CCNP 16 简单交换安全

最新推荐文章于 2024-04-08 17:35:36 发布
最新推荐文章于 2024-04-08 17:35:36 发布
阅读量392 收藏
点赞数
分类专栏: ccnp 文章标签: 交换安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heibaikong6/article/details/87881739
版权
本文介绍了CCNP交换安全中的关键概念,包括MAC地址攻击的防御策略,如端口安全服务和静态CAM;VACL4的配置,用于基于IP或MAC的访问控制;基于时间的ACL表设定;VLAN攻击的预防,特别是通过PVLAN实现的隔离;DHCP欺骗的防范措施,如DHCP Snooping和静态ARP;以及ARP欺骗的解决方法,如DAI动态ARP检测。此外,还讨论了CDP的安全考虑和SSH的配置,以增强网络安全性。
摘要由CSDN通过智能技术生成

文章目录

MAC地址攻击

  1. 简单的端口安全服务

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 只有access接口可以配置端口安全服务
Switch(config-if)#switchport port-security 先开启端口安全服务

Switch(config-if)#switchport port-security ?
mac-address ---- Secure mac address MAC地址的获取方式
maximum -------- Max secure addresses 最大数量
violation --------- Security violation mode 违约后处理方案

Switch(config-if)#switchport port-security mac-address ?

  H.H.H   48 bit mac address       手写MAC
  sticky  Configure dynamic secure addresses as sticky  自动粘连
  • 注:此时默认的最大数量为1,默认处理方案为逻辑关闭, 逻辑关闭后,该接口将永远不能通讯,若希望重新激活该接口需要先手动关闭然后在开启;

Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport port-security maximum 10 最大地址数量
注:此时默认处理方案依然为逻辑关闭

Switch(config-if)#switchport port-security violation ? 修改违约后的处理方案
protect – Security violation protect mode
restrict – Security violation restrict mode
shutdown-- Security violation shutdown mode

  • 保护:当非法MAC出现时不转发流量,不关闭接口;
    限制:处理方法同保护一致,区别在于将向网络中的SNMP(简单的网络管理)服务器发送日志
    关闭:逻辑关闭,默认的处理方案;
  1. 静态CAM

core(config)#mac address-table static aaaa.aaaa.aaaa vlan 1 drop 该mac地址若在vlan1中出将被丢弃

  1. 阻止未知的单播帧–需要结合端口安全服务工作
    在端口安全服务工作后,若出现未知单播帧将仅向没有记录的接口进行洪范;

core(config)#interface f0/1
core(config-if)#switchport block unicast 建议所有配置了端口安全服务的接入层接口均配置

