交换安全

最新推荐文章于 2023-12-07 08:42:22 发布
最新推荐文章于 2023-12-07 08:42:22 发布
阅读量249 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiaosiailiulu/article/details/96736218
版权

交换安全(局域网安全)
已知单播帧一个借口进,一个接口出。未知单播帧,组播,广播,都为洪泛。
黑客监听:1、发送大量的伪造mac,沾满mac表,使1到2的流量成为为未知单播帧从而洪泛,自己就能收到从1到2的包
2、中间人C,伪装成A和B,获取A给B发的包,和B给A发的包。
如何制止:端口保护、由人去验证接口接那个mac
switchport port-security 绑定第一个接入的mac
switchport port-security maximum 2 改变接入的第几个mac
惩罚
switchport port-security violation shudaown
1、protect–mac条目超过最大数量 新计算机无法接入 不发警告
2、restrict–mac条目超过最大数量 新计算机无法接入 发警告
3、shutdown–mac条目超过最大数量 新旧计算机都无法接入 关闭接口
mac add sticky 粘滞
端口隔离 switchport protected (公共场合基本都要配置。)配置后只能和网关通。
接口和其他接口同一个网段也不能通信。

vlan跳转
vlan1 本证vlan
如果数据进入接口没有valn便签则放行并且打上此接口的vlan便签,
如果有vlan标签但是和接口标记不一致则丢弃,
如果有vlan便签并且和接口标签一致,则撕掉标签并放行。
防止方法
1.从管理上,pc不能被划入本证vlan
2.1从技术上,在经过干道时给vlan1打标签
2.2本证vlan移动,
2.3把不用的接口关闭
2.4把不用的接口划入特殊vlan
安全三件套 snooping DAI IPSG
1、DHCP
因为客户端无法对服务端做认证,服务端也一样无法对客户端做认证,所以存在安全问题
1开启
ip DHCP snooping
ip DHCP snooping vlan 10
int f0/0
ip DHCP snooping trust
防止(拒绝式攻击)
ip dncp snooping limit rate 50
防止耗尽攻击
1.二层mac和chaddr的mac一致
端口保护即
2,二层的mac不变 chaddr的mac改变
ip dhcp snooping verify mac-address 检查二层和chaddr中的mac是否一致,不一致则丢弃
在多台交换机:
1.跨交换机,干道两端需为信任口,否则就会收到带82的数据包为非信任包。
2.关闭打的82标签
no ip dhcp snnoping information option
3.如果网关不在DHCP的服务器上,做DHCP中继
所以不能关82
这种情况下,在网关接口下写
ip dhcp relay information trust

DHCP snooping的邦定表
表里面有:接口 、获取的ip、mac、vlan、租期
把绑定表存储起来
ip DHCP snooping datebase flash :xx.txt
查看:show dhcp snooping binding

arp 欺骗
DAI动态arp监测
拆开所有的arp包进行检测ip和mac地址绑定是否正确
ip arp inspection vlan 1 在vlan1启用DAI
ip arp inspection trust 配置信任口
检查目标mac
ip arp inspection validate src-mac dst-mac ip
限速
ip arp inspectionlimit 10

ip地址欺骗
检查需要拆所有包,所以不能所有的口都开,不然交换机就会崩溃。
配置:
intf/0
ip verify source port-security 在接口启用IPSG功能
自己做绑定表 ip source binding 002.3…
专门做端口认证 802.1X 端口和用户的绑定机制

端口阻塞
阻塞组播和未知单播
什么时候应该用?
一般用于保护服务器接口或某个重要的接口、
intf0/0
switchport block multcast
show f0/0 switchport
风暴控制:
当交换网络出现单播/广播/组播风暴时可以抑制转发这些风暴包的接口。
intf0/0
storm-control action

