DAY 5
使用工具
虚拟机VMware® Workstation 15 Pro
版本15.5.6 build-16341506
EVE-STUDENT-2.0.3-95_JAN_2019.ova镜像模拟器
学习内容:
1.AAA认证基础知识
2.端口安全(MAC地址泛洪攻击防御)
文章目录
part1: AAA认证基础知识
AAA framework overview:
认证
授权
审计
本地认证:将用户信息配置到设备上。优点:认证速度快,可降低运营成本。缺点:在设备上的存储信息受到限制。
远端认证:支持通过RADIUS协议或hwtacacs协议进行远端认证,设备(quidway)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可采用标准或扩展的radius协议。
举例:部署aaa的认证列表
在R2上打开aaa认证功能,并建立认证列表
认证列表的逻辑图:
配置如下:
建立名为CCIE的服务器集群,使用RADIUS协议
r2(config)#aaa new-model//开启AAA
r2(config)#radius server ccna//求助服务器的名字
r2(config-radius-server)#address ipv4 8.8.8.2//求助服务器的IP
r2(config-radius-server)#key 123//跟求助服务器的之间的密码
r2(config)#radius server ccnp
r2(config-radius-server)#address ipv4 9.9.9.2
r2(config-radius-server)#key 456
r2(config)#aaa group server radius ccie//创建radius集群
r2(config-sg-radius)#server name ccna//集群中添加服务器
r2(config-sg-radius)#server name ccnp
建立名为HCIE的服务器集群,使用TACACS+协议
r2(config)#tacacs server hcia
r2(config-server-tacacs)#address ipv4 6.6.6.2
r2(config-server-tacacs)#key 1
r2(config)#tacacs server hcip
r2(config-server-tacacs)#address ipv4 7.7.7.2
r2(config-server-tacacs)#key 2
r2(config)#aaa group server tacacs+ hcie
r2(config-sg-tacacs+)#server name hcia
r2(config-sg-tacacs+)#server name hcip
增加本地认证
r2(config)#aaa authentication login cisco group ccie group hcie local//认证列表加上本地认证
建立名为cisco的认证列表
r2(config)#aaa authentication login cisco group ccie group hcie//定义认证列表cisco
r2(config)#lin vty 0 4
r2(config-line)#transport input telnet
r2(config-line)#login authentication cisco
r2(config)#username node password 123
part2:端口安全(MAC地址泛洪攻击防御)
什么是mac地址泛洪攻击?
交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,充满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。
mac地址泛洪攻击前提:交换机对于未知单播帧会进行广播(MAC表满后出现的情况)
防御方法
1.限制一个接口下学习的MAC地址的数量
实例:
在上图中各个PC机相互之间通讯后就会在交换机的mac地址表下留下记录
在交换机上输入 Switch#show mac address-table
可查看mac表
现在限制交换机e0/0接口的学习数量
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access //接口改为接入模式
Switch(config-if)#switchport port-security //开启端口安全功能
Switch(config-if)#switchport port-security maximum 1//设置接口学习的MAC数量为1
Switch(config-if)#switchport port-security violation protect//设置违规动作为保护(丢弃违规的数据帧)
查看结果,分别用PC5和PC6与PC7通讯
结果为PC5先pingPC7结果为通
然而PC6ping不通PC7,因为e0/0端口只学习一个MAC地址,PC6的操作属于违法,交换机会将其丢弃
现在查看合法的地址
Switch#show port-security address //查看合法地址
交换机还可以设置更多的违规操作动作,比如发现违规操作会报警
Switch(config-if)#switchport port-security violation restrict //设置违规动作为限制(丢弃违规的数据帧,告警)
也有更高级的操作,比如报警后关闭接口,该接口关闭后可以设置为需要手动开启或者定时开启
Switch(config-if)#switchport port-security violation shutdown//设置违规动作为关闭(丢弃违规的数据帧,告警,关闭接口)
Switch#show interfaces e0/0
Switch(config)#int e0/0
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
err-disabled,接口可以自动恢复,自动恢复功能需要手工开启,或者接口关闭再打开可以恢复
Switch#show errdisable recovery //查看errdisable信息
Switch(config)#errdisable recovery interval 30//调整errdisable恢复时间为30S
Switch(config)#errdisable recovery cause psecure-violation //开启端口安全自动恢复
635
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
