思科ccie和华为hcie都要知道的以太网交换机安全功能介绍-ielab实验室

于 2020-11-09 13:40:23 发布
阅读量333 收藏
点赞数
分类专栏: ccie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spccie/article/details/109575912
版权

思科ccie和华为hcie都要知道的以太网交换机安全功能介绍-ielab实验室,交换机作为局域网中最常见的设备,在安全上面临着重大威胁。这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机;有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。

针对交换机的攻击有以下几类:

  1. 交换机配置/管理的攻击
  2. MAC泛洪攻击
  3. DHCP欺骗攻击
  4. MAC和IP欺骗攻击
  5. ARP欺骗
  6. VLAN跳跃攻击
  7. STP攻击
  8. VTP攻击
  • 交换机的访问安全

为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全

  1. 使用合格的密码
  2. 使用ACL,限制管理访问
  3. 配置系统警告用语
  4. 禁用不需要的服务
  5. 关闭CDP
  6. 启用系统日志
  7. 使用SSH替代Telnet
  8. 关闭SNMP或使用SNMP V3
  • 交换机的端口安全

交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的,MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。

  • DHCP Snooping——防DHCP欺骗

当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

1、dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

2、与交换机DAI的配合,防止ARP病毒的传播。

3、建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。

4、通过建立信任端口和非信任端口,对非法DHCP服务器进行隔离,信任端口正常转发DHCP数据包,非信任端口收到的服务器响应的DHCP offer和DHCPACK后,做丢包处理,不进行转发。

四、DAI——防止ARP欺骗

动态ARP检查(Dynamic ARP Inspection, DAI)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的"ARP请求和应答信息。DAI基于DHCP Snooping来工作,DHCP Snooping监听绑定表,包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP) ,确保应答来自真正的MAC所有者。交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。

DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接受到的,就不需要做任何检查;如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,,DHCP Snooping 对于DAI来说也成为必不可少的。DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARP access-list的方法实现。

另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。思科ccie和华为hcie都要知道的以太网交换机安全功能介绍-ielab实验室