生成树相关
portfast
接pc的接口
使交换机的所有接口都不参与生成树的收敛,但是已收到bpDU就会重新收敛生成树
如果进接口配置,就不参与生成树收敛

单臂路由交换机
protfast trunk

bpduguard
如果接口发bpdu就关闭此接口
全局或接口

bpdufilter 如果收到bpdu就丢掉,风险:交换机丧失对这个接口的环路判断
环路判断:自己发的bpdu自己收到
全局 收到就从新进入监听。

rootguart
防止抢根,但是不能在生成树没有收敛点的情况下输入
一般在你不信任的接口上配置

loopguard 在交换机本身存在环路,交换机收不到bpdu的时候防环

UDLD 单向链路失效
强制让对方回包,不会包就全部挂掉。
duld port aggressive
在光纤下敲。

lxslu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
交换安全技术
bald_and_cute的博客
10-04 1393
针对二层网络的安全技术,包含端口隔离、MAC地址安全、端口安全、MAC地址漂移、MACsec工作机制、交换机流量控制、风暴控制、DHCP Snooping技术、IPSG、DAI
以太网交换安全整体技术的一个思维导图
04-23
以太网交换安全整体技术思维导图 以太网交换安全是网络安全中的一种重要技术,旨在保护以太网交换机和网络设备免受攻击和非法访问。该技术主要涉及到端口隔离、MAC地址表安全安全模式、端口安全、流量控制、报文...
05 以太网交换安全.pptx
01-25
以太网交换安全 以太网交换安全是网络安全中非常重要的一方面。随着网络技术的发展,以太网技术的应用越来越广泛。但是,各种网络攻击的存在,如针对ARP、DHCP等协议的攻击,不仅造成了网络合法用户无法正常访问...
思科局域网交换安全
06-21
Lan Switch Security、思科、思科局域网、网交换安全
网路安全解决方案-H3C 路由交换 安全 大数据 IMC9课.zip
最新发布
03-16
网盘文件永久链接 业软培训 安全培训 交换机 大数据(一) 大数据(二) 安全产品及解决方案 解决方案 路由器产品及解决方案
智能电能表信息交换安全认证.doc
06-17
本标准规范了国家电网公司系统内费控智能电能表的技术要素,对信息交换内容和安全认证流程进行了统一,从而规范费控智能电能表的设计、生产,以便于国家电网公司统一招标、统一采购、检验及指导用户的使用。
交换安全(局域网安全
weixin_44597061的博客
07-21 7609
若阅读时看不太懂叙述顺序建议先浏览位于底部的思维导图 MAC攻击 伪造大量虚假MAC地址发送给交换机,让交换机不停学习,将原MAC地址表中的原MAC地址删除,此时交换机转发数据找不到目标MAC地址,此时会进行未知单播帧洪泛 将中间的PC的MAC伪装为对方的MAC地址,但需要不停地发送,否则交换机会重新加载上被攻击方的MAC地址 解决方法: 一一对应捆绑接口与MAC地址,维护一个合法的关系 在接口下...
解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING
weixin_34315485的博客
01-18 316
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。例子:version 12.1no service padservice timestamps debug uptimeservice timestamps log uptime...
1000人 冗余 规模园区网设计(校园网)
果子哥丶的博客
07-19 5646
1000人 冗余 规模园区网设计
锐捷交换机 DHCP snooping
weixin_55444377的博客
12-07 1172
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
华为数通HCIE面试项目题——小企业组网
qq_40909772的博客
04-18 2808
1.VLAN。 2.STP防止环路。 3.Eth-Trunk。 4.网关部署。 5.DHCP。 6.NAT。 7.默认路由,还可以在核心和出口之间跑路由协议。 8.给打印机部署固定IP,手动配,DHCP排除或者DHCP MAC地址和IP绑定。 9.安全技术:DHCP snnoping、ARP攻击防范、端口安全、 IPSG。 ...
DHCP Snooping简介
m0_73258133的博客
11-22 656
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
dhcp snooping
guaiguaigirlma的专栏
12-12 1089
1.如何防止私自架设DHCP服务器?如何禁止客户端自行设置IP地址? 这个两问题,可以通过华为交换机的dhcp snooping和ip source check来实现。在华为2700系列交换机上设置dhcp snooping,可以防止私自架设DHCP服务器(常见的情况是在办公室使用带有DHCP功能的无线路由器),具体设置方法在之前的博文中有记录。启用dhcp snooping之后,在vlan视图
动态ARP检测原理及应用
正月十六工作室
06-25 8505
动态ARP检测原理及应用 在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCP snooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1、 DHCP snooping原理 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来
华为DHCP Snooping原理及其实验配置
热门推荐
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
以太网交换安全详解:核心技术与应用
以太网交换安全在现代网络环境中扮演着至关重要的角色,随着以太网技术的广泛应用,网络安全问题日益突出,尤其是针对ARP、DHCP等协议的攻击。这些攻击可能导致合法用户的网络访问受限,并对整体网络信息安全构成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值