思科认证CCIE RS4.0版本知识点之网络安全--------二层安全.pdfVIP

版本知识点之网络安全二层安全 交换机的安全是很重要的，在二层常用的安全技术一般有以下两种： 一、端口安全： 端口安全是一个二层特性，它用来限制端口下能学到的 MAC 地址数量，它的两个主要 目的是： 1， 在共享的端口防止未授权的连接 2， 抵挡MAC 地址泛洪攻击 端口安全只能静态配置在ACCESS 端口或静态配置的TRUNK 端口 规则 1， 每一个配置了端口安全的端口都会维持一个安全的MAC 表 其条目总数如下配置： switchport port-security maximum-address N 控制所有VLAN 的条目总数，同一MAC 在不同的VLAN 下会被认为是不同的条目 对于TRUNK 口，可以针对特定VLAN 限制最大MAC 条目数，如下 switchport port-security maximum N vlan VLAN 对于ACCESS 口，可指定限制数据VLAN 还是语音VLAN ，并需要指定VLAN 号： switchport port-security maximum N vlan { access | voice } 违例判决： 当端口学到的条目达到上限，对于能学到新条目数据包会有如下不同处理，配 置如下： 仅供学习参考，请勿用于商业活动~ switchport port-security violation { shutdown | restrict | protect } a， 关闭端口：shutdown 模式默认模式 b， 安静的丢弃：protect 模式 此模式不建议使用在TRUNK 端口 当一个VLAN 条目满了之后，其它VLAN 将无法学到新的条目 更槽的是，安静的丢弃，也不会有错误报告和日志了 c， 丢弃后生成系统日志或SNMP 捕获消息：restrict 模式 同时也需要配置SNMP 服务器地址 2， 交换将不允许同样的MAC 地址出现在不同的安全端口下除非条目超时。 3， 条目超时，配置如下 switchport port-security aging timeout TIMEOUT switchport port-security aging type { absolute | inactivity } absolute 从学习到条目开始超时倒计时，即新的数据包不刷新计时器 inactivity 从上次一数据包开始超时倒计时，即新的数据包可以刷新计时器 故障恢复： errdisable recovery interval seconds状态恢复计时器 1 errdisable recovery cause cause状态恢复触发器 switchport port-security mac-address MAC 人工静态绑定MAC 地址，注：仍然计入最大条目数 switchport port-security aging static 单独设定静态MAC 条目的超时时间 粘性学习： 在粘性学习模式下，每学到一条条目，都会在配置里加入一条静态配置的命令， 当然为使此条目真正的成为永久条目，需要将配置保存一下。 验证 show port-security interface int 二、动态ARP 检测： ARP 运行在广播以太网段，因此某主机可以为任意其它主机IP 伪装成其它的MAC 地址， 因此会扰乱MAC 表，即中间人攻击。此类攻击很难用端口安全、ACL 等特性来解决。一般 我们用动态ARP 检测来应对。 (一)原理： ARP 检测在交换机中建立了一个特殊的IP 到MAC 绑定表。此表通过DHCP 窥探数据库表 来动态的生成，也可以用AR