交换机安全配置考点解析.docx
- 文档编号:23507246
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:11
- 大小:22.07KB
交换机安全配置考点解析.docx
《交换机安全配置考点解析.docx》由会员分享,可在线阅读,更多相关《交换机安全配置考点解析.docx(11页珍藏版)》请在冰豆网上搜索。
交换机安全配置考点解析
配置端口镜像
monitorsession1sourceinterfaceaggretegateport2both
monitorsession1destinationinterfaceFastEthernet0/4
在二层交换机F0/1-20上配置广播的抑制功能
缺省情况下,交换机端口会将接收到的广播报文、未知名多播报文、未知名单播报文转发到同一个VLAN中的其它所有端口,这样造成其它端口负担的增加。
通过PortBlocking功能,可以配置一个接口拒绝接收其它端口转发的广播/未知名多播/未知名单播报文,您可以设置接口的PortBlocking功能,有针对性对广播/未知名多播/未知名单播报文中任意一种或者多种进行屏蔽,拒绝/接收其它端口转发的任意一种或多种报文。
在接口下,做如下配置
switchportblockbroadcast 打开对广播报文的屏蔽功能
switchportblockmulticast 打开对未知名多播报文的屏蔽功能
switchportblockunicast 打开对未知名单播报文的屏蔽功能
在特权模式下,你可以通过下面的命令来查看接口的PortBlocking状态:
showintf0/x
portfast和bpduguard,bpdufilter应用
PortFast加快终端主机连接入stp网络的收敛.
只适用于交换机与主机(电脑)相连的端口,不能用于交换机与交换机、路由器、hub互连的端口.
在一个端口配置了portfast,就是让那个port不再使用STP的算法。
在STP中,port有5个状态:
disable、blocking、listening、learning、forwarding。
只有forwarding状态,port才能发送用户数据。
如果一个port一开始没有接pc,一旦pc接上,就会经历blocking->listening->learing->forwarding,每个状态的变化要经历一段时间,这样总共会有3个阶段时间,缺省的配置要50秒钟。
这样从pc接上网线,到能发送用户数据,需要等50秒的时间,但如果设置了portfast,那就不需要等待这50秒了。
portfast只能用在接入层,也就是说交换机的端口是接主机时才能用portfast,如果是接交换机的就一定不能启用,否则会造成新的环路.
将SWITCH的端口设置为spanning-treeportfast后,如果这个端口接到其他SWITCH或者HUB上就可能造成环路问题。
加上spanning-treebpduguardenable之后,当这个端口在收到BPDU包后就会进入errdisable状态,从而避免环路。
BPDUGUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态.我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU.当这个端口下如果有自回环的环路,那么它发出去的BPDU在小交换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络.
Portfast和bpduguard配置:
switch(config)#interfacerangef0/1-5
switch(config-if-range)#spanning-treeportfast
switch(config-if-range)#spanning-treebpduguardenable
BPDUGuard使具备PortFast特性的端口在接收到BPDU时进入err-disable状态来避免桥接环路,其可在全局或接口下进行配置(默认关闭),可使用errdisablerecoverycausebpduguard命令开启端口状态的自动恢复。
不同于BPDU防护,BPDUFilter配置于全局/接口模式时,功能有所不同,当启用于PortFast端口模式时,交换机将不发送任何BPDU,并且把接收到的所有BPDU都丢弃;而启用于全局模式时,端口在接收到任何BPDU时,将丢弃PortFast状态和BPDU过滤特性,更改回正常的STP操作,BPDUFilter特性默认关闭。
当同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效。
LOOPGuard主要用来避免阻塞端口错误地过渡到转发状态而产生桥接环路的情况;当交换机在启用loopguard特性的非指定端口上停止接收BPDU时,交换机将使得端口进入STP“不一致环路”(inconsistentports)阻塞状态,当不一致端口再次收到BPDU时,端口将根据BPDU自动过滤到STP状态。
通过shspanning-treeinconsistentports命令可以查看不一致端口状态。
loopguard特性默认开启。
BPDUGUARD
的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。
我们知道,当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU,当BPDUGUARD开启后,在正常情况下,一个下联的端口是不会收到任何BPDU的,因为PC和非网管换机都不支持STP,所以不会收发BPDU。
当这个端口下如果有自回环的环路,那么它发出去的BPDU在非网管换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络。
BPDUGuard特性可以全局启用也可以基于基于接口的启用,两种方法稍有不同.
当在启用了PortFast特性的端口收到了BPDU后,BPDUGuard将关闭该端口,使该端口处于err-disable状态,这时必须手动才能把此端口回复为正常状态。
配置BPDUGuard:
Switch(config)#spanning-treeportfastbpduguarddefault /---在启用了PortFast特性的端口上启用BPDUguard---/
Switch(config-if)#spanning-treebpduguardenable
/---在没启用PortFast特性的情况下启用BPDUguard---/
BPDUFiltering
特性和BPDUGuard特性非常类似.通过使用BPDUFiltering,将能够防止交换机在启用了PortFast特性的端口上发送BPDU给主机。
如果全局配置了BPDUFiltering,当某个PortFast端口接收到了BPDU,那么交换机将禁用PortFast和BPDUFiltering特性,把端口更改回正常的STP状态.
