Cisco交换机的基础知识.pptVIP

* * * * * * * * * * * * * * * * * * * * * * Cisco 交换机上可以有很多 vty 端口。多端口允许多位管理员连接并管理交换机。 小心：如果未定义任何口令，而仍然要求登录，则用户将无法访问控制台。 * * * * * * * * 理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。 * 使用网络攻击工具可以执行 MAC 泛洪。网络入侵者使用攻击工具以大量无效的源 MAC 地址泛洪攻击交换机，直到 MAC 地址表充满。当 MAC 地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在 MAC 地址表中找不到对应特定 MAC 地址的端口号。交换机实际上是在起类似于集线器的作用。 某些网络攻击工具每分钟可以在交换机上生成 155,000 个 MAC 条目。MAC 地址表的最大大小因交换机而异。在图中，攻击工具在屏幕右下角 MAC 地址为 C 的主机上运行。此工具用伪造的数据包来泛洪攻击交换机，数据包中包含随机生成的源和目的 MAC 地址以及源和目的 IP 地址。经过很短时间之后，交换机中的 MAC 地址表将被填满，直到无法接受新条目。当 MAC 地址表中充满无效的源 MAC 地址时，交换机开始将收到的所有帧都转发到每一个端口。 * * * 下面的步骤演示了如何在 Cisco IOS 交换机上配置 DHCP 侦听： 步骤 1. 使用 ip dhcp snooping 全局配置命令启用 DHCP 侦听。 步骤 2. 使用 ip dhcp snooping vlan number [number] 命令对特定 VLAN 启用 DHCP 侦听。 步骤 3. 使用 ip dhcp snooping trust 命令定义可信端口，从而在接口级别将端口定义为可信或不可信。 步骤 4.（可选）使用 ip dhcp snooping limit raterate 命令限制攻击者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。 * CDP 包含有关设备的信息，如 IP 地址、软件版本、平台、性能和本机 VLAN。如果攻击者得到这些信息，他们就可以利用这些信息来查找漏洞以攻击网络，通常的攻击形式是拒绝服务 (DoS) 攻击。 图中为部分 Ethereal 数据包跟踪，其中显示了 CDP 数据包的内容。通过 CDP 发现的 Cisco IOS 软件版本特别有利于攻击者研究和确定该特定版本的代码是否有任何特有的安全性漏洞。此外，由于 CDP 未经过身份验证，因此攻击者可以伪造 CDP 数据包，并让与自己直接相连的 Cisco 设备收到。 * * * * * * 总结 802.3 Ethernet标准使用单播流量、广播流量和组播流量进行通信。双工设置和LAN分段可改善性能。冲突域、广播域、网络延时和LAN分段是LAN设计的关键考虑因素。 交换机转发方法将影响LAN性能和延时。网络流量内存缓冲允许交换机存储帧，这样交换机就可以提供转发、对称交换、非对称交换和多层交换功能。 使用Cisco IOS CLI可以快速配置重复的交换机功能。 初始交换机配置包括提供基本IP连接、主机名和标语。应使用Cisco IOS show running-config命令验证配置，并总是备份交换机配置。 使用Cisco IOS CLI，通过口令保护控制台访问和虚拟终端访问。 * Purpose: This chapter introduces the Cisco IOS? CLI on the Catalyst? 1900 switch and router. Timing: This chapter should take about 2 hours to present. Note: The Catalyst 1900 switch only has a subset of the router Cisco IOS commands available. Contents: Introduction to Cisco IOS. Explain to the student what is IOS? Cisco Device startup procedures in general. IOS configuration source. General introduction to the IOS