首页 > 其他分享 >4.5.Switch Security

4.5.Switch Security

时间:2024-08-11 23:53:21浏览次数:9  
标签:4.5 snooping int ip vlan mac Switch dhcp Security

switch security(交换安全)

mac layer attacks(mac地址攻击)

mac地址泛红

变换mac让交换机不停学习,占满mac地址表,其他pc发送报文就进行泛红。

port security(端口安全)

1未授权mac地址

2mac地址个数限制(默认1个)

3采取措施

switch(config-if)#switchport port-security [maximum value]

violation {shutdown | restrict | protect}

shutdown:默认把接口置为err-disable.向网管服务器发消息

restrict:限制,drop,发送日志

protect:drop,不会发送日志

做端口安全先把接口shutdown

switchport port-security(开启端口安全)

show port-security

sticky mac address(动态粘贴地址)

switch(config-if)#switchport port-security mac-address sticky

基于源mac允许流量:port-security

基于源mac 限制流量:

switch(config)#mac-address-table static 0010.7b80.7b9b vlan 1 drop

阻止未知或多播帧

switch(config)#switchport block [unicast | multicast]

show interface f0/1 switchport

vlan attacks(vlan攻击)

vlan hpping(跨越vlan):switch mode access

vacl:ip/mac ->fwd/drop

pvlan:

private vlans

sub domain

1.部署主vlan

2.secondary vlan分为lsolated(隔离)pc不能互访,community(社团)pc可以互访

端口角色

1混杂端口

2host端口包括isolated端口和community端口

配置:

1.vtp mode transparent

2.pri/sec vlan

3.将端口划进相应vlan

r1:

int e1/0

ip add 1.1.1.1 255.255.255.0

no sh

r2:

int e1

ip add 1.1.1.2 255.255.255.0

no sh

r3:

int e1/0

ip add 1.1.1.3 255.255.255.0

r4:

int e1

ip add 1.1.1.4 255.255.255.0

r5:

int e0/1

ip add 1.1.1.5 255.255.255.0

sw:

int range f0/1 -6

spanning-tree portfast

vtp mode transparent

vlan 20

private-vlan primary

vlan 501

private-vlan community

vlan 502

private-vlan isolated

vlan 20(关联vlan)

private-vlan association 501,502

int f0/1

switchport mode private-vlan promiscuous(混杂)

switchport private-vlan maping 20 501,502 (关联)

int range f0/2,f0/3

switchport mode private-vlan host

switchport private-vlan host-association 20 501

int range f0/4,f0/5

switchport mode private-vlan host

switchport private-vlan host-association 20 502

show vlan private-vlan(查看vlan关联表)

svi默认只有混杂接口可以访问,如果想让com和iso访问需要做的命令

int vlan 20

private-vlan mapping 501,502

switch(config-if)#int 0/4

switch(config-fi)#switchport protected(3550以下设置pvlan简化,几个隔离的交换机都要设置)

sponnfing attacks

dhcp spoof(dhcp欺骗)

启用dhcp snooping 默认都是untrusted,可以收dis,但是如果收到offer就会被drop掉,不发任何的dhcp任何消息,trusted能收任何时候的dhcp发任何的dhcp消息。

实验:

r4:

int e0/0

ip add 4.4.4.4 255.255.255.0

r6:

int f0/0

ip add 6.6.6.6 255.255.255.0

r3:

debug ip packet detail

r4:

debug ip packet detail

r6:

debug ip packet detail

r3:

int e0/0

ip add dhcp

no sh

r4:

ip dhcp pool wolf

network 4.4.4.0/24

r6:

ip dhcp pool wolf

network 6.6.6.0/24

r3:

show ip int br

sw1:

ip dhcp snooping

ip dhcp snooping vlan1

int f0/6

ip dhcp snooping trust

r6:

ip dhcp relay information trust-all(在合法路由器上做)

1全局启用snooping

2定义trust接口

3合法路由器启用trust-all

sw1:

show ip dhcp snooping binding

show ip dhcp snooping

conf t

int f0/4

ip dhcp snooping limit rate 1(定义每秒1个包)

show ip dhcp snooping

配置命令

switch(config)#ip dhcp snooping

switch(config)#ip dhcp snooping vlan number[number]

switch(config-if)#ip dhcp snooping trust

router(config)#ip dhcp relay informatcion trust-all

switch#show ip dhcp snooping

ip source grard(ip源防护应用在获取dhcp的接口)

switch(config-if)#ip verify source vlan dhcp-snooping port-security(启用ip源防护)

sw1:

int f0/3

switch(config-if)#ip verify port-security

dchp spofing:snooping

arp spoofiing(arp欺骗)

gratuituous arp(免费arp)