如果在单独的PortFast端口启用BPDUFiltering,此端口将不发送任何的BPDU并忽略所有接收到的BPDU.
注意,如果在连接到其他交换机的端口(不是连的主机的端口)上配置了BPDUFiltering,那么就有可能导致层2环路(PreventfromsendingandreceivingBPDU).另外,如果在与启用了BPDUFiltering的相同端口上配置了BPDUGuard特性,所以BPDUGuard将不起作用,起作用的将是BPDUFiltering.
配置BPDUFiltering:
Switch(config)#spanning-treeportfastbpdufilterdefault /---在启用了PortFast特性的端口上启用BPDUFiltering---/
Switch(config-if)#spanning-treebpdufilterenable /---在不启用PortFast特性的情况下启用BPDUFiltering---/
ROOTGuard
RootGuard:
防止新加入的交换机(有更低根网桥ID)影响一个已经稳定了(已经存在根网桥)的交换网络,阻止XX的交换机成为根网桥。
工作原理:
当一个端口启动了此特性,当它收到了一个比根网桥优先值更优的BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。
这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
ROOTGuard在DP(designatedport)指定端口上做,该端口就不会改变了,只会是DP了,这样可以防止新加入的交换机成为root,该端口就变成了永久的DP了,(showspanninconsistentport),若新加入的交换机想成为root,则它的端口不能工作,直到这个新交换机委曲求全做RP为止。
LoopGuard
LoopGuard:
防止一个阻断的端口由于链路不正常(不能双向通信等)接不到BPDU后变成转发,配了此项后,即使接不到BPDU也是阻断的loop-inconsistentblockingstate(启用loopguard时自动关闭rootguard);
Loopguard在RP接口或替代端口启用:
Switch(config-if)#spanning-treeguardloop
全局启用:
Switch(config)#spantreeglobal-defaultloopguardenable
如果在一个启用了rootguard的端口上启用loopguard,loopguard将禁用rootguard功能。
交换机上配置防攻击的系统保护
system-guardenable
语法:
system-guardenable
nosystem-guard
该命令用于开启接口的系统保护功能。
使用no选项可以关闭这个接口上的系统保护功能。
缺省值:
缺省时所有接口的系统保护功能都是关闭的
命令模式:
接口配置模式
说明:
系统保护功能用于防范来自网络的扫描攻击,如果交换机侦测到可能的扫描攻击,会把发动攻击的地址暂时隔离起来,不允许它访问网络,过一段时间后再解除隔离。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#noswitchport
Ruijie(config-if)#ipaddress192.168.5.1255.255.255.0
Ruijie(config-if)#system-guardenable
系统保护功能只能用于3层口,本例把f0/1配置为3层路由口,然后在它上面启用系统保护功能。
相关命令:
showsystem-guard
查看系统保护信息
system-guardsame-dest-ip-attack-packets
语法:
system-guardsame-dest-ip-attack-packetsnumber
nosystem-guardsame-dest-ip-attack-packets
设置samedestipattack的攻击阈值。
使用no选项可以恢复缺省值。
参数:
number:
设置的阈值。
取值范围是0~2000,单位是每秒报文数。
缺省值:
缺省为每秒20个报文
命令模式:
接口配置模式
说明:
samedestipattack是扫描攻击的一种,它是指攻击者向不存在的IP地址发送大量报文,用以消耗交换机的CPU资源的攻击方式。
阈值用以判定是否发生此类攻击,当攻击流量超过指定的值时可认为攻击已发生,保护系统会把发动攻击的地址暂时隔离起来。
阈值不应设置太小,这样容易发生误判,把正常上网的主机隔离。
如果把阈值设置为0表示不对这种攻击进行监控。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#system-guardsame-dest-ip-attack-packets30
本例把f0/1口的samedestipattack攻击阈值设置为每秒30个攻击报文。
system-guardscan-dest-ip-attack-packets
语法:
system-guardscan-dest-ip-attack-packetsnumber
nosystem-guardscan-dest-ip-attack-packets
设置scandestipattack的攻击阈值。
使用no选项可以恢复缺省值。
参数:
number:
设置的阈值。
取值范围是0~1000,单位是每秒报文数。
缺省值:
缺省为每秒10个报文
命令模式:
接口配置模式
说明:
scandestipattack是扫描攻击的一种,它是指攻击者对一批IP网段进行连续的扫描。
这种攻击会占用大量的网络带宽,危害性比samedestipattack攻击大得多。
阈值用以判定是否发生此类攻击,当攻击流量超过指定的阈值时可认为攻击已发生,保护系统会把发动攻击的地址暂时隔离起来。
阈值不应设置太小,这样容易发生误判,把正常上网的主机隔离。
如果把阈值设置为0表示不对这种攻击进行监控。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#system-guardscan-dest-ip-attack-packets20
本例把f0/1口的scandestipattack攻击阈值设置为每秒20个攻击报文。
