交换机安全特性.doc

Cisco- Cisco-交换机安全特性二 PAGE \* MERGEFORMAT 13 Cisco交换机的安全特性 一、 端口安全 二、 AAA服务认证 三、 DHCP欺骗 四、 IP Source Guard 五、 ARP 六、 DAI的介绍 七、 SSH认证 八、 VTY线路出入站的ACL 九、 HTTP server 十、 ACL功能 十一、PVLAN 一、 端口安全： A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。 B、配置顺序： 1）启动端口安全程序， 2）配置有效的MAC地址学习上线， 3）配置静态有效MAC地址（动态学习不需要配置）， 4）配置违反安全规定的处理方法（方法有三种：shut down直接关闭端口，需要后期由管理员手工恢复端口状态；protect 过滤掉不符合安全配置的MAC地址；restrict 过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数）， 5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。 C、配置实例： interface fa 0/1 进入交换机0/1接口 description access port 描述Access端口 switchport mode access 将交换机端口配置为Access端口 switchport access vlan 10 将端口划分给vlan10 switchport port-security 启动端口安全 switchport port-security maximum 2 配置该端口最多可以学习MAC地址的数量 switchport port-security mac-address 1111.2222.3333 switchport port-security mac-address 1111.2222.4444 静态配置可以接入端口的MAC地址 switchport port-security violation restrict 配置端口发现违反安全规定后的策略 switchport port-security aging time 60 端口学习动态MAC地址的有效时间（单位：分钟） switchport port-security aging type inactivity 端口会将到期且不工作的MAC地址清空 D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。命令如下： switchport port-security mac-address sticky sticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在show run中看到（记得保存配置）。 E、校验命令： show port-security [interface interface-id] [address]具体端口明细信息 show port-security 显示端口安全信息 show port-security address 显示安全地址及学习类型 二、 AAA认证 1、 AAA： A、 Authentication 身份认证：校验身份 B、 Authorization 授权：赋予访问者不同的权限 C、 Accounting 日志：记录用户访问操作 2、 AAA服务认证的三要素：AAA服务器、各种网络设备、客户端 客户端：AAA服务中的被管理者 各种网络设备：AAA服务器的前端代理者 AAA服务器：部署用户、口令等 注：CC IE-RS只涉及网络设备上的一小部分,不作为重点。 3、 802.1X端口认证协议（标准以太网技术） 在以太网卡和以太交换机之间通过802.1X协议，实现网络接入控制。即是否允许客户端接入网络。 三、 DHCP欺骗 1、 DHCP过程是客户端接入网络后会发广播（discover）寻找本网段的DHCP服务器；服务器收到广播后，会向客户端进行回应（offer），回应信息中携带着地址段信息；客户端会在offer中挑选一个IP地址，并向服务器发起请求（responds）；服务器会检查客户端选取的IP地址是否可用，同时向客户端确认消息（acknowledgment）。 DHCP欺骗主要与服务器给客户端的回应有关。 2、 DHCP Snooping 在交换机上检查DHCP消息。具体的说它会检查两类消息：discover消息和offer消息。交换机对discover消息的控制方法是限速，对offer消息的控制是引导。在专业的攻击中，病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务