ie-lab网络实验室ccie认证之家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
网工知识角|掌握MPLS协议从这五个方面入手
09-01 309
例如,MPLS VPN 的底层技术为 MPLS,它需要复杂的配置和运维,需要高精度的时钟同步,对网络设备的要求比较高;MPLS VPN 技术可以用于构建企业全网 VPN,通过建立专用网络隧道,实现异地办公、数据传输、语音、视频等多种业务的安全、高效传输,极大地提高了企业的业务效率。总之,MPLS VPN 是一种高效、安全、灵活的网络技术,可以为企业、ISP 等用户提供以标签为基础的 VPN 服务,为用户间的通信建立起可靠的连接,实现了高效的数据传输和安全的通信。三、MPLS VPN的应用有哪些?
博客
网络地址转换NAT-动态NAT的使用范围和配置-思科EI,华为数通
08-25 1556
当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址一对一的转化。一般是我们公司内网中有设备需要去访问我们公网,我们就必须要做一个NAT地址转换,把我们私网的IP地址转换成我们公网的IP地址,这时,就需要使用动态NAT了,使用地址池中的公网地址进行IP地址转换,去访问我们的公网,下文是一个例子。是可以使用的地址,作为我们的地址池进行绑定,并给出可以上网的网段信息,可以使用访问控制列表进行过滤。,划出一段地址池,根据拓扑中给出的信息是从。
博客
OSPF在广播类型的网络拓扑中DR和BDR的选举
08-15 1548
按照要求配置,首先正常配置OSPF的基础命令,保证在修改DR和 BDR之前全网互通,配置完成之后再去测试连通性,全部测试完毕之后,修改我们的DR和BDR,查看我们修改之后的DR和BDR设备是否成功达到我们的要求。DR、BDR是终身制,不能被抢占的,这一知识点也是比较奇怪的,我们上面说了DR/BDR是选取出来的,理论上在一个LAN上,应该是优先级最大的路由器被选取为DR的。这时,为了满足要求,让R2成为10.1.1.0 网段的DR,可以修改R2的router-id,改为22.22.22.22。
博客
IELAB-网络工程师的路由答疑10问(2)
08-08 372
DV 型路由协议一般交互的是路由信息,而LS 型路由协议比较特殊,交互的是LSA或者LSP,最终,交互形成LSDB,也就是数据库。路由协议最后比较重要的内容就是我们所说的环路防护和更新安全,一般路由协议都支持MD5的认证方式,以及环路防护的原则,DV型路由协议中水平分割、LS型路由协议通过本身的算法计算出一个无环的树形结构,产生最终的计算结果。因此,对于每一种路由协议而言,如何计算路由信息,采取何种方式进行计算,也就是路由协议采取的算法、度量所选取的参数以及如何计算,就十分钟重要了。
博客
IELAB-网络工程师的路由答疑10问(1)
08-04 306
首先,网络层的作用之一是进行了网络划分,而IP地址的构成也分为网络位以及主机位,网络位的不同,就好比在互联网进行的行政区域划分一样。那么,路由是什么呢?事实上,将数据从数据源转发到目标网络的过程,或者将数据在不同网络中传递的过程,就可以称之为路由。静态路由,通过管理员手工指定的路径,通常来讲,叫做”千金难买我愿意”,不过有节操的管理员,一般都会根据实际情况去部署,而不会随意书写。将数据转发到目标网络的方式,指定从本地某个接口转发出去,或者通过某个下一跳到达目标网络,也就是常说的出接口,下一跳,两种方式。
博客
昨晚技术交流群“炸了”,论搞技术的网络工程师究竟能有多严谨?
06-09 581
昨日在IELAB网络实验室学习交流群中发生了一场“激烈”的争论,原本是同往常一样的答题领红包活动,同学对答案产生了异议,从而和Summer赵老师在群里进行了沟通交流,具体是什么情况呢?再次不死心,使用Bing国际版查询了下,国外也一样两种说法都有,在此也就不贴出来了。能够互相说服的方法,我认为有以下两种方式:一,有没有大神能找到一些开源的交换机程序代码查看一下代码逻辑,二,想法发抓包出来看。终于做完了,花了两个小时左右的时间,更多的时间都花在了查ACCESS接口能不能加TAG上面了。
博客
8个华为设备常用的Python脚本,你都会配置使用吗? -HCIE HCIP HCIA
04-24 969
华为设备可以使用Python脚本用于自动化网络管理和监控,可以帮助网络工程师优化并提高工作效率。、使用脚本配置用户名和密码登录华为设备。、使用脚本可查看本设备的ARP缓存表。、使用脚本可查看设备CPU的使用率。、使用脚本可查看设备端口带宽利用率。、使用脚本可查看设备的VLAN信息。、使用脚本可查看设备的MAC地址表。、使用脚本可查看对应接口的信息。、使用脚本可查看设备接口状态。
博客
网络设备割接—七大步骤
04-18 2512
如果发现问题,需要立即采取相应的应对措施,以确保割接过程的安全和稳定,遇到状况外的情况下,可以选择回退操作,至少需要保证不影响业务和设备的正常运行。在任务中,需要考虑到割接过程中可能出现的问题和风险,并制定相应的应对措施,也需要确定割接的人员、时间和地点。在确定割接方案之前,这些内容是我们需要去了解的,可以有效的帮助到网络工程师了解网络的整体架构,以及哪些设备需要进行割接。需要把操作记录完成,可以帮助其他操作人员了解网络设备和系统的情况,以及割接过程的细节和结果。初步定义需要割接的设备和范围。
博客
网工必知—什么是堡垒机?-CCIE
04-11 1109
堡垒机是一种安全性很高的远程管理方式。它可以帮助企业有效避免内部人员的恶意操作,保障企业的信息安全。
博客
18个基础命令教你轻松拿捏华为设备的各种状态!(下) -HCIE 华为网络工程师
04-03 894
10、display memory-usage process vrp 用来查看当前VRP进程内存占用率的统计信息 命令格式 display memory-usage process vrp [ slave ] 使用示例 <Huawei> display memory-usage process vrp Memory utilization statistics at 2013-07-10 09:55:20 729 ms The current memory of