system-guardisolate-time
语法:
system-guardisolate-timetime
nosystem-guardisolate-time
设置对攻击用户的隔离时间。
使用no选项可以恢复缺省值。
参数:
time:
隔离的时间。
取值范围是30~3600,单位为秒。
缺省值:
缺省为120秒
命令模式:
接口配置模式
说明:
当保护系统发现攻击时,会自动隔离发动攻击的IP地址,隔离一段时间该IP地址会自动恢复通信。
你也可以用clearsystem-guard命令提前解除隔离的主机。
当用户被隔离和解除隔离时,都会记录到日志系统中,管理员可以在日志中进行查询。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#system-guardisolate-time600
本例把f0/1口的隔离时间设置为600秒(10分钟)。
system-guarddetect-maxnum
语法:
system-guarddetect-maxnumnumber
nosystem-guarddetect-maxnum
设置监控主机的最大数目。
使用no选项可以恢复缺省值。
参数:
number:
可监控主机的最大数目。
取值范围是1~500。
缺省值:
缺省为100
命令模式:
接口配置模式
说明:
交换机可监控的主机数和硬件有关,通常可支持每端口监控100~120个IP地址,所以此数值设置太大有时是没有作用的。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#system-guarddetect-maxnum200
本例把f0/1口的可监控主机的最大数目设置为200个。
广播风暴控制
storm-controllevel
语法:
storm-controllevellevel
该命令用于设置风暴控制级别。
参数:
level:
它是一个百分数,取值范围是1~100。
它表示接口允许某类数据包的最大流量占接口最大带宽的百分比,当流量超过这个百分比时说明风暴发生,接口将丢弃超出部分的此类数据包。
缺省值:
缺省值是100
命令模式:
接口配置模式
说明:
如果网络中出现过量的广播、组播和未知名单播包时,就可能发生了风暴,它会导致网络变慢,正常的网络活动难以进行。
风暴控制采用流控制机制解决风暴。
当某一类数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常。
storm-controllevel命令用于指定过量的标准,它的值不应该设置太小,否则可能影响正常的网络应用。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#storm-controllevel20
本例把风暴的级别设置为20,表示当f0/1口上某类数据包的最大流量达到接口最大带宽的20%,说明风暴发生。
storm-controlbroadcase
语法:
storm-controlbroadcase
nostorm-controlbroadcase
开启广播风暴的控制功能。
使用no选项可关闭它。
缺省值:
缺省为关闭的
命令模式:
接口配置模式
说明:
风暴控制的级别由storm-controllevel命令设置,开启广播风暴的控制功能后,当接口上广播数据包的流量超过设定的级别后,接口将丢弃超出部分的广播数据包。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#storm-controllevel20
Ruijie(config-if)#storm-controlbroadcase
本例在f0/1口上启用了广播风暴控制功能,限制广播的流量不能超过最大带宽的20%。
同时f0/2~f0/8也都启用了该风暴控制功能。
说明:
交换机接口的风暴控制以8个接口为单位设置,它们共享风暴控制的设置。
当一个接口配置了风暴控制时,其它7个接口也会自动配置上。
storm-controlmulticast
语法:
storm-controlmulticast
nostorm-controlmulticast
开启组播风暴的控制功能。
使用no选项可关闭它。
缺省值:
缺省为关闭的
命令模式:
接口配置模式
说明:
风暴控制的级别由storm-controllevel命令设置,开启组播风暴的控制功能后,当接口上组播数据包的流量超过设定的级别后,接口将丢弃超出部分的组播数据包。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#storm-controllevel20
Ruijie(config-if)#storm-controlmulticast
本例在f0/1口上启用了组播风暴控制功能,限制组播的流量不能超过最大带宽的20%。
同时f0/2~f0/8也都启用了该风暴控制功能。
说明:
交换机接口的风暴控制以8个接口为单位设置,它们共享风暴控制的设置。
当一个接口配置了风暴控制时,其它7个接口也会自动配置上。
storm-controlunicast
语法:
storm-controlunicast
nostorm-controlunicast
开启未知名单播风暴的控制功能。
使用no选项可关闭它。
缺省值:
缺省为关闭的
命令模式:
接口配置模式
说明:
风暴控制的级别由storm-controllevel命令设置,开启未知名单播风暴的控制功能后,当接口上未知名单播数据包的流量超过设定的级别后,接口将丢弃超出部分的未知名单播数据包。
范例:
Ruijie(config)#interfacef0/1
Ruijie(config-if)#storm-controllevel20
Ruijie(config-if)#storm-controlunicast
本例在f0/1口上启用了未知名单播风暴控制功能,限制未知名单播的流量不能超过最大带宽的20%。
同时f0/2~f0/8也都启用了该风暴控制功能。
说明:
交换机接口的风暴控制以8个接口为单位设置,它们共享风暴控制的设置。
当一个接口配置了风暴控制时,其它7个接口也会自动配置上。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换机 安全 配置 考点 解析
![提示](https://static.bdocx.com/images/bang_tan.gif)