提到安全攻擊,往往想到的是來自區域網之外的攻擊,這些攻擊來自網際網路,針對物件為企業內部網路裝置,伺服器等;而企業內部的區域網安全問題往往被忽略,常見的幾種資料鏈路層安全攻擊有
> mac位址擴散
>arp攻擊與欺騙
>dhcp伺服器欺騙與dhcp位址耗盡
>ip位址欺騙
1.埠安全
cisco交換機提供一種基於mac位址控制埠訪問許可權的安全性,埠安全能夠基於mac位址進行流量限制,可以設定埠允許接入的主機數量(即埠允許的處於活躍的mac位址數),也可以手動在埠設定mac位址,只有被繫結的mac位址的流量才被**。
埠安全實際是一種網路接入的驗證,只有符合設定規則的才能接入區域網,避免未授權的客戶端接入網路,使用埠安全可以實現如下功能:
>基於mac位址限制,允許使用者端流量
>避免mac位址擴散攻擊
>避免mac位址欺騙攻擊
2.交換機埠安全的配置
啟動交換機埠安全特性
switch(config-if)#switchport port-security
需要注意:啟用埠安全的藉口不能是動態協商模式,必須配置藉口為接入或幹道模式
配置允許訪問網路的mac位址
switch(config-if)#switchportport-security maximum
配置靜態繫結的mac位址,配置的靜態繫結的mac位址必須小於等於埠允許的最大mac位址數
switch(config-if)#switchportport-security mac-address
3.配置老化時間(在預設情況下,交換機不刪除藉口獲得的mac位址,如果連街道同意埠的使用者段經常發生變化,而就的mac位址一致保留,這可能導致新連線到埠的客戶無法正常通訊,weil解決這個問題,可以配置交換機介面老化時間,讓交換機刪除一段時間內沒有流量的mac位址)
switch(config-if)#switchport port-security aging time
交換機提供兩種老化時間到期時自動刪除動態獲悉的mac位址,
switch(config-if)#switchport port-security aging type
啟動absolute引數為老化時間到期後,刪除所有mac位址並重新學習,inactivity引數為與埠連線的客戶端一段時間(老化時間)沒有流量,就將其mac位址從位址表中刪除,需要注意,靜態繫結的mac位址可以正常訪問網路,並且不受老化時間的影響;
當然cisco交換機也提供刪除靜態繫結的mac位址的功能,配置命令如下
switch(config-if)#switchport port-security aging static
4.配置mac位址違規後的策略
當出現如下情況時,就出現mac位址違規
>最大安全數目的mac位址表之外的乙個新的mac位址訪問該埠
>乙個配置在其他埠安全的mac位址試圖訪問這個埠
當出現違規境況時,有三種處理方式,配置命令如下。
switch(config-if)#switchport port-security violation
protect 將違規的mac位址的分組丟棄,但埠處於up狀態,將還擊不記錄違規分組
restrict 將違規的mac位址的分組丟棄,埠仍處於up狀態,交換機記錄違規分組
shutdown 埠成為err-disabled狀態,相當於關閉埠
----當處於err-disabled狀態的埠,預設情況下埠不會自動恢復,恢復埠狀態的方法有兩種:
~手動恢復:需要進入err-disabled狀態的埠,線關閉埠shutdown,然後再開啟埠no shutdown,埠恢復位正常狀態
~自動恢復:設定err-disabled計時器,埠進入err-disabled狀態開始計時,計時器超出後埠狀態自動恢復
switch(config-if)#errdisable recovery cause psecure-violation
switch(config-if)#errdisable recovery interval 5.配置埠安全的sticky(粘連)特性
當企業內網所有埠均要啟用埠安全時,為每乙個埠配置靜態繫結的mac位址的工作量是非常大的,這要使用埠的sticky特性,動態地將交換機埠學習到的mac位址轉換為sticky mac位址,並將其加入到執行配置中,這樣就自動形成了乙個埠安全允許的靜態mac位址表項,然後儲存配置,交換機重啟的時候不會重新學習
switch(config-if)#switchport port-security mac-address sticky
檢視埠安全狀態
switch#show port-security inte***ce fastethernet 0/1
檢視處於err-disabled狀態的埠的摘要資訊
switch#show inte***ces status err-disabled
若要清除介面的mac位址或全部埠快取,可以使用以下命令
switch#clear port-security dynamic
dhcp監聽
dhcp監聽(dhcp snooping)是一種保護dhcp伺服器的安全機制,它可以過濾來自網路中的主機或其他裝置的非信任dhcp報文,以保證客戶端能夠從正確的dhcp伺服器獲得ip位址,dhcp監聽可以避免dhcp伺服器欺騙和dhcp位址耗盡,還可以限制苦護短傳送dhcp請求的速率,從而減緩dhcp資源耗盡攻擊,cisco交換機支援在每個vlan上啟用dhcp監聽
dhcp監聽將交換機埠分成兩種
非信任埠:鏈結終端的埠,該埠客戶端只能傳送dhcp請求報文,丟棄來自其他埠的dhcp請求報文
信任埠:鏈結合法的dhcp伺服器或者匯聚埠。
網路安全防範
所屬課程 網路攻防實踐 作業要求 第六次作業 實踐內容 學習總結 其中的五個規則鏈對應者netfilter在tcp ip協議中的五個hook檢查點 上下兩部分分別對應外內資料通道 prerouting 對應檢查點 1,檢查進入主機的資料報,用於源位址nat轉換 input對應檢查點2,檢查發往本地網...
資料鏈路層 網路基礎
資料鏈路層 一 差錯產生與差錯控制方法 1.物理線路由傳輸介質與通訊裝置組成 在物理線路上傳輸資料訊號是存在差錯的。誤位元速率是指二進位制位元在資料傳輸過程中被傳錯的概率。由於計算機網路對資料通訊的要求是平均誤位元速率必須低於10 9,因此普通 線路不採用差錯控制措施就不能滿足計算機網路的要求 2....
網路基礎 資料鏈路層
資料鏈路層 解決具體從哪到哪的實現,即下一跳問題 用於兩個裝置 同 一種資料鏈路節點 之間進行傳遞.乙太網幀格式 格式 源主機發出arp請求,詢問 ip位址是192.168.0.1的主機的硬體位址是多少 並將這個請求 廣播到本地網段 乙太網幀首部的硬體位址填ff ff ff ff ff ff表示廣播...