博客
18个基础命令教你轻松拿捏华为设备的各种状态!-HCIA HCIP
03-27 1228
1、display cpu-usage: 用来查看设备CPU占用率的统计信息 命令格式 <Huawei>display cpu-usage ? configuration Cpu usage configration slot Slot <cr> Please press ENTER to execute command 使用示例 <HUAWEI> display cpu-usage CPU
博客
经常使用思科设备,这十个命令一定是“最常见的熟客”!
03-20 677
当你需要在路由器交换机设备上直接查看抓包信息时,可以使用debug命令,例如,查看OSPF发送的报文信息,可以通过debug ip ospf packet进行查看,由于打开之后会有很多报文出现,所以可以使用no debug命令或undebug all命令关闭此功能。”命令时,我们可以通过它来查询后续的命令,因为我们不可能记住所有的命令,有时候只能记住某个命令的开头,那么这个时候“?”命令就非常好用了。我们在调试思科设备时,会使用各种各样的命令去调试配置,但在每一种命令中,哪些命令使用最频繁你知道吗?
博客
100个网络运维工作者必须知道的小知识!(下)
03-13 562
然而,随着越来越多的设备连接到它,它将无法有效地管理通过它的流量。对于A类,有126个可能的网络和16,777,214个主机对于B类,有16,384个可能的网络和65,534个主机对于C类,有2,097,152个可能的网络和254个主机。相反,将LAN连接到中转网络的网关创建了一个使用IPSec协议来保护通过它的所有通信的虚拟隧道。这样做的主要目的是在一台服务器发生故障的情况下,集群中的下一个服务器将继续进行所有处理。另一个缺点是,当需要在网络的特定部分进行调整和重新配置时,整个网络也必须被暂时关闭。
博客
100个网络运维工作者必须知道的小知识!(上)
03-10 924
这些确保内部网络之间不存在任何冲突,同时私有IP地址的范围同样可重复使用于多个内部网络,因为它们不会“看到”彼此。您可以为计算机分配限制,例如允许访问的资源,或者可以浏览互联网的某一天的特定时间。这是因为互联网上的主机只能看到提供地址转换的计算机上的外部接口的公共IP地址,而不是内部网络上的私有IP地址。不知道正确的IP地址,甚至无法识别网络的物理位置。数据封装是在通过网络传输信息之前将信息分解成更小的可管理块的过程。是一个Windows实用程序,可用于跟踪从路由器到目标网络的数据采集的路由。
博客
网络工程师测试命令排行榜,快来看一看吧! -ccie网络工程师
02-10 731
网络上出现路由环路时,使用Ping命令只能看到超时,而使用Tracert就可以明确看到或发现路由环路等问题,在追踪某IP地址时,如果多次出现相同的地址,即可认为出现了路由环路;比如你想跟踪某一IP地址,想看到具体的跟踪路径地址,就可以使用 Tracert 进行查看,当网络反应慢或该节点被隐藏时,返回的数值就是请求超时。如果超时那么肯定是网络有问题(除被过滤ping的情况),如果延迟太高,网络情况也是有一些问题存在的,所以当出现网络故障的时候,我们就可以用ping命令来进行简单查看。
博客
20个网络工程师必学基础知识点【第二集】
12-28 906
防火墙(Firewall)是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。IP地址一共分为5类,A、B、C、D、E类的类别字段分别是二进制数0、10、110、1110、1111,通过网络号码字段的前几个比特就可以判断IP地址属于哪一类,这是区分各类地址最简单的方法。E类地址专门用于特殊的实验目的。不知道正确的 IP 地址,甚至无法识别网络的物理位置。
博客
20个网络工程师必学基础知识点【第一集】-就在IELAB
12-26 1254
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。局域网就是局部地区形成的一个区域网络,其特点就是分布地区范围有限,可大可小,大到一栋建筑楼 与相邻建筑之间的连接,小到可以是办公室之间的联系。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。路由器(Router)是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
博客
常用的网络号端口大全,网工必备-EICCIE,SPCCIE
12-19 1522
入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。说明:这是一种仅仅发送字符的服务。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。
博客
常用的模拟器全集 网工必备-网络工程师(思科,华为)
12-06 2235
1 gns3GNS3是想要通过CCNA,CCNP等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟的网络虚拟软件。2 enspENSP是华为提供的网络仿真工具平台,让用户在没有真实设备的情况下能够模拟演练,学习网络技术。3 EVEEVE是仿真虚拟环境,能够模拟华为、思科等厂商设备,可以重现和改进真实网络架构,从而要求并计划正确的设计来验证解决方案4 Cisco Packet TracerCisco Packet Tracer 是Cisco公司发布的一个辅助学习工具,为初学者去设计、配置、排除网络故
博客
Linux基础必备的100 个命令,你都知道吗?
12-06 3556
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 命令功能说明线上查询及帮助命令man查看命令帮助,命令的词典,更复杂的还有 info,但不常用。help查看 Linux 内置命令的帮助,比如 cd 命令。文件和目录操作命令ls全拼 list,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值