第4章 交换机安全配置交换机安全配置图文模板
合集下载
交换机安全配置
• Switch(config)#interface f0/6
//进入交换机f0/6接口配置子模式
• Switch(config-if)#switchport mode access 为接入模式
//将交换机端口工作模式指定
• Switch(config-if)# switchport access vlan 2 //指定该端口属于VLAN2
Ip address 10.1.1.1 255.255.255.0
No shutdown
F0/1 F0/1
Interface fastethernet 0/2 No switchport Ip address 10.1.2.1 255.255.255.0 No shutdown
VLAN10 10.1.1.0/24
配置交换机的端口安全性
• Switch#vlan database
//进行VLAN配置模式
• Switch(vlan)#vlan 2 name vlan2
//创建一个名叫VLAN2的VLAN
• Switch(vlan)#exit
//返回到上一级模式
• Switch#config terminal
//进入到全局配置模式
三层交换机 F0/2
F0/2
VLAN20 10.1.2.0/24
实验1 三层交换机VLAN间路由建立
1. 教学目标 □ 理解三层交换机工作原理 □ 掌握三层交换机Vlan间路由建立方法
192.168.10.1/24 S3550-24 192.168.20.1/24
Fa 0/10
Fa 0/20
PC1
\\删除属于VLAN1的交换机fa0/6端口的静态MAC地 址0000.f079.7ee8。
交换机端口的安全设置
MAC地址欺骗
攻击者可能会伪造MAC地址,绕过交换机的安全限制,从而非 法接入网络。
IP地址冲突
非法用户可能会盗用合法的IP地址,导致IP地址冲突,影响网络 的正常运行。
端口安全的基本原则
01
最小权限原则
只给需要的用户或设备分配必要 的网络权限,避免过度分配导致 安全漏洞。
加密传输
0203定期审计来自端口镜像技术01
端口镜像技术是指将一个端口 的流量复制到另一个端口进行 分析和监控。
02
通过端口镜像技术,可以将交 换机端口的入方向或出方向流 量复制到监控端口,供网络管 理员进行分析和故障排除。
03
端口镜像技术可以帮助管理员 实时监控网络流量,发现异常 行为和潜在的安全威胁。
04 交换机端口安全加固措施
对敏感数据进行加密传输,防止 数据在传输过程中被窃取或篡改。
定期对交换机的端口安全配置进 行审计,确保配置的正确性和有 效性。
02 交换机端口安全配置
CHAPTER
端口隔离
将交换机的物理端口划分为不同的逻 辑端口组,使同一组内的端口之间无 法直接通信,从而隔离不同用户之间 的网络。
端口隔离可以防止网络中的潜在威胁 和攻击,提高网络安全性和稳定性。
将同一VLAN内的端口进行 逻辑隔离,防止广播风暴 和恶意攻击。
通过绑定IP地址和MAC地 址,防止IP地址欺骗和 MAC地址泛洪攻击。
限制特定MAC地址的设备 连接,防止未经授权的设 备接入网络。
校园网中的交换机端口安全配置案例
01 校园网络架构
02 安全配置
03 • 划分VLAN
04
05
• 实施访问控制列 • 绑定IP地址和
交换机端口的安全设置
攻击者可能会伪造MAC地址,绕过交换机的安全限制,从而非 法接入网络。
IP地址冲突
非法用户可能会盗用合法的IP地址,导致IP地址冲突,影响网络 的正常运行。
端口安全的基本原则
01
最小权限原则
只给需要的用户或设备分配必要 的网络权限,避免过度分配导致 安全漏洞。
加密传输
0203定期审计来自端口镜像技术01
端口镜像技术是指将一个端口 的流量复制到另一个端口进行 分析和监控。
02
通过端口镜像技术,可以将交 换机端口的入方向或出方向流 量复制到监控端口,供网络管 理员进行分析和故障排除。
03
端口镜像技术可以帮助管理员 实时监控网络流量,发现异常 行为和潜在的安全威胁。
04 交换机端口安全加固措施
对敏感数据进行加密传输,防止 数据在传输过程中被窃取或篡改。
定期对交换机的端口安全配置进 行审计,确保配置的正确性和有 效性。
02 交换机端口安全配置
CHAPTER
端口隔离
将交换机的物理端口划分为不同的逻 辑端口组,使同一组内的端口之间无 法直接通信,从而隔离不同用户之间 的网络。
端口隔离可以防止网络中的潜在威胁 和攻击,提高网络安全性和稳定性。
将同一VLAN内的端口进行 逻辑隔离,防止广播风暴 和恶意攻击。
通过绑定IP地址和MAC地 址,防止IP地址欺骗和 MAC地址泛洪攻击。
限制特定MAC地址的设备 连接,防止未经授权的设 备接入网络。
