交換機攻擊與防護課件

網(wǎng)絡安全防護

教師：尹偉設備安全交換機的安全:PasswordVLANACLPortSecurityLogging設備安全交換機的特權用戶密碼:(config)#enablesecret密碼設備安全一,VLAN是英文VirtualLocalAreaNetwork的縮寫，即虛擬局域網(wǎng)VLAN:邏輯劃分廣播域二,VLAN的分類主要有以下幾種：基于端口的VLAN基于MAC地址的VLAN基于第3層的VLANVLAN特性:分段靈活性

安全性第三層第二層第一層銷售部人力資源部工程部一個VLAN

=一個廣播域=

邏輯網(wǎng)段(子網(wǎng))

設備安全設備安全三,部署VLAN動機:1,正確動機:

安全性靈活性控制廣播2,錯誤動機:

VLAN可以減少對路由器的依賴設備安全五,VLAN協(xié)議：VTP（vlantrunkingprotocol）VLAN主干協(xié)議1,VTP功能：發(fā)送/轉發(fā)VTP通告2,VTP模式：服務器模式;客戶端模式;透明模式3,VTP域：把VLAN客戶端和VLAN服務器，放在同一域內(nèi)，VLAN客戶端只在該域內(nèi)查找VLAN服務器配置：sw(vlan)#vtpdomain域名設備安全4,VTP裁剪：交換機在轉發(fā)廣播前，向相應鏈路上發(fā)送探測信息，探測鏈路上是否存在相應VLAN的成員：

1）成員存在：交換機向該鏈路上發(fā)送廣播

2）成員不存在：交換機不向該鏈路上發(fā)送廣播（廣播被裁剪）配置：VTP裁剪功能只需配置在VLAN服務器上

sw(vlan)#vtpprunning設備安全5,VTP驗證：配置：sw(vlan)#vtppassword密碼6,vtp版本：(VTPv1不支持令牌環(huán)，VTPv2支持令牌環(huán))

配置：sw(vlan)#vtpv2-mode設備安全2.通過MAC地址來限制端口流量，此配置允許一TRUNK口最多通過N個MAC地址，超過N時，來自新的主機的數(shù)據(jù)幀將被丟失sw#conftsw(config)#intf0/1sw(config-if)#switchporttrunkencapsulationdot1qsw(config-if)#switchportmodetrunk

sw(config-if)#switchportport-securitymaximum100//允許此端口通過的最大MAC地址數(shù)目為100

sw(config-if)#switchportport-securityviolationprotect//當MAC地址數(shù)目超過100時,交換機繼續(xù)工作，但來自新的主機的數(shù)據(jù)幀將丟失sw(config-if)#switchportport-securityviolationshutdown//當MAC地址數(shù)目超過100時,這個端口會shutdown設備安全默認的端口安全配置：以下是端口安全在接口下的配置-特性：port-sercurity默認設置：關閉的。特性：最大安全mac地址數(shù)目默認設置：1特性：違規(guī)模式默認配置：shutdown，這端口在最大安全mac地址數(shù)量達到的時候會shutdown。設備安全基于MAC地址的訪問控制列表Switch(config)#macaccess-listextendedMAC10

＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

Switch(config-ext-nacl)#permithost0009.6bc4.d4bfany

＃定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機

Switch(config-ext-nacl)#permitanyhost0009.6bc4.d4bf

＃定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機

Switch(config-if)#interfaceFa0/20

#進入配置具體端口的模式

Switch(config-if)#macaccess-grou