfterS2wasaddedtotheproductionnetwork,manycomputerslostnetworkconnectivity.Whatwillsolvetheproblem?

ResettherevisionnumberonS2witheitherthedeleteVTPcommandorbychangingthedomainnameandthenchangingitback.

Reseteachswitchbacktoanearlierconfigurationandthenre-enterallappropriateVLANs,exceptVLAN1,manuallyonSwitch1sothattheypropagatethroughoutthenetwork.

ChangeS1totransparentVTPmodetoreclaimallVLANsinvlan.datandchangebacktoservermode.

ChangeS2toclientmodesotheVLANswillautomaticallypropagate.

？

WhattwofeaturesoftheSpanning-TreeProtocolcontributetothetimeittaforakesswitchednetworktoconvergeafteratopologychangeoccurs?

（Choosetwo.）

themax-agetimer

thespanning-treeholddowntimer

theforwarddelay

thespan