没有合适的资源?快使用搜索试试~ 我知道了~
交换机安全特性[参照].pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 20 浏览量
2021-10-13
00:25:49
上传
评论
收藏 127KB PDF 举报
温馨提示
试读
17页
交换机安全特性[参照].pdf
资源详情
资源评论
资源推荐
CISCOcisco
C i s c o - 交 换 机 安 全 特 性 二
1
Cisco交换机的安全特性
一、 端口安全
二、 AAA 服务认证
三、 DHCP 欺骗
四、 IP Source Guard
五、 ARP
六、 DAI 的介绍
七、 SSH认证
八、 VTY 线路出入站的 ACL
九、 HTTP server
十、 ACL 功能
十一、 PVLAN
CISCOcisco
C i s c o - 交 换 机 安 全 特 性 二
2
一、 端口安全:
A、通过端口安全特性可以检查连接交换机的 MAC 地址的真实性。
管理员可以通过这个特性将固定的 MAC 地址写在交换机中。
B、配置顺序:
1)启动端口安全程序,
2)配置有效的 MAC 地址学习上线,
3)配置静态有效 MAC 地址(动态学习不需要配置) ,
4)配置违反安全规定的处理方法(方法有三种: shut down 直接关闭
端口,需要后期由管理员手工恢复端口状态; protect 过滤掉不符合
安全配置的 MAC 地址;restrict 过滤掉非安全地址后启动计时器,记
录单位时间内非安全地址的连接次数) ,
5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学
习的地址则需要配置有效时间) 。
C、配置实例:
interface fa 0/1
进入交换机 0/1 接口
description access port
描述 Access端口
switchport mode access
将交换机端口配置为 Access端口
switchport access vlan 10
将端口划分给 vlan10
CISCOcisco
C i s c o - 交 换 机 安 全 特 性 二
3
switchport port-security
启动端口安全
switchport port-security maximum 2
配置该端口最多可以学习 MAC 地址的数量
switchport port-security mac-address 1111.2222.3333
switchport port-security mac-address 1111.2222.4444
静态配置可以接入端口的 MAC 地址
switchport port-security violation restrict
配置端口发现违反安全规定后的策略
switchport port-security aging time 60
端口学习动态 MAC 地址的有效时间(单位:分钟)
switchport port-security aging type inactivity
端口会将到期且不工作的 MAC 地址清空
D、当管理员需要静态配置安全 MAC 地址,而又不知道具体 MAC 地
址时,可通过 sticky特性实现需求。命令如下:
switchport port-security mac-address sticky
sticky特性会将动态学习到的 MAC 地址自动配置为静态安全地址。 且
该条目可以在 show run中看到(记得保存配置) 。
E、校验命令:
show port-security [interface
interface-id
] [address]具体端口明细信息
show port-security 显示端口安全信息
show port-security address 显示安全地址及学习类型
CISCOcisco
C i s c o - 交 换 机 安 全 特 性 二
4
二、 AAA 认证
1、AAA:
A、 Authentication 身份认证:校验身份
B、 Authorization 授权:赋予访问者不同的权限
C、 Accounting 日志:记录用户访问操作
2、AAA 服务认证的三要素: AAA 服务器、各种网络设备、客户端
客户端: AAA 服务中的被管理者
各种网络设备: AAA 服务器的前端代理者
AAA 服务器:部署用户、口令等
注:CC IE-RS只涉及网络设备上的一小部分 ,不作为重点。
3、802.1X端口认证协议(标准以太网技术)
在以太网卡和以太交换机之间通过 802.1X协议,实现网络接入控制。
即是否允许客户端接入网络。
三、 DHCP 欺骗
1、DHCP 过程是客户端接入网络后会发广播( discover)寻找本网段
的 DHCP 服务器;服务器收到广播后, 会向客户端进行回应 (offer),
回应信息中携带着地址段信息; 客户端会在 offer 中挑选一个 IP 地址,
并向服务器发起请求( responds);服务器会检查客户端选取的 IP 地
址是否可用,同时向客户端确认消息( acknowledgment)。
DHCP 欺骗主要与服务器给客户端的回应有关。
2、DHCP Snooping 在交换机上检查 DHCP 消息。具体的说它会检查
两类消息: discover消息和 offer 消息。交换机对 discover消息的控制
剩余16页未读,继续阅读
cyh76339129
- 粉丝: 1
- 资源: 14万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0