如何保证链路和网络安全呢 , 一起来研究一下吧
【如何保证链路和网络安全】
文章插图
如何保证链路和网络安全1、端口安全Cisco交换机提供一种基于MAC地址控制端口访问权限的安全性 , 端口安全能够基于MAC地址进行流量限制 , 可以设定端口允许接入的主机数量(即端口允许的处于活跃的MAC地址数) , 也可以手动在端口设置MAC地址 , 只有被绑定的MAC地址的流量才被转发 。端口安全实际是一种网络接入的验证 , 只有符合设置规则的才能接入局域网 , 避免未授权的客户端接入网络 , 使用端口安全可以实现如下功能:>基于MAC地址限制 , 允许用户端流量>避免MAC地址扩散攻击>避免MAC地址欺骗攻击
文章插图
2、交换机端口安全的配置启动交换机端口安全特性Switch(config-if)#switchport port-security需要注意:启用端口安全的借口不能是动态协商模式 , 必须配置借口为接入或干道模式配置允许访问网络的MAC地址Switch(config-if)#switchportport-security maximum{Maximum addresses}配置静态绑定的Mac地址 , 配置的静态绑定的MAC地址必须小于等于端口允许的最大MAC地址数Switch(config-if)#switchportport-security mac-address{H.H.H}
文章插图
3、配置老化时间(在默认情况下 , 交换机不删除借口获得的MAC地址 , 如果连街道同意端口的用户段经常发生变化 , 而就的MAC地址一致保留 , 这可能导致新连接到端口的客户无法正常通信 , Weil解决这个问题 , 可以配置交换机接口老化时间 , 让交换机删除一段时间内没有流量的MAC地址)Switch(config-if)#switchport port-security aging time {time}交换机提供两种老化时间到期时自动删除动态获悉的Mac地址 , Switch(config-if)#switchport port-security aging type {absolute| inactivity}启动absolute参数为老化时间到期后 , 删除所有MAC地址并重新学习 , inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量 , 就将其MAC地址从地址表中删除 , 需要注意 , 静态绑定的MAC地址可以正常访问网络 , 并且不受老化时间的影响;当然Cisco交换机也提供删除静态绑定的MAC地址的功能 , 配置命令如下Switch(config-if)#switchport port-security aging static
文章插图
4、配置MAC地址违规后的策略当出现如下情况时 , 就出现MAC地址违规>最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口>一个配置在其他端口安全的Mac地址试图访问这个端口当出现违规境况时 , 有三种处理方式 , 配置命令如下 。Switch(config-if)#switchport port-security violation {protect| restrict | shutdown}protect 将违规的MAC地址的分组丢弃 , 但端口处于up状态 , 将还击不记录违规分组restrict 将违规的MAC地址的分组丢弃 , 端口仍处于up状态 , 交换机记录违规分组shutdown 端口成为err-disabled状态 , 相当于关闭端口----当处于err-disabled状态的端口 , 默认情况下端口不会自动恢复 , 恢复端口状态的方法有两种:~手动恢复:需要进入err-disabled状态的端口 , 线关闭端口shutdown , 然后再开启端口no shutdown , 端口恢复位正常状态~自动恢复:设置err-disabled计时器 , 端口进入err-disabled状态开始计时 , 计时器超出后端口状态自动恢复Switch(config-if)#errdisablerecovery causepsecure-violationSwitch(config-if)#errdisablerecovery interval{time}
文章插图
5、配置端口安全的sticky(粘连)特性当企业内网所有端口均要启用端口安全时 , 为每一个端口配置静态绑定的MAC地址的工作量是非常大的 , 这要使用端口的sticky特性 , 动态地将交换机端口学习到的mac地址转换为stickymac地址 , 并将其加入到运行配置中 , 这样就自动形成了一个端口安全允许的静态mac地址表项 , 然后保存配置 , 交换机重启的时候不会重新学习Switch(config-if)#switchport port-security mac-address sticky查看端口安全状态Switch#show port-security interface fastEthernet 0/1查看处于err-disabled状态的端口的摘要信息Switch#show interfaces status err-disabled若要清除接口的MAC地址或全部端口缓存 , 可以使用以下命令Switch#clear port-security dynamic {address mac-addr |interface type mod/num}DHCP监听DHCP监听(DHCP Snooping)是一种保护DHCP服务器的安全机制 , 它可以过滤来自网络中的主机或其他设备的非信任DHCP报文 , 以保证客户端能够从正确的DHCP服务器获得ip地址 , DHCP监听可以避免DHCP服务器欺骗和DHCP地址耗尽 , 还可以限制苦护短发送DHCP请求的速率 , 从而减缓DHCP资源耗尽攻击 , Cisco交换机支持在每个Vlan上启用DHCP监听DHCP监听将交换机端口分成两种非信任端口:链接终端的端口 , 该端口客户端只能发送DHCP请求报文 , 丢弃来自其他端口的DHCP请求报文信任端口:链接合法的DHCP服务器或者汇聚端口 。
文章插图
推荐阅读
- 如何解决ps软件启动时卡在读取首选项处的问题
- ps如何放大缩小画笔
- 如何远程开启手机的防盗功能
- 微信文章中的动态图如何呈现
- 如何约定借款期限
- 劳动仲裁诉讼时效是如何规定的
- 如何批量提取文件夹中所有文件的名称
- Blued如何个人认证
- 如何选购水貂毛大衣
- 钉钉工作台如何删除之前公司