cisco交换机MAC/CAW***防范
一.前言
本文所提到的***和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些***的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插***,从而进行进一步窃取机密文件。***和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自***或者病毒及蠕虫的***和往往会偏离***和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类***和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。思科针对这类***已有较为成熟的解决方案,主要基于下面的几个关键的技术:
Port Security feature
DHCP Snooping
Dynamic ARP Inspection (DAI)
IP Source Guard
下面部分主要针对目前非常典型的二层***和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”***、 MAC/CAM ***、 DHCP ***、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的交换机端口;防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
二.实例
1 MAC/CAM***的防范
1.1 MAC/CAM***的原理和危害
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM ***是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时***者可以利用各种嗅探***获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
1.2典型的病毒利用MAC/CAM***案例
曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址,构造假目标 MAC 来填满交换机 CAM 表。其特征如下图所示:
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3使用 Port Security feature 防范MAC/CAM***
思科 Port Security feature 可以防止 MAC 和 MAC/CAM ***。通过配置 Port Security 可以控制:
l 端口上最大可以通过的 MAC 地址数量
l 端口上学习或通过哪些 MAC 地址
l 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
l Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
l Protect 。丢弃非法流量,不报警。
l Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.4配置
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置 port-security 最大 mac 数目,违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
1.5使用 其它技术 防范MAC/CAM***
除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。
转载于:https://blog.51cto.com/fendou929/1151661
cisco交换机MAC/CAW***防范相关推荐
- 刷新mac地址命令_配置好Cisco交换机需要熟悉IOS命令及相关的知识
一.几种配置命令模式 switch> 这种提示符表示是在用户命令模式,只能使用一些查看命令. switch# 这种提示符表示是在特权命令模式. switch(config)# 这种提示符表示是全 ...
- Cisco交换机解决网络蠕虫病毒***问题
Cisco交换机解决网络蠕虫病毒***问题 今年来网络蠕虫泛滥给ISP和企业都造成了巨大损失,截至目前已发现近百万种病毒及***.受感染的网络基础设施遭到破坏,以Sql Slamme ...
- Cisco交换机端口安全介绍
Cisco交换机端口安全 通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全. 配置网络安全时应该注意如下问题: 1.下面四种 ...
- CISCO交换机配置命令大全
CISCO交换机配置命令大全 1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switc ...
- python备份cisco交换机_Python备份Cisco交换机配置 | CN-SEC 中文网
最近帮同事写一段关于导出cisco交换机的脚本,发现网上的资料不是太多,仅有的几个也有不少错误,这里分享一个python操作cisco交换机的库. 经过对网上的资料查找,发现如下几个库,吐槽一下百度搜 ...
- Cisco交换机实现端口安全与帮定
通过几天的实际调试,借鉴了前辈的经验,同时总结自己的调试心得,总结如下: 1.Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定. 2. Cisco3550以上交换机均可做基 ...
- 《Cisco交换机配置与管理完全手册》(第二版)前言和目录
史上最具人气.最受好评的网络设备图书领域"四大金刚"的全新升级版本再现江湖了,他们分别是:<Cisco交换机配置与管理完全手册>(第二版).<H3C交换机配置与管 ...
- 开发CISCO交换机管理软件
最近在单位管理Cisco交换机时候,要帮用户开关因特网,登记计算机台帐.开关因特网工作原先都是由网管使用Telnet方式连接到交换机或路由器上去管理,然后网管作相应记录,有时网管忘了登记,就会造成台帐 ...
- H3C交换机MAC VLAN原理及配置示例
对于不是很常用的MAC VLAN,许多读者都感到很陌生,读者QQ群中也经常见到有读者提到这方面的问题,希望我给予解答.现从笔者编著,目前在全国热销的<Cisco/H3C交换机配置与管理完全手册& ...
最新文章
- 【Linux】eclipse juno 边框过大的调整方法
- Linux中如何恢复被误删的数据文件
- python怎么复制上面的语句_JAVA、python、Go的复制语句
- java泛型解析(转)
- 利用openssl来计算sha256哈希值
- Simple Web Server
- Mybatis配置信息浅析 MyBatis简介(二)
- js判断手指的上滑,下滑,左滑,右滑,事件监听
- TCP拥塞控制算法内核实现剖析(一)
- Ubuntu_扩容后没有作用——解决办法是要重新分区
- 药用计算机题目,医用计算机基础_超星尔雅_题库及答案
- 三菱伺服驱动器MR-J2S 70A伺服驱动器电源驱动板图纸
- R语言 相关性的显著性检验
- 更为详细的Txtsetup.sif文件解释
- GDI+ 绘图闪烁解决方法
- 严重: 异常将上下文初始化事件发送到类的侦听器实例.[org.springframework.web.co
- Win10小娜关闭或删除进程
- 高位缩量横盘的实战价值
- 学生老师的家教服务平台小程序制作
- python处理ps_python中怎么像PS一样处理图像
热门文章
- mysql 5.6 之 GTID 复制介绍
- Windows Server 2016-Hyper-V HNV 新增功能
- BCH升级在即,什么是OP_CHECKDATASIG和Canonical Transaction Ordering(一)
- React Native Fetch封装那点事...
- Caused by: java.net.UnknownHostException: localhost.localdomain: localhost.localdomain的问题解决...
- Spring4+Springmvc+quartz实现多线程动态定时调度
- 天时、地利、人和,技术成熟推动闪存联盟2.0落地
- mysql利用init-connect增加访问审计功能的实现
- 一个JAVA WEB伪全栈的VUE入坑随笔,从零点零五学起
- 有人问我:Linux下命令行里 password:的时候 用键盘密码打不了