注意:

1、VLAN2必須是在本交換機激活的,計劃分配給游客使用;2?VLAN2信息不會被VTP傳遞出去

Switch(config)#interface?fa0/3??Switch(config-if)#dot1x?default

回到默認設置

show?dot1x?[all]?|?[interface?interface-id]?|?[statistics?interface?interface-id]?[{?|?begin?|?exclude?|?include}?expression]??Switch#sho?dot1x?all??Dot1x?Info?for?interface?FastEthernet0/3??----------------------------------------------------??Supplicant?MAC?0040.4513.075b??AuthSM?State?=?AUTHENTICATED?BendSM?State?=?IDLE?PortStatus?=?AUTHORIZED?MaxReq?=?2?HostMode?=?Single?Port?Control?=?Auto?QuietPeriod?=?60?Seconds??Re-authentication?=?Enabled?ReAuthPeriod?=?120?Seconds??ServerTimeout?=?30?Seconds??SuppTimeout?=?30?Seconds??TxPeriod?=?30?Seconds??Guest-Vlan?=?0debug?dot1x?{errors?|?events?|?packets?|?registry?|?state-machine?|?all}

2、端口安全,解決CAM表溢出***(有種MACOF的工具,每分鐘可以產生155000個MAC地址,去轟擊CAM表,從而使合法主機的要求都必須被FLOOD)

示例配置:

Switch#configure?terminal??Switch(config)#interface?fastethernet0/0??Switch(config-if)#switchport?mode?access??Switch(config-if)#switchport?port-security??Switch(config-if)#switchport?port-security?maximum?20?這里默認是1??Switch(config-if)#switchport?port-security?mac-address?sticky

保存學習到的地址到RUN CONFIG文件中,避免手動配置的麻煩,并省去動態學習所消耗的資源

switchport?port-security?violation?{protect?|?restrict?|?shutdown}

三個參數解釋:

保護:當達到某個設定的MAC數量,后來的未知MAC不再解析,直接丟棄,且不產生通知

限制:當達到某個設定的MAC數量,后來的未知MAC不再解析,直接丟棄,產生通知,如SNMP TRAP?SYSLOG信息,并增加違反記數;這里有個問題,惡意***會產生大量的類似信息,給網絡帶來不利.

關閉:當達到某個設定的MAC數量,后來的未知MAC不再解析,直接關閉該端口,除非手動開啟,或改變端口安全策略

端口安全需要全部手動配置,增加工作量,下面的兩種方式

DHCP SNOOP

如網吧的管理員使用DHCP分配地址的時候執行IP和MAC地址的捆綁

Switch#configure?terminal??Switch(config)#ip?dhcp?snooping??Switch(config)#ip?dhcp?snooping?vlan?34??Switch(config)#ip?dhcp?snooping?information?option??Switch(config)#interface?fa0/0?連接DHCP服務器的接口??Switch(config-if)#ip?dhcp?snooping?limit?rate?70??Switch(config-if)#ip?dhcp?snooping?trust

指定該接口為信任接口,將獲得DHCP服務器所分配的地址,其他接口所發生的DHCP行為將被否決DAI動態ARP審查,調用ACL和DHCP SNOOP的IP-TO-MAC數據庫

Switch#configure?terminal??Switch(config)#ip?arp?inspection?filter這里調用ACL

注意,只能調用ARP ACL,該ACL優先與IP-TO-MAC表被審查,也就是說,即使有綁定項存在,如果被ARP-ACL拒絕,也不能通過

Switch(config)#ip?arp?inspection?vlan?34??Switch(config)#interface?fa0/0??Switch(config-if)#ip?arp?inspection?trust

連接到DHCP服務器的接口,調用該接口上的DHCP SNOOP的IP-TO-MAC表,默認連接到主機的接口都是不信任的接口

Switch(config-if)#ip?arp?inspection?limit?rate?20?burst?interval?2

不信任接口限制為每秒14個ARP請求,信任接口默認不受限制,這里修改為每秒20

Switch(config-if)#exit??Switch(config)#ip?arp?inspection?log-buffer?entries?64?記錄拒絕信息64條

注意:DHCP SNOOP只提供IP-TO-MAC綁定表,本身不參與流量策略,只是防止DHCP欺騙,而對任何IP和MAC欺騙

是沒有能力阻止的,但是它提供這樣一張表給DAI調用,以防止MAC欺騙

ip?arp-inspection?僅僅對違規的ARP包進行過濾,不對IP包和其他包起作用??ip?source?verify?會對綁定接口的IP或者IP+MAC進行限制

3、VACL

Configuring?VACLs?for?Catalyst?6500?Traffic?Capture??Router(Config)#?access-list?110?permit?tcp?any?172.12.31.0.0.0.0.255?eq?80??Router(config)#?vlan?access-map?my_map??Router(config-access-map)#?match?ip?address?110??Router(config-access-map)#?action?forward?capture??Router(config)#?vlan?filter?my_map?10-12,15??Router(config)#?interface?fa?5/7??Router(config-if)?switchport?capture?allowed?vlan?10-12,?15

4、SPAN RSPAN

基于源端口和基于源VLAN的兩種監控方式

RX TX BOTH 三種流量方向

VLAN MONITOR只能監控入站流,即RX,在該源VLAN中的物理端口都將成為源端口向目標端口COPY流.可以分配多個源端口或VLAN的RX流量到目的端口.不能監控多個端口的出站流,可以監控單個端口的出站流.最多只能配置兩個監控會話.源端口和目標端口是分離的.可以將TRUNK端口配置成源端口,然后使用VLAN過濾想要被分析的流,但是此命令不影響正常的流量轉發.過濾功能不能使用在基于源VLAN的情況下.

轉載于:https://blog.51cto.com/gzklec/1893394

總結

以上是生活随笔為你收集整理的详谈DHCP SNOOP等多方面的安全设置(2)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。