校园网中的交换机端口安全配置案例
01 校园网络架构
02 安全配置
03 • 划分VLAN
04
05
• 实施访问控制列 • 绑定IP地址和
交换机端口的安全设置
交换机端口安全配置(共10张PPT)
配 Pr置ote交ct换当机安端全口地的址地S个址数w绑满定i后t,c安h全(端c口o将n丢f弃ig未知-i名f地-r址a的n包ge)#switchport port-security ! 开启交换机的端口安全功能 Switch(config-if)#switchport port-secruity mac-address 0006.
配置了交换机的端口安全功能后,当实际应用超出配置的要求, 将产生一个安全违例,产生安全违例的处理方式有3种:
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包 Restrict 当违例产生时,将发送一个Trap通知。 Shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
当端口因违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。
计算机网络工程
计算机网络工程实验
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接 例如:某员工分配的IP地址是172.
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包
验证测试:查看交换机安全绑定配置
switch#show port-security address
switchonfig-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown
验证测试:查看交换机的端口安全配置
Switch#show port-security
2、掌握交换机的端口安全功能,控制用户的安全接入。
该配主置机 交连换接机在端口1台的2最1s2大6wG连上接i。t数c限h制(config)#interface range fastethernet 0/1-23 进入一组端口配置模式 交换机端口安全配置步骤
配置了交换机的端口安全功能后,当实际应用超出配置的要求, 将产生一个安全违例,产生安全违例的处理方式有3种:
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包 Restrict 当违例产生时,将发送一个Trap通知。 Shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
当端口因违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。
计算机网络工程
计算机网络工程实验
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接 例如:某员工分配的IP地址是172.
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包
验证测试:查看交换机安全绑定配置
switch#show port-security address
switchonfig-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown
验证测试:查看交换机的端口安全配置
Switch#show port-security
2、掌握交换机的端口安全功能,控制用户的安全接入。
该配主置机 交连换接机在端口1台的2最1s2大6wG连上接i。t数c限h制(config)#interface range fastethernet 0/1-23 进入一组端口配置模式 交换机端口安全配置步骤
交换机及配置方法38页PPT
1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
交换机及配置方法4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
41、学问是异常珍贵的东西,从任何源泉吸 收都不可耻。——阿卜·日·法拉兹
42、只有在人群中间,才能认识自 己。——德国
43、重复别人所说的话,只需要教育; 而要挑战别人所说的话,则需要头脑。—— 优点是:在不利与艰 难的遭遇里百折不饶。——贝多芬
45、自己的饭量自己知道。——苏联
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
