设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP学习资料 switch 安全笔记
返回列表 发新帖
查看: 1870|回复: 4
收起左侧

[原创] switch 安全笔记

[复制链接]
cisco12355074
发表于 2013-11-24 00:09:53 | 显示全部楼层 |阅读模式
如果流量通过一个被保护的接口发出,则这个流量无法通过另一个被保护的接口进入。
对于DHCP Snooping 非信任接口(缺省状态),该接口无法接收任何DHCP Offer报文以及DHCP ACK报文,但是可以接收Discovery以及Request报文对于发送,一个非信任接口
只能转发DHCP服务器发送的DHCP Offer 以及ACK报文,而无法转发Discovery以及Request.
防御DHCP欺骗攻击
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snoopinginformation option
Switch(config-if)# ip dhcpsnooping trust
Switch(config)# ip dhcp snoopinglimit rate [rate]
Switch(config)# ip dhcp snoopingvlan number [number]
减轻 VLAN 跳跃
Switch(config)# interface-range typemod/port-port
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlanvlan-id
配置 VACLs
Switch(config)#vlan access-map map_name [seq#]
Switch(config-access-map)# match {ipaddress {1-199 | 1300-2699 | acl_name} | ipx address {800-999 | acl_name}|mac address acl_name
Switch(config-access-map)#action {drop[log]} | {forward [capture]} | {redirect {type slot/port}| {port-channel channel_id}}
Switch(config)#vlan filter map_namevlan_list list
配置 PVLANs
Switch(config-vlan)#private-vlan [primary | isolated | community]
Switch(config-vlan)#private-vlanassociation {secondary_vlan_list | add svl | remove svl}
Switch#show vlan private-vlan type
配置 PVLAN 端口
Switch(config-if)#switchport mode private-vlan {host | promiscuous}
Switch(config-if)#switchportprivate-vlan host-association {primary_vlan_ID secondary_vlan_ID
Switch(config-if)#private-vlan mapping primary_vlan_ID{secondary_vlan_list | add svl | remove svl}
Switch#show interfaces private-vlanmapping
在交换机上配置IP源保护
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcpsnooping vlan number [number]
Switch(config-if)# ip verify source vlan
dhcp-snooping port-security
配置 DAI
Switch(config)#ip arp inspection vlan vlan_id[,vlan_id]
Switch(config-if)#ip arp inspectiontrust
Switch(config-if)#ip arp inspectionvalidate {[src-mac][dst-mac] [ip]}
DAITrust 接口,该接口和收到ARP请求以及ARP应答的时候会根据ARP载荷中
的源地址信息判定该ARP报文是否合法,合法则发送,非法则丢去。
DAIuntrust 接口,该接口行为和TRUNK接口一致收到ARP请求或应答的时候查看
源地址信息,判断是否合法,合法则转发,非法则丢去。
当在接口定义所能接收到的ARP请求和应答的最高的频率的时候,如果该接口收到
的是合法的ARP请求或应答此时计数器才开始计算所收到的ARP报文的数量;如果
收到的是非法的ARP报文,则计数器不会计算该接口接收的ARP报文数量。

回复

使用道具 举报

writer崇阳
发表于 2013-11-24 10:19:24 | 显示全部楼层
沙发 2013-11-24 10:19:24 回复 收起回复
回复 支持 反对

使用道具 举报

Rockyw
发表于 2013-11-24 11:38:42 | 显示全部楼层
感谢楼主分享!
板凳 2013-11-24 11:38:42 回复 收起回复
回复 支持 反对

使用道具 举报

鲁智林
发表于 2013-11-24 11:43:54 | 显示全部楼层
不错哦!
地板 2013-11-24 11:43:54 回复 收起回复
回复 支持 反对

使用道具 举报

relax_lml
发表于 2016-3-17 15:57:49 | 显示全部楼层
谢谢共享资料
5# 2016-3-17 15:57:49 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-29 01:28 , Processed in 0.078307 second(s), 26 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表