详谈DHCP SNOOP等多方面的安全设置(2)
注意:
1、VLAN2必須是在本交換機(jī)激活的,計劃分配給游客使用;2?VLAN2信息不會被VTP傳遞出去
Switch(config)#interface?fa0/3??Switch(config-if)#dot1x?default回到默認(rèn)設(shè)置
show?dot1x?[all]?|?[interface?interface-id]?|?[statistics?interface?interface-id]?[{?|?begin?|?exclude?|?include}?expression]??Switch#sho?dot1x?all??Dot1x?Info?for?interface?FastEthernet0/3??----------------------------------------------------??Supplicant?MAC?0040.4513.075b??AuthSM?State?=?AUTHENTICATED?BendSM?State?=?IDLE?PortStatus?=?AUTHORIZED?MaxReq?=?2?HostMode?=?Single?Port?Control?=?Auto?QuietPeriod?=?60?Seconds??Re-authentication?=?Enabled?ReAuthPeriod?=?120?Seconds??ServerTimeout?=?30?Seconds??SuppTimeout?=?30?Seconds??TxPeriod?=?30?Seconds??Guest-Vlan?=?0debug?dot1x?{errors?|?events?|?packets?|?registry?|?state-machine?|?all}2、端口安全,解決CAM表溢出***(有種MACOF的工具,每分鐘可以產(chǎn)生155000個MAC地址,去轟擊CAM表,從而使合法主機(jī)的要求都必須被FLOOD)
示例配置:
Switch#configure?terminal??Switch(config)#interface?fastethernet0/0??Switch(config-if)#switchport?mode?access??Switch(config-if)#switchport?port-security??Switch(config-if)#switchport?port-security?maximum?20?這里默認(rèn)是1??Switch(config-if)#switchport?port-security?mac-address?sticky保存學(xué)習(xí)到的地址到RUN CONFIG文件中,避免手動配置的麻煩,并省去動態(tài)學(xué)習(xí)所消耗的資源
switchport?port-security?violation?{protect?|?restrict?|?shutdown}三個參數(shù)解釋:
保護(hù):當(dāng)達(dá)到某個設(shè)定的MAC數(shù)量,后來的未知MAC不再解析,直接丟棄,且不產(chǎn)生通知
限制:當(dāng)達(dá)到某個設(shè)定的MAC數(shù)量,后來的未知MAC不再解析,直接丟棄,產(chǎn)生通知,如SNMP TRAP?SYSLOG信息,并增加違反記數(shù);這里有個問題,惡意***會產(chǎn)生大量的類似信息,給網(wǎng)絡(luò)帶來不利.
關(guān)閉:當(dāng)達(dá)到某個設(shè)定的MAC數(shù)量,后來的未知MAC不再解析,直接關(guān)閉該端口,除非手動開啟,或改變端口安全策略
端口安全需要全部手動配置,增加工作量,下面的兩種方式
DHCP SNOOP
如網(wǎng)吧的管理員使用DHCP分配地址的時候執(zhí)行IP和MAC地址的捆綁
Switch#configure?terminal??Switch(config)#ip?dhcp?snooping??Switch(config)#ip?dhcp?snooping?vlan?34??Switch(config)#ip?dhcp?snooping?information?option??Switch(config)#interface?fa0/0?連接DHCP服務(wù)器的接口??Switch(config-if)#ip?dhcp?snooping?limit?rate?70??Switch(config-if)#ip?dhcp?snooping?trust指定該接口為信任接口,將獲得DHCP服務(wù)器所分配的地址,其他接口所發(fā)生的DHCP行為將被否決DAI動態(tài)ARP審查,調(diào)用ACL和DHCP SNOOP的IP-TO-MAC數(shù)據(jù)庫
Switch#configure?terminal??Switch(config)#ip?arp?inspection?filter這里調(diào)用ACL注意,只能調(diào)用ARP ACL,該ACL優(yōu)先與IP-TO-MAC表被審查,也就是說,即使有綁定項存在,如果被ARP-ACL拒絕,也不能通過
Switch(config)#ip?arp?inspection?vlan?34??Switch(config)#interface?fa0/0??Switch(config-if)#ip?arp?inspection?trust連接到DHCP服務(wù)器的接口,調(diào)用該接口上的DHCP SNOOP的IP-TO-MAC表,默認(rèn)連接到主機(jī)的接口都是不信任的接口
Switch(config-if)#ip?arp?inspection?limit?rate?20?burst?interval?2不信任接口限制為每秒14個ARP請求,信任接口默認(rèn)不受限制,這里修改為每秒20
Switch(config-if)#exit??Switch(config)#ip?arp?inspection?log-buffer?entries?64?記錄拒絕信息64條注意:DHCP SNOOP只提供IP-TO-MAC綁定表,本身不參與流量策略,只是防止DHCP欺騙,而對任何IP和MAC欺騙
是沒有能力阻止的,但是它提供這樣一張表給DAI調(diào)用,以防止MAC欺騙
ip?arp-inspection?僅僅對違規(guī)的ARP包進(jìn)行過濾,不對IP包和其他包起作用??ip?source?verify?會對綁定接口的IP或者IP+MAC進(jìn)行限制3、VACL
Configuring?VACLs?for?Catalyst?6500?Traffic?Capture??Router(Config)#?access-list?110?permit?tcp?any?172.12.31.0.0.0.0.255?eq?80??Router(config)#?vlan?access-map?my_map??Router(config-access-map)#?match?ip?address?110??Router(config-access-map)#?action?forward?capture??Router(config)#?vlan?filter?my_map?10-12,15??Router(config)#?interface?fa?5/7??Router(config-if)?switchport?capture?allowed?vlan?10-12,?154、SPAN RSPAN
基于源端口和基于源VLAN的兩種監(jiān)控方式
RX TX BOTH 三種流量方向
VLAN MONITOR只能監(jiān)控入站流,即RX,在該源VLAN中的物理端口都將成為源端口向目標(biāo)端口COPY流.可以分配多個源端口或VLAN的RX流量到目的端口.不能監(jiān)控多個端口的出站流,可以監(jiān)控單個端口的出站流.最多只能配置兩個監(jiān)控會話.源端口和目標(biāo)端口是分離的.可以將TRUNK端口配置成源端口,然后使用VLAN過濾想要被分析的流,但是此命令不影響正常的流量轉(zhuǎn)發(fā).過濾功能不能使用在基于源VLAN的情況下.
轉(zhuǎn)載于:https://blog.51cto.com/gzklec/1893394
總結(jié)
以上是生活随笔為你收集整理的详谈DHCP SNOOP等多方面的安全设置(2)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 清明节股市休市安排,共休市三天
- 下一篇: 模拟jquery链式访问