交换机及配置方法4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
41、学问是异常珍贵的东西,从任何源泉吸 收都不可耻。——阿卜·日·法拉兹
42、只有在人群中间,才能认识自 己。——德国
43、重复别人所说的话,只需要教育; 而要挑战别人所说的话,则需要头脑。—— 优点是:在不利与艰 难的遭遇里百折不饶。——贝多芬
45、自己的饭量自己知道。——苏联
第4章 交换机安全配置交换机安全配置图文模板
验证配置 保存配置(可选)。
4.2.4 交换机端口安全
▪ 如果用户操作超出端口安全允许的操作范围,这种现象称 之为违例。
▪ 当违例产生时,有下面3种违例的处理模式: ➢ Protect:安全端口将丢弃未知名地址(不是该端口的 安全地址中的任何一个)的包 ➢ Restrict:交换机不但丢弃接收到的帧(MAC地址不在 安全地址表中),而且将发送一个SNMP Trap报文,给 网管 ➢ Shutdown:交换机将丢弃接收到的帧(MAC地址不在安 全地址表中),发送一个SNMP Trap报文,而且将端口 关闭。
▪ 欺骗攻击 - 攻击者窃取网络流量的一种办法是伪装有效DHCP服务 器发出的响应
▪ 欺骗攻击 -要防止 DHCP 攻击,请使用 Cisco Catalyst 交换 机上的 DHCP侦听和端口安全性功能。
▪ CDP 攻击 - 默认情况下,大多数 Cisco 路由器和交换机都启 用了CDP。建议如果设备不需要使用 CDP,则在设备 上禁用 CDP。
▪ Router(config)#enable password password ▪ Router(config)#enable secret password
▪ Router(config)#line vty 0 4 ▪ Router(config-line)#password password ▪ Router(config-line)#login
errdisable recovery
//6.x版本模拟器上无此指
令 ➢ 当端口由于违规操作而进入“err-disabled”状态后,必
须在全局模式下使用如下命令手工将其恢复为UP状态 Switch(conifg)# err➢di使sa用bleerrrdeicsoavbelrey rienctoevrevrayl命t令im后e 所有的违例端口都会被
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
mode代表命令的模式,有:configure 表示全局配置模式、exec表示特权命 令模式、interface表示接口配置模式等 等。
level代表授权级别,范围从0到15。 level 1是普通用户级别, level 15是 特权用户级别,在各用户级别间切换 可以使用enable命令。
command代表要授权的命令。
限制设备访问 —— 配置口令
▪ 请尽可能使用 enable secret 命令,而不要 使用较老版 本的 enable password 命令。enable secret 命令可提供 更强的安全性,因为使用此命令设置的口令会被加密。 enable password 命令仅在尚未使用 enable secret 命令 设置口令时才能使用。
▪ MAC地址泛洪 - 主机 B 收到帧并向主机 A 发送响应。交换机随后 获知主机 B 的 MAC 地址位于端口 2,并将该信息写 入 MAC 地址表。
- 主机 C 也收到从主机 A 发到主机 B 的帧,但是 因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢 弃该帧。
▪ MAC地址泛洪 - 由主机 A(或任何其它主机)发送给主机 B 的任 何帧都转发到交换机的端口 2,而不是从每一个端口 广播出去。
Switch (config)#username username privilege level password password
设置管理人员的登录用户名、密码和 相应的特权等级
Switch(config)# privilege mode level level command
设置命令的级别划分。
第四章 交换机安全配置
培养目标
▪ 通过本章的学习,希望您能够: ➢ 掌握思科IOS的口令验证方式及配置 方法
➢ 掌握交换机端口安全原理及配置方法
管理配置Cisco IOS设备
限制设备访问 —— 配置口令
▪ 使用机柜和上锁的机架限制人员实际接触网络设备是不错 的做法
▪ 必须从本地为每台设备配置口令以限制访问。
▪ MAC地址泛洪 - 攻击者使用交换机的正常操作特性来阻止交换机正 常工作。
▪ MAC地址泛洪
