資源描述:
《《配置端口安全性》word版》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1�����、配置端口安全性未提供端口安全性的交換機將讓攻擊者連接到系統(tǒng)上未使用的已啟用端口����,并執(zhí)行信息收集或攻擊����。交換機可被配置為像集線器那樣工作,這意味著連接到交換機的每一臺系統(tǒng)都有可能查看通過交換機流向與交換機相連的所有系統(tǒng)的所有網(wǎng)絡(luò)流量��。因此����,攻擊者可以收集含有用戶名、密碼或網(wǎng)絡(luò)上的系統(tǒng)配置信息的流量����。在部署交換機之前�����,應(yīng)保護所有交換機端口或接口��。端口安全性限制端口上所允許的有效MAC地址的數(shù)量���。如果為安全端口分配了安全MAC地址,那么當(dāng)數(shù)據(jù)包的源地址不是已定義地址組中的地址時�����,端口不會轉(zhuǎn)發(fā)這些數(shù)據(jù)包�。如
2、果將安全MAC地址的數(shù)量限制為一個��,并為該端口只分配一個安全MAC地址���,那么連接該端口的工作站將確保獲得端口的全部帶寬���,并且只有地址為該特定安全MAC地址的工作站才能成功連接到該交換機端口。如果端口已配置為安全端口��,并且安全MAC地址的數(shù)量已達到最大值,那么當(dāng)嘗試訪問該端口的工作站的MAC地址不同于任何已確定的安全MAC地址時���,則會發(fā)生安全違規(guī)�。下面總結(jié)了這些要點�����?��?偟貋碚f�����,在所有交換機端口上實施安全措施,可以實現(xiàn)以下目的����。在端口上指定一組允許的有效MAC地址。在任一時刻只允許一個MAC地址訪問端口
3�����、���。指定端口在檢測到未經(jīng)授權(quán)的MAC地址時自動關(guān)閉�����。配置端口安全性有很多方法��。下面描述可在Cisco交換機上配置端口安全性的方法�����。靜態(tài)安全MAC地址:靜態(tài)MAC地址是使用switchportport-securitymac-addressmac-address接口配置命令手動配置的�。以此方法配置的MAC地址存儲在地址表中,并添加到交換機的運行配置中�。動態(tài)安全MAC地址:動態(tài)MAC地址是動態(tài)獲取的,并且僅存儲在地址表中��。以此方式配置的MAC地址在交換機重新啟動時將被移除����。粘滯安全MAC地址:可以將端口配
4、置為動態(tài)獲得MAC地址�,然后將這些MAC地址保存到運行配置中。粘滯安全MAC地址有以下特性�。當(dāng)使用switchportport-securitymac-addresssticky接口配置命令在接口上啟用粘滯獲取時,接口將所有動態(tài)安全MAC地址(包括那些在啟用粘滯獲取之前動態(tài)獲得的MAC地址)轉(zhuǎn)換為粘滯安全MAC地址�,并將所有粘滯安全MAC地址添加到運行配置。如果使用noswitchportport-securitymac-addresssticky接口配置命令禁用粘滯獲取,則粘滯安全MAC地址仍作為
5����、地址表的一部分,但是已從運行配置中移除����。已經(jīng)被刪除的地址可以作為動態(tài)地址被重新配置和添加到地址表。如果使用switchportport-securitymac-addressstickymac-address接口配置命令配置粘滯安全MAC地址時�,這些地址將添加到地址表和運行配置中。如果禁用端口安全性�����,則粘滯安全MAC地址仍保留在運行配置中��。如果將粘滯安全MAC地址保存在配置文件中�,則當(dāng)交換機重新啟動或者接口關(guān)閉時�����,接口不需要重新獲取這些地址����。如果不保存粘滯安全地址,則它們將丟失。如果粘滯獲取被禁用����,
6、粘滯安全MAC地址則被轉(zhuǎn)換為動態(tài)安全地址��,并被從運行配置中刪除����。如果禁用粘滯獲取并輸入switchportport-securitymac-addressstickymac-address接口配置命令,則會出現(xiàn)錯誤消息���,并且粘滯安全MAC地址不會添加到運行配置�����。當(dāng)出現(xiàn)以下任一情況時�,則會發(fā)生安全違規(guī)����。地址表中添加了最大數(shù)量的安全MAC地址,有工作站試圖訪問接口��,而該工作站的MAC地址未出現(xiàn)在該地址表中���。在一個安全接口上獲取或配置的地址出現(xiàn)在同一個VLAN中的另一個安全接口上���。根據(jù)出現(xiàn)違規(guī)時要采取的操
7�、作�,可以將接口配置為3種違規(guī)模式之一。保護:當(dāng)安全MAC地址的數(shù)量達到端口允許的限制時���,帶有未知源地址的數(shù)據(jù)包將被丟棄����,直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)����。不會得到發(fā)生安全違規(guī)的通知。限制:當(dāng)安全MAC地址的數(shù)量達到端口允許的限制時��,帶有未知源地址的數(shù)據(jù)包將被丟棄����,直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)�。在此模式下,您會得到發(fā)生安全違規(guī)的通知���。具體而言就是�,將有SNMP陷阱發(fā)出、syslog消息記入日志�,以及違規(guī)計數(shù)器的計數(shù)增加。關(guān)閉:在此模式下�,端口安全違規(guī)將造
8、成接口立即變?yōu)殄e誤禁用(error-disabled)狀態(tài)�,并關(guān)閉端口LED。該模式還會發(fā)送SNMP陷阱����、將syslog消息記入日志,以及增加違規(guī)計數(shù)器的計數(shù)����。當(dāng)安全端口處于錯誤禁用狀態(tài)時,先輸入shutdown再輸入noshutdown接口配置命令可使其脫離此狀態(tài)�����。此模式為默認模式��。各種安全違規(guī)模式的影響如表2-15所示���。表2-15?端口安全違規(guī)模式違規(guī)模式轉(zhuǎn)發(fā)流量發(fā)出SNMP陷阱發(fā)出SYSLOG消息顯示錯誤消息增加違規(guī)計數(shù)器計數(shù)關(guān)閉端口保護否否否否否否限制否是是否