所有主机的ip都是我的mac,充当了所有的设备。把所有流量都引到我这里。

临时解决方案(绑定mac)

r3:

arp 10.1.1.2 aaaa.aaaa.aaaa arpa(绑定)

dai(动态arp监测)

必须结合dhcp snooping

trusted:收发arp报文

untrsted: 不能收requst

sw1:

ip arp inspection vlan 1 (开启动态arp监测)

int f0/6

ip arp inspection trust

r4:

int e0/0

mac-address aaaa.bbbb.cccc

sw1:

int f0/4

ip arp inspection limit rate 10

arp spoofing:dai和dhcp spooping结合起来用

attacks on switch devices

关闭cdp

no cdp run

no cdp enable

ssh启用,ios版本需要带k安全版本。

r2:

ip domain name smoke.com

crypto key generate rsa usage-keys

username smoke password smoke

line vty 0 4

login local

transport input ssh

r1:

ssh -l smoke 12.1.1.2

标签:4.5,snooping,int,ip,vlan,mac,Switch,dhcp,Security
From: https://www.cnblogs.com/smoke520/p/18354129

相关文章

  • 第五天2cisco_security_device_manger_appliance_
    asdm视窗化管理把asdm加载进asa的flash必须支持des或3desie浏览器支持java。不能阻止弹出窗口。配置向导设置Pre-configureFirewallnowthroughinteractiveprompts[yes]?(预配置防火墙现在通过交互式提示符)FirewallMode[Routed]:Enablepassword[<usecurrent......
  • switch和try-catch综合练习
    //输入任意年份,月份,判断该月份天数;staticvoidMain(string[]args){intintDay=0;intintYear=0;intintMonth=0;//任意输入年份和月份,判断该月有几天;try......
  • FreeSWITCH对接http协议的tts服务
    操作系统:CentOS7.6_x64FreeSWITCH版本:1.10.9 FreeSWITCH里面有个mod_tts_commandline模块,可以用来对接http协议的tts服务,今天整理下这方面的笔记,并提供相关演示效果及资源下载。我将从以下几个方面进行展开:自建tts服务模拟测试环境编译及配置mod_tts_commandl......
  • switch_case练习
     staticvoidMain(string[]args){doubleintSalary=5000;boolbFlag=true;Console.WriteLine("请输入张三的评点等级:");stringstrLevel=Console.ReadLine();switch(strLevel......
  • R语言用户自定义函数的语法结构、编写自定义统计值计算函数(使用ifelse结构计算均值和
    R语言用户自定义函数的语法结构、编写自定义统计值计算函数(使用ifelse结构计算均值和标准差等)、编写自定义日期格式化(format)函数(switch函数使用不同分枝格式化日期数据)、应用自定函数目录R语言用户自定义函数的语法结构、编写自定义统计值计算函数(使用ifelse结构计算均值和......
  • opencv4.5 带cuda 安装
    opencv4.5cmake-DCMAKE_BUILD_TYPE=RELEASE-DCMAKE_CXX_FLAGS_RELEASE="-O3"-DCMAKE_INSTALL_PREFIX=/home/slam/Thirdpart/opencv-4.5.2/install-DOPENCV_EXTRA_MODULES_PATH=/home/slam/Thirdpart/opencv-4.5.2/opencv_contr......
  • 034.CI4框架CodeIgniter,纯净windows系统,一步步安装composer和CodeIgniter 4.5.4
    安装git选择路径 一路回车安装 安装phpstudy 安装好的界面 下载php8.2.9  点一下默认配置,确定 php版本要选择php8.2.9 需要安装的php扩展如下 点开网站的管理,设置一个根目录 php,启动 在根目录创建一个index.html的文件,用浏览器打开,看看能不能访......
  • Spring Security 简单使用教程
    SpringSecurity是一个强大的、安全性框架,用于保护Spring应用程序。本文将详细介绍如何在一个SpringBoot项目中使用SpringSecurity,从基础配置到自定义安全需求。创建SpringBoot项目首先,我们需要创建一个SpringBoot项目。可以通过SpringInitializr快速生......
  • Spring Security 的常用方法介绍
    当使用SpringSecurity时,有几种常见的方法和配置模式可以帮助您更好地保护和管理应用程序的安全性。除了上文中已经介绍的基本配置、自定义认证、方法级安全性和异常处理之外,还有一些其他重要的方法和技术,让我们来详细了解它们。常用方法和技术1.使用表达式进行授权Spri......
  • SpringSecurity + JWT实战(前后端分离)
    1.聊聊SpringSecurity+JWT2. 前后端完全分离认证问题3. JWT的原理4.JWT的数据结构4.1Header4.2Payload4.3Signature5. JWT的实战1.引入jar2.创建jwt的工具类​3.登录成功4.登录失败5. 权限不足6.未登录返回json数据1.聊聊SpringSecurity+JWT先来......