-只要网络攻击工具一直运行,交换机的 MAC 地址表 就会始终保持充满。当发生这种情况时,交换机开始 将所有收到的帧从每一个端口广播出去,这样一来, 从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。
限制设备访问 —— 配置口令和使用标语
限制设备访问 —— 配置口令
▪ 加密显示口令 ▪ 它可在用户配置口令后使口令加密显示。service password-
encryption 命令对所有未加密的口令进行弱加密。当通过介 质发送口令时,此加密手段不适用,它仅适用于配置文件中 的口令。此命令的用途在于防止未经授权的人员查看配置文 件中的口令。 ▪ Router(config)# service password-encryption
4.1.6 配置特权等级
通过设置口令保护和划分特权级别来实现网络管理的灵活 性和安全性,是控制网络上的终端访问和管理交换机的最简单办 法。用户级别范围是0~15级,级别0是最低的级别。交换机设备系 统只有两个受口令保护的授权级别:普通用户级别(0级)和特权 用户级别(15级)。
用户模式只有Show的权限和其他一些基本命令;特权模式 拥有所有的权限,包括修改、删除配置。在实际情况下,如果给 一个管理人员分配用户模式权限,可能不能满足实际操作需求, 但是分配给特权模式则权限太大,容易发生误操作或密码泄漏。 使用特权等级,可以定制多个等级特权模式,每一个模式拥有的
▪ 在此介绍的口令有: ➢- 控制台口令 — 用于限制人员通过控制台连接访问 设备
➢- 使能口令 — 用于限制人员访问特权执行模式
限制设备访问 —— 配置口令
▪ Switch(config)#line console 0 ▪ Switch(config-line)#password password ▪ Switch(config-line)#login
▪ 欺骗攻击 - 攻击者窃取网络流量的一种办法是伪装有效DHCP服务 器发出的响应
▪ 欺骗攻击 -要防止 DHCP 攻击,请使用 Cisco Catalyst 交换 机上的 DHCP侦听和端口安全性功能。
▪ CDP 攻击 - 默认情况下,大多数 Cisco 路由器和交换机都启 用了CDP。建议如果设备不需要使用 CDP,则在设备 上禁用 CDP。
注意:一旦一条命令被赋予一个特权 等级,比该特权等级低的其他特权等 级均不能使用该命令。
4.2 交换机端口安全控制
准备知识(二) 常见针对交换机的安全攻击
▪ MAC地址泛洪
- 主机 A 向主机 B 发送流量。交换机收到帧,并在 其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧 并将其从每一个交换机端口广播出去。
▪ Router(config)#enable password password ▪ Router(config)#enable secret password
▪ Router(config)#line vty 0 4 ▪ Router(config-line)#password password ▪ Router(config-line)#login
缺省情况下,Cisco二层交换机针对广播的风暴控制功能均被关闭
▪ telnet攻击的类型: -暴力密码攻击 - Dos攻击
▪ 抵御暴力密码攻击: -经常更改密码 -使用强密码 -限制可通过vty线路进行通信的人员
▪ 抵御暴力密码攻击:
4.2.1 风暴控制
在以太网网络中,广播数据是必然存在的,是一种正常的数 据。但是,有时候因为网络蠕虫病毒、攻击者或者网络错误的配置 等发送大量的广播,导致网络拥塞和报文传输超时,影响网络的正 常通信,因此需要通过交换机来发现类型的包的转发直到数据流恢 复正常。
level代表授权级别,范围从0到15。 level 1是普通用户级别, level 15是 特权用户级别,在各用户级别间切换 可以使用enable命令。
command代表要授权的命令。
限制设备访问 —— 配置口令
▪ 请尽可能使用 enable secret 命令,而不要 使用较老版 本的 enable password 命令。enable secret 命令可提供 更强的安全性,因为使用此命令设置的口令会被加密。 enable password 命令仅在尚未使用 enable secret 命令 设置口令时才能使用。
▪ MAC地址泛洪 - 主机 B 收到帧并向主机 A 发送响应。交换机随后 获知主机 B 的 MAC 地址位于端口 2,并将该信息写 入 MAC 地址表。
- 主机 C 也收到从主机 A 发到主机 B 的帧,但是 因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢 弃该帧。
