交换机攻击与防护.pptVIP

网络安全防护 教师：尹伟 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 设备安全 拼搏 * L o g o 交换机的安全: Password VLAN ACL Port Security Logging 交换机的特权用户密码: (config)#enable secret 密码 主机A 主机B 主机C 主机K 主机F 主机D 主机E 交换机1 交换机2 一,VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网 VLAN:逻辑划分广播域 二,VLAN的分类主要有以下几种： 基于端口的VLAN 基于MAC地址的VLAN 基于第3层的VLAN VLAN特性: 分段 灵活性 安全性 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN =一个广播域 = 逻辑网段 (子网) 三,部署VLAN动机: 1,正确动机: 安全性 灵活性 控制广播 2,错误动机: VLAN可以减少对路由器的依赖 四.VLAN部署原则: 按照行政机构部署VLAN VLAN与IP子网一一对应 Account 172.16.10.0/24 vlan10 Account 172.16.10.0/24 vlan10 Account 172.16. 40.0/24 vlan40 HR 172.16.30.0/24 vlan30 marker 172.16.20.0/24 vlan20 marker 172.16.50.0/24 vlan50 五,VLAN协议： VTP（vlan trunking protocol）VLAN主干协议 1,VTP功能： 发送/转发VTP通告 2,VTP模式：服务器模式;客户端模式;透明模式 3,VTP域：把VLAN客户端和VLAN服务器，放在同一域内，VLAN客户端只在该域 内查找VLAN服务器 配置： sw(vlan)#vtp domain 域名 4,VTP裁剪： 交换机在转发广播前，向相应链路上发送探测信息，探测链路上是否存在相应 VLAN的成员： 1）成员存在： 交换机向该链路上发送广播 2）成员不存在： 交换机不向该链路上发送广播（广播被裁剪） 配置： VTP裁剪功能只需配置在VLAN服务器上 sw(vlan)#vtp prunning 5, VTP验证： 配置： sw(vlan)#vtp password 密码 6, vtp版本：(VTPv1不支持令牌环，VTPv2支持令牌环) 配置： sw(vlan)#vtp v2-mode 交换机端口安全 1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉.当给端口指定MAC地址时,端口模式必须为access或者Trunk状态 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport mode access //指定端口模式 sw(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 //配置MAC地址 sw(config-if)#switchport port-security maximum 1 //限制此端口允许通过的MAC地址数为1 sw(config-if)#switchport port-security violation shutdown //当发现与上述配置不符时，端口down掉 2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过N个MAC地址，超过N时，来自新的主机的数据帧将被丢失 sw#conf t sw(config)#int f0/1 sw(config-if)#switchport trunk encapsulation dot1q sw(config-if)#switchport mode trunk sw(config-if)#switchport port-security maximum 100 //允许此端口通过的最大MAC地址数目为100 sw(config-if)#switchport port-security violation protect //当MAC地址数目超过100时,交换机继续工作，但来自新的主机的数据帧将丢失 sw(config-if)#switchp