交换机基础安全功能原理与应用.ppt

《交换机基础安全功能原理与应用.ppt》由会员分享，可在线阅读，更多相关《交换机基础安全功能原理与应用.ppt（45页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、技术培训中心技术培训中心技术培训中心技术培训中心2010-032010-03交换机基础安全功能应用交换机基础安全功能应用修订记录2修订日期修订版本修订描述作者2009-03-14V1.0初稿完成。徐立欢2009-04-22V1.1添加安全通道环境中防ARP注意事项徐立欢2009-09-03V1.2添加备注，添加IP Source guard功能，修正部分参数错误徐立欢2009-03-22V1.3重新优化课程结构，将交换机安全功能进行整合徐立欢学习目标l理解交换机常用安全功能的应用场合l掌握交换机常用安全功能的配置与注意事项3课程内容l第一章：设备管理安全第一章：设备管理安全l第二章：接入安全第

2、二章：接入安全l第三章：防攻击第三章：防攻击4设备管理安全l概述设备易管理性与安全性成反比，必须有效的平衡管理与安全的关系l措施使用中/强密码源地址限制使用安全管理协议5使用中强密码l概述密码位数尽量保证在6位以上不要使用纯数字不要使用ruijie、admin、star、123456类似的密码l密码强度举例弱密码：aabbcc、567890中等强度密码：ruijie345高等强度密码：Ruijie#8766源地址限制l概述只有合法的源地址才能管理设备l限制远程管理源地址Ruijie(config)#access-list 99 permit host Ruijie(config)#line v

3、ty 0 4Ruijie(config-line)#access-class 99 inl限制SNMP管理源地址Ruijie(config)#accessRuijie(config)#snmp-server community ruijie rw 997使用安全管理协议l使用加密管理协议禁用Telnet协议，使用SSH管理设备使用SNMPv3l禁用Telnet协议方法一：Ruijie(config)#no enable service telnet-server方法二：Ruijie(config-line)#transport input sshl使用SNMPv3Ruijie(config)#

4、snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 998课程内容l第一章：设备管理安全第一章：设备管理安全l第二章：接入安全第二章：接入安全l第三章：防攻击第三章：防攻击9接入安全l概述制定一组安全规则，让网络中的主机以合法的身份接入网络，并得到有效的防护l措施ACL保护端口全局地址绑定端口安全802.1x10保护端口l概述禁止交换机端口之间的通讯（二层）l保护端口角色保护口非保护口l保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯11protectedprotected保护端口（续）l保护端口配置Ruijie(con

5、fig)#int range fa 0/1-24Ruijie(config-if-range)#switchport protectedl级联情况下的配置保护端口可以跨交换机使用位于最上层的接入交换机与其他交换机的级联端口应配置为保护端口12protectedprotectedSW1SW2全局地址绑定l概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络l应用场景13绑定：1.1.1.1 全局地址绑定配置l配置全局绑定地址Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001 l配置全局绑定地址上联口Ruijie(c

6、onfig)#address-bind uplink gi 0/25l开启全局绑定地址功能Ruijie(config)#address-bind installl查看全局绑定地址Ruijie#show address-bind14端口安全l概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN151.1.1.1 VLAN 100VLAN 10F0/1F0/2F0/3F0/4端口安全配置l打开端口安全功能Ruijie(config-FastEthernet 0/1)#switchport port-securityl配置最大MA

7、C地址数Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3l配置MAC地址绑定Ruijie(config-FastEthernet 0/1)#sw po mac-address Ruijie(config-FastEthernet 0/1)#sw po mac vlan 10l配置IP地址绑定Ruijie(config-FastEthernet 0/1)#sw po binding l配置IP+MAC绑定Ruijie(config-FastEthernet 0/1)#sw po bi vlan l配置违例处理方式

8、Ruijie(config-FastEthernet 0/1)#sw po violationprotect|restrict|shutdown16端口安全缺省配置内容内容缺省设置缺省设置端口安全开关关闭最大安全地址过滤项个数（MAC）128安全地址过滤项无违例处理方式保护(protect)17端口安全规则处理规则端口安全规则端口安全规则处理规则处理规则MAC最大数量MAC绑定MAC+VLAN绑定如果MAC最大数量MAC绑定：自动学习“MAC最大数量-MAC绑定”个MAC作为IP/MAC过滤项如果MAC最大数量=MAC绑定：只有被绑定的MAC才能合法接入网络IP绑定主机符合被绑定的IP才能合法

9、接入网络IP+MAC+VLAN绑定主机符合被绑定的IP+MAC+VLAN才能合法介入网络18端口安全应用场景（例）l交换机一个端口最大只能接入1台主机Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1l交换机一个端口最大只能接入4台主机，但其中有一台主机是合法保障的Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 4Ruijie(config-FastEthernet 0/1)#sw po mac-address l交换机一个端口只能

10、是合法的IP接入Ruijie(config-FastEthernet 0/1)#sw po binding l交换机一个端口只能是合法的IP且合法的MAC接入Ruijie(config-FastEthernet 0/1)#sw po bi vlan 19附：理解FFPl概述Fast Filter Processor，快速过滤