最低0.47元/天 解锁文章
heibaikong6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
switch port security
weixin_34151004的博客
08-11 1025
protected port 在同一台交换机上,要限制相同VLAN下的主机的通信,可以通过将交换机接口设置成Protected port来实现;配置了protected port接口的主机是不能相互通过的; protected port可以在物理接口下进行配置,也可以在etherchannel下进行配置; protected port可以限制Unicast、multic...
CCNP 简单交换安全
qq_43727668的博客
11-18 504
CCNP 简单交换安全 1.NTP:网络时间协议 show clock (查看时间) clock set 时:分:秒 月份 日期 年份(修改时间) R1(config)# ntp master (成为ntp服务器,默认为8 可修改即直接加数字 。代表从该server处学习时间后,等级加1;若等级为16将不能传递) R2(config)##ntp server R1的ip地址 (被server...
三个有用的Switch命令
weixin_34126215的博客
12-05 155
三个有用的Switch命令 1.spanning-tree portfast 正常来说生成树协议是保证冗余的同时避免回环,但是状态的改变需要一些延迟,而这些延迟在网络中可能是不允许的,特别是连接的主机,思科就有了portfast这样的新特性,但是在每个端口配置这个命令是很痛苦的,其实可以在全局模式下配置这个命令的 Switch(config)#spanning-tr...
block unicast机制
weixin_34206899的博客
08-12 192
一直以来在一个典型的交换三角网络内,存在这样的一个问题:一台没有接入任何一台服务器二层交换机的两个uplink口的RX方向上竟然存在很大的流量。通过在此交换机上抓这两个uplink口的数据包,发现存在很多unicast的包。而从三层交换机上面通过查找arp表和mac表后证明这些数据包不应该会下发到此交换机上。此问题查找了很久都没有找到原因。今天在某朋友的提示下,查看了bloc...
5.3.1 配置交换机 SSH 管理和端口安全
最新发布
idbb_的博客
04-08 1484
S1(config-line)#login local //用户登录时,从本地数据库匹配用户名和密码。S1(config)#login delay 10 //配置用户登录成功后,10秒后才能再次登录。S1(config)#ip domain-name cisco.com //配置域名,配置SSH时必须配置。S1(config)#login on-success log //配置登录成功会在日志中记录。//只允许用户通过SSH远程登录到交换机进行管理。
网络安全实战技术总结:探索CCNP级网络交换安全技术应用
CCNP级网络交换安全技术则是在Cisco认证体系下对于网络交换安全技术的一种评定标准,要求具备较高的技术水平和实战能力。 ## 1.1 什么是CCNP级网络交换安全技术 CCNP级网络交换安全技术是指在网络结构中,利用各种...
CCNP模拟器,简单实用
05-05
通常,这样的模拟器会包含与CCNP认证考试相关的所有主题,如路由协议(如OSPF, BGP)、交换技术、WAN优化和网络安全等。用户可以通过模拟器进行实验,例如设置路由策略、配置VLAN、解决连接问题,以及处理网络流量。...
CCNP交换原理配置
12-13
在IT行业中,CCNP(Cisco Certified Network Professional)是Cisco公司为网络专业人士提供的一个认证,它主要涵盖路由、交换和无线网络技术。本压缩包文件"CCNP交换原理配置"聚焦于交换技术,旨在帮助学习者掌握...
思科SSH与Telnet配置登录方法
weixin_41903258的博客
04-29 1939
ra(config)#aaa authentication login default local //启用aaa认证,设置在本地服务器上进行认证。ra(config)#ip ssh authentication 4 //设置ssh认证重复次数为4,可以在0-5之间选择。ra(config)#ip ssh time 120 //设置ssh时间为120秒。crypto key zeroize rsa //停止Ssh服务,清楚密钥。//生成一个rsa算法的密钥,密钥为1024位。第三步 SSH的相关配置。
ITN网络课程笔记(十六)
qq_51996925的博客
12-03 6351
十六、网络安全基础知识十六、网络安全基础知识1、安全威胁和漏洞1.1、威胁类型信息盗窃数据丢失身份盗窃服务中断1.2、漏洞分类技术漏洞配置漏洞策略漏洞1.3、物理安全2、网络攻击2.1、恶意软件的类型2.2、侦查攻击2.3、访问攻击密码攻击信任利用端口重定向中间人2.4、拒绝服务攻击DoS攻击DDoS攻击3、网络攻击缓解3.1、纵深防御方法3.2、保留备份3.3、升级、更新和补丁3.4、认证、授权和记账3.5、防火墙3.6、防火墙的类型3.7、终端安全4、设备安全4.1、思科AutoSecure4.2、密码
交换机端口安全配置
weixin_34352005的博客
11-29 2102
在一般的企业环境中,交换机是使用最多的设备,下面简单介绍一些关于交换机端口安全的配置并就《CCNA学习指南(第六版)》书中的不足做一些补充:在交换机端口配置模式下输入Switch(config-if)#switchport port-securitymac-address Secure mac addressmaximum Max sec...
网络播放器
capboy的专栏
01-05 3519
作者:afterain本人最近刚刚把它做完。鉴于现在很多 人在向这方面发展,所以决定把自己 在此期间的一些经验写出来。让后来的同志们少走些弯路。我的这个事例是通过directshow的例子memfile改写的。如果用于网络的时时播放,会有一些延时问题。具体会在后面说明。我已经把它作成了DLL(实际也是工作的需要 :) ),大家可以在www.feelby.net下载。包括演示例子的源代码。至于DLL
接口隔离原则 - Interface Segregation Principle - ISP
nanoFinder的博客
05-04 130
定义: 客户端不应该依赖它不需要的接口;一个类对另一个类的依赖应该建立在最小的接口上。 释义:类依赖的接口,其含有的方法都是自己依赖的。 使用时,注意以下几点: 接口尽量小,但是要有限度。对接口进行细化可以提高程序设计灵活性是不挣的事实,但是如果过小,则会造成接口数量过多,使设计复杂化。所以一定要适度。 为依赖接口的类定制服务,只暴露给调用的类它需要的方法,它不需要的方法则隐藏起来。只有专注地为...
以太网通道,Span/Rspan,NTP,CDP,网关冗余总结
Allen黄的博客
01-09 802
总结 1.以太网通道,三层Channel 2. Span,Rspan 3. 防止MAC地址攻击 4. NTP-----网络时间协议 5. 基于时间的ACL 6. CDP-----Cisco设备发现协议(私有协议) 7. 网关冗余 a. 最原始的网关冗余 b. HSRP热备份网关冗余 c. VRRP虚拟路由冗余协议 d. GLBP网关负载均衡协议 若SW1与SW2不连接,V2访问V3时(vlan...
交换安全
openlab网工之路
07-22 604
交换安全分类: 1.MAC地址攻击 2.VLAN 攻击 3.欺骗攻击 4.针对硬件设备本身攻击 MAC地址攻击: 攻击者不断修改自己MAC地址,发送大量报文,使交换机学习,直至交换机 MAC地址表缓存溢出.此时交换机则成为一个hub,不能再学习任何Mac地址条目,所有其他设备通信Mac地址均为未知单播地址,全部泛红。则攻击者可以接受到别设备发出的信息 解决办法: 静态MAC地址写入 查看 针...
网络与安全2 在思科交换机上防范典型的欺骗和二层***
weixin_34283445的博客
05-17 350
摘要:本文所提到的***和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径: 1.人为实施 2.病毒或蠕虫 人为实施通常是指使用一些***的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插***,从而进行进一步窃取机密文件。***和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自***或者病毒及蠕虫的**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值