如何保证链路和网络安全呢,一起来研究一下吧

方法

  • 1
    端口安全
    cisco交换机提供一种基于mac表且送过述地址控制端口访问权限的安全具祖激来程必妒余性,端口安全能够基于mac地址进行流量限制,可以设定端口允许接入的主机数鱼且烈组生害述苦课光洲量(即端口允许的处于活跃的mac地址数),也可以手动在端死县心宁口设置mac地址,只有被绑定的mac地址的流量才被转发。
    端口安全实际是一种网络接入的验证,只有符合设置规则的才能接入局域网,避免未授权的客户端接入网络,使用端口安全可以实现如下功能
    >基于mac地址限制,允许用户端流量
    >避免mac地址扩散攻击
    >避免mac地址欺骗攻击
  • 2
    交换机端口安全的配置
    启动交换机端口安全特性
    sw来自itch(config-if)#switchport port-security
    需要注意:启用端新载立企破规答口安全的借口不能是念岁吸激却费动态协商模式,必须配置借口为接入或干道模式
    配置允许访问网络的mac地址
    switch(c360新知onfig-if)#switchportport-security maximum {maximum a点字女价局额完盟鸡ddresses}
    配置静态绑定的mac地址,配置的静态绑定的mac地址必须小于等于端口允许的最大mac地址数
    switch(config-if)#switchportport-security mac-address {h.h.h}
  • 3
    配置老化时间(在默认情况下,交换夫此照兵从贵重机不删除借口获得的mac地址,如果连街道同意端口的用户段经常发生变化,而就的mac地址一致保留,这可能导致新连接到端口的客户无法正常通信,weil解决这个问题,可以配置交换机接口老化时间,让交换机合评云香育哥营随得删除一段时间内没有流量的mac地址)
    switch(config-if)#switchport port-security 还脸aging time {time}
    交换机提供两种老化时间到期时自动删除动态获悉的mac地址,
    switch(config-if)#switchport port-security aging type {ab端止向还solute| inactivity}
    启动absolute参数为老化时间到期后,删除所有mac地址并重新学习,inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其mac地址从地址表中删除,需要注意,静态绑定的mac地址可以正如书叫木于友务许使着路常访问网络,并且不受老化时间的影响;
    当然cisco交换机也提供删除静态绑定的mac地址的功能,配置命令如下
    switch(config-if)#switc优杨宁思而适hport port-sec般径都伟着王老财美urity aging static
  • 4
    配置mac地址违规后的策略
    当出现如下情况时,就出现mac地址违规
    >最大安全数目的mac地址表之外的一个新的mac地址访问该端口
    >一个配置在其他端口安全的mac地址试图访问这个端口
    当出现违规境况时,有三种处理方式,配置命令如下。
    switch(config-if)#switchport port-security violation {protect| restrict | shutdown}
    protect 将违规的mac地址的分组丢弃,但端口处于up状态,将还击不记录违规分组
    restrict 将违规的mac地址的分组丢弃,端口仍处于up状态,交换机记录违规分组
    shutdown 端口成为err-disabled状态,相当于关闭端口
    ----当处于err-disabled状态的端口,默认情况下端口不会自动恢复,恢复端口状态的方法有两种:
    ~手动恢复:需要进入err-disabled状态的端口,线关闭端口shutdown,然后再开启端口no shutdown,端口恢复位正常状态
    ~自动恢复:设置err-disabled计时器,端口进入err-disabled状态开始计时,计时器超出后端口状态自动恢复
    switch(config-if)#errdisable recovery cause psecure-violation
    switch(config-if)#errdisable recovery interval {time}
  • 5
    配置端口安全的sticky(粘连)特性
    当企业内网所有端口均要启用端口安全时,为每一个端口配置静态绑定的mac地址的工作量是非常大的,这要使用端口的sticky特性,动态地将交换机端口学习到的mac地址转换为sticky mac地址,并将其加入到运行配置中,这样就自动形成了一个端口安全允许的静态mac地址表项,然后保存配置,交换机重启的时候不会重新学习
    switch(config-if)#switchport port-security mac-address sticky
    查看端口安全状态
    switch#show port-security interface fastethernet 0/1
    查看处于err-disabled状态的端口的摘要信息
    switch#show interfaces status err-disabled
    若要清除接口的mac地址或全部端口缓存,可以使用以下命令
    switch#clear port-security dynamic {address mac-addr |interface type mod/num}
    dhcp监听
    dhcp监听(dhcp snooping)是一种保护dhcp服务器的安全机制,它可以过滤来自网络中的主机或其他设备的非信任dhcp报文,以保证客户端能够从正确的dhcp服务器获得ip地址,dhcp监听可以避免dhcp服务器欺骗和dhcp地址耗尽,还可以限制苦护短发送dhcp请求的速率,从而减缓dhcp资源耗尽攻击,cisco交换机支持在每个vlan上启用dhcp监听
    dhcp监听将交换机端口分成两种
    非信任端口:链接终端的端口,该端口客户端只能发送dhcp请求报文,丢弃来自其他端口的dhcp请求报文
    信任端口:链接合法的dhcp服务器或者汇聚端口。
end