Port Security:没有绝对安全的系统
这篇文章是我一个月之前在我的公众号上发布的,故图片带有水印,个人公众号名称即水印名称
这篇我们主要Port Security在实际中的应用,基于这个前提,我们首先要了解,什么是IP地址欺骗:
IP地址欺骗:就是客户端使用自己配置的IP地址冒充其他客户端或网络管理员,对其他用户、设备、服务器等进行非法操作,他主要是利用自行配置IP地址来实现
面对这么多安全隐患,安全工程师又是如何进行防范的呢?
对于这种隐患,我们可以开启 端口安全(Port Security),下面我们将学习端口安全的作用
在交换机上开启端口安全有什么作用呢?
1.基于MAC地址限制、允许客户端流量避免
2.MAC地址扩散***
3.避免MAC地址欺骗***(主机使用虚假MAC地址发送非法数据)
那么,我们该如何进行相关配置呢?
第一步,启用交换机端口安全特性,在相应接口输入以下命令
Switch(config-if)#switchport port-security
启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入或干道模式,即必须mode trunk/access一下
第二步,配置允许访问网络的MAC地址
1.配置接口允许的最大活跃地址数量
Switch(config-if)#switchport port-security maximum { max-addr}
max-addr参数的范围是1~8192,在默认情况下为1
2.配置静态绑定的MAC地址
Switch(config-if)#switchport port-security mac-address { mac-addr}
mac-addr为静态绑定的MAC地址
第三步,配置老化时间
原因:如果同一端口主机经常变化,而旧MAC地址一直保留,这可能导致新连接到端口的客户无法正常通讯
配置交换机接口老化时间,让交换机删除一段时间内没有流量的MAC地址,命令如下
Switch(config-if)#switchport port-security aging time { time }
time参数范围是1~1440分钟,默认为0表示不删除
Switch(config-if)#switchport port-security aging type { absolute | inactivity }
absolute参数为老化时间到期后,删除所有MAC地址并重新学习
inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除
Switch(config-if)#switchportport-security aging static
默认情况下静态绑定的MAC地址并不受老化时间的影响,Cisco交 换机也可让静态绑定的MAC地址老化
第四步,配置MAC地址违规后的策略
MAC地址违规有下面两种情况
1.最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口
2.一个配置为其他接口安全MAC地址的MAC地址试图访问这个端口
Switch(config-if)#switchportport-security violation { protect |restrict |shutdown }
上面这段命令的意思是,当出现违规情况时,有三种处理方式
1.shutdown:端口成为err-disable状态,相当于关闭端口,是默认处理方式
2.protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组
3.restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组(相当于计入征信)
若端口进入err-disable状态时,恢复接口状态的方法
第一种:手动恢复,进入该端口,先shutdown端口,然后再no shutdown端口,即可恢复为正常状态
第二种:自动恢复,设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复,命令如下
Switch(config)#errdisable recovery cause psecure-violation
psecure-violation 为出现err-disable状态的原因
Switch(config)#errdisable recovery interval { time }
time为恢复时间间隔
注:err-disable状态的端口,默认情况下不会自动恢复
但是,如果所在企业的网络规模非常的大,我们手动去绑定地址的办法就有点不太现实了,所以说,这个时候我们需要用到端口安全的sticky(粘连)特性,sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中,形成绑定关系,命令如下
Switch(config)#switchport port-security mac-address sticky
到这一部,咱们的配置就已经全部完成了,下面请看配置案例
转载于:https://blog.51cto.com/13286294/2073538
Port Security:没有绝对安全的系统相关推荐
- port security violation protect retrict shutdown 之具体解释
2007-07-30 12:32 可以通过 port-security 来限制端口所接PC个数 但对具体超出限制的行为应采取什么动作呢? 可以通过命令port-security violation ...
- java oauth sso 源码_基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践
概 述 在前文<基于Spring Security和 JWT的权限系统设计>之中已经讨论过基于 Spring Security和 JWT的权限系统用法和实践,本文则进一步实践一下基于 Sp ...
- Spring Security OAuth2.0认证授权知识概括
Spring Security OAuth2.0认证授权知识概括 安全框架基本概念 基于Session的认证方式 Spring Security简介 SpringSecurity详解 分布式系统认证方 ...
- Spring Security OAuth2 SSO 单点登录
基于 Spring Security OAuth2 SSO 单点登录系统 SSO简介 单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自 ...
- NSX从入门到精通(1):NSX介绍-系统工程师篇(原创: 张敏 nsx很可爱的)
觉得有必要来一个从入门到精通,从第一次接触NSX到现在已经有三年时间,还记得我第一次自觉学习NSX的时候,竟然翻到了一年前听NSX讲堂的笔记,那些内容足够深足够细,然而我都不记得了,原因就是在于没有体 ...
- Spring Security OAuth2.0认证授权
文章目录 1.基本概念 1.1.什么是认证 1.2 什么是会话 1.3什么是授权 1.4授权的数据模型 1.4 RBAC 1.4.1 基于角色的访问控制 2.基于Session的认证方式 3.整合案例 ...
- Spring Security并没有那么难嗷 简单理解OAuth2.0
文章目录 1. 基本概念 1.1 什么是认证 1.2 什么是会话 1.3 什么是授权 1.4 授权的数据模型 1.5 RBAC 1.5.1 基于角色的访问控制 1.5.2 基于资源的访问控制 2. 基 ...
- Spring Security快速上手
Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架. 由于它是Spring生态系统中的一员,因此它伴 ...
- CLEARTEXT communication to xxx not permitted by network security policy
2019独角兽企业重金招聘Python工程师标准>>> Android P http网络请求不通,报出异常:java.net.UnknownServiceException: CLE ...
最新文章
- 在Ubuntu 12.04 64bit上搭建Crtmpserver视频点播服务
- 源码安装zabbix3.2.7时PHP ldap Warning
- NumPy - np.linspace()
- druid字段级_Druid的数据结构
- QC使用流程(1)之安装篇
- cuckoo沙箱常见报错总结
- 13 不可能为条目xxxx GBB xxxx BSA xxxx确立账户
- Redis的几种拓展方案,你都清楚吗?
- js系列教程12-浏览器存储全解
- 值得关注:Ubuntu 14.04服务器版提供了虚拟化、自动化、存储相关更新
- 金蝶云星空python二开根据物料旧编码链接物料编码做单据
- win7剪切板_Win7系统打开剪切板windows找不到clipbrd.exe文件如何解决?
- 轻松安装、卸载Linux软件
- 用matlab语言实现下面的分段函数,分段函数的运算与可视化的MATLAB实现
- 等保测评(linux)
- NXP MCU CAN波特率(位时间)配置详解
- kindle运行linux命令,Kindle4: 编译并运行官方linux kernel – v2.6.31
- 评估人-自主系统团队通信的方法(1)
- sql注入绕过姿势--骚姿势大全
- 配置FCKeditor出现严重问题,调试时报错: