CCNA Security第三天.1

ssh

其实就是加密的telnet。

cli ssh配置步骤

tep1:配置主机名

hostname sshrouter

step2:配置域名

ip domian name yeslab.com

step3:产生rsa密钥对(建议1024位长度)

crypto key generate rsa modulus 1024

step4:创建本地用户名和密码(级别可选)

username admin privilege 15 password yeslabccies

step5:配置本地认证和登录协议限制

line vty 0 15

login local (也可以使用aaa new-model代替）

transport input ssh(限制只能够使用ssh登录vty)路由器作为客户端登录方法

ssh -l smoke(用户名) 1.1.1.1

ntp介绍

网络时间协议

同步时间

ntp端口号是udp的123

注意：pki(证书系统)和syslog都非常需要准确的时间，我们可以使用ntp为网络设备提供时间服务。

ntp cli配置

ntp服务器端配置：clock timezone gmt +8

clock set 20:25:00 12 sep 2009

ntp authentication-key 1 md5 cisco(可选，用于认证）

ntp authenticate(可选，用于认证)

ntp trusted-key 1 (可选，用于认证）

ntp master

ntp客户端配置

clock timezone gmt +8

ntp authentication-key 1 md5 cisco (可选，用于认证）ntp authenticate(可选，用于认证）ntp trusted-key 1 (可选，用于认证）

ntp server 202.100.1.1 key 1

ntp首先要和自己同步，如果要过滤ntp access-group server，除了要放同步的设备还有放自己。

如何保障二层安全

二层安全的重要性

1.二层一旦被攻破，其他层就没有安全性可言

2.安全的强度在于我们防护最弱的一个环节

3.二层是七层模型里边最脆弱的一个环节

主要的二层攻击手段

1.cam table overfalow/spoofing mac address attack

未知单播帧泛红

当交换机收到一个单播包，目的mac并没有出现在cam表里边，那么交换机会把这个包向相同广播域里边的所有接口进行泛红，这是交换机的默认行为，我们也可以通过注释里边的命令进行block。

mac欺骗攻击欺骗的是交换机，arp攻击欺骗的是pc.

防:port security

1.有效阻止mac flood和mac spoof攻击

a.mac flood当特定接口设定的mac table满时产生violation

b.当一个mac地址在同一个vlan里边的两个不同接口学到的时候产生violation

2.prot security的默认行为

a.所有接口port security功能是disable的

b.默认每一个接口最大mac地址容量为一个

c.默认violation是shutdown

3.三种violation方式

a.shutdown 使接口处于errordisable状态，并且告警

b.restrict 丢掉违规数据包，并且告警

c.protect 悄无声息的丢弃数据包，不产生告警

4.三种地址学习方式

a.自动学习(默认）

b.手动指派 swichport port-security mac-address 0001.0345.ac8b

c.sticky switchport port-security mac-address sticky 0001.0345.ac8b 把自动学的mac显示到runn-config可以存盘。

2.stp attack

stp防御技术

1.root guard(可以进行选举，但是那你要老实点！）

interface f0/1

spanning-tree guard root

2.bpdu-guard（最高级别，碰我就咬你！）

int f0/1

spanning-tree bpduguard enable

3.bpdu filtering（你发了也白发，我不理你）

inter f0/1

spanning-tree bpdufilter enable

3.dhcp attack

dhcp discover-dhcp offer-dhcp request-dhcp ack

防御dhcp攻击

ip dhcp snooping

全局启用dhcp snooping

ip dhcp snooping vlan 11-200

vlan 11-200启用dhcp snooping功能

interface f0/1

ip dhcp snooping limit rate 100

对dhcp包速率限制每秒100个

ip dhcp snooping trust

定义本接口为信任的dhcp服务器所连接的接口

show ip dhcp snooping binding（dhcp绑定表,)

4.arp spoofing attack

解决方法前提是要有snooping binding。

dai配置实例

最好使用dhcp snooping提供mac到ip的映射表

全局vlan 100欧诺个dai:

ip arp inspection vlan 100在vlan100启用arp监控技术。做检查，查看binding表。

上联接口建议配置:因为你没有别的交换的binding.

int f0/6

ip arp inspection trnst

其他交换机安全特性

1.span

2.vacl

3.二层隔离技术

4.storm-control