▪ MAC地址泛洪 - 由主机 A(或任何其它主机)发送给主机 B 的任 何帧都转发到交换机的端口 2,而不是从每一个端口 广播出去。
Switch (config)#username username privilege level password password
设置管理人员的登录用户名、密码和 相应的特权等级
Switch(config)# privilege mode level level command
设置命令的级别划分。
第四章 交换机安全配置
培养目标
▪ 通过本章的学习,希望您能够: ➢ 掌握思科IOS的口令验证方式及配置 方法
➢ 掌握交换机端口安全原理及配置方法
管理配置Cisco IOS设备
限制设备访问 —— 配置口令
▪ 使用机柜和上锁的机架限制人员实际接触网络设备是不错 的做法
▪ 必须从本地为每台设备配置口令以限制访问。
▪ MAC地址泛洪 - 攻击者使用交换机的正常操作特性来阻止交换机正 常工作。
▪ MAC地址泛洪
-只要网络攻击工具一直运行,交换机的 MAC 地址表 就会始终保持充满。当发生这种情况时,交换机开始 将所有收到的帧从每一个端口广播出去,这样一来, 从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。
限制设备访问 —— 配置口令和使用标语
限制设备访问 —— 配置口令
▪ 加密显示口令 ▪ 它可在用户配置口令后使口令加密显示。service password-
encryption 命令对所有未加密的口令进行弱加密。当通过介 质发送口令时,此加密手段不适用,它仅适用于配置文件中 的口令。此命令的用途在于防止未经授权的人员查看配置文 件中的口令。 ▪ Router(config)# service password-encryption
4.1.6 配置特权等级
通过设置口令保护和划分特权级别来实现网络管理的灵活 性和安全性,是控制网络上的终端访问和管理交换机的最简单办 法。用户级别范围是0~15级,级别0是最低的级别。交换机设备系 统只有两个受口令保护的授权级别:普通用户级别(0级)和特权 用户级别(15级)。
用户模式只有Show的权限和其他一些基本命令;特权模式 拥有所有的权限,包括修改、删除配置。在实际情况下,如果给 一个管理人员分配用户模式权限,可能不能满足实际操作需求, 但是分配给特权模式则权限太大,容易发生误操作或密码泄漏。 使用特权等级,可以定制多个等级特权模式,每一个模式拥有的
▪ 在此介绍的口令有: ➢- 控制台口令 — 用于限制人员通过控制台连接访问 设备
➢- 使能口令 — 用于限制人员访问特权执行模式
限制设备访问 —— 配置口令
▪ Switch(config)#line console 0 ▪ Switch(config-line)#password password ▪ Switch(config-line)#login
▪ 欺骗攻击 - 攻击者窃取网络流量的一种办法是伪装有效DHCP服务 器发出的响应
▪ 欺骗攻击 -要防止 DHCP 攻击,请使用 Cisco Catalyst 交换 机上的 DHCP侦听和端口安全性功能。
▪ CDP 攻击 - 默认情况下,大多数 Cisco 路由器和交换机都启 用了CDP。建议如果设备不需要使用 CDP,则在设备 上禁用 CDP。
注意:一旦一条命令被赋予一个特权 等级,比该特权等级低的其他特权等 级均不能使用该命令。
4.2 交换机端口安全控制
准备知识(二) 常见针对交换机的安全攻击
▪ MAC地址泛洪
- 主机 A 向主机 B 发送流量。交换机收到帧,并在 其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧 并将其从每一个交换机端口广播出去。
▪ Router(config)#enable password password ▪ Router(config)#enable secret password
▪ Router(config)#line vty 0 4 ▪ Router(config-line)#password password ▪ Router(config-line)#login
缺省情况下,Cisco二层交换机针对广播的风暴控制功能均被关闭
▪ telnet攻击的类型: -暴力密码攻击 - Dos攻击
▪ 抵御暴力密码攻击: -经常更改密码 -使用强密码 -限制可通过vty线路进行通信的人员
▪ 抵御暴力密码攻击:
4.2.1 风暴控制
在以太网网络中,广播数据是必然存在的,是一种正常的数 据。但是,有时候因为网络蠕虫病毒、攻击者或者网络错误的配置 等发送大量的广播,导致网络拥塞和报文传输超时,影响网络的正 常通信,因此需要通过交换机来发现类型的包的转发直到数据流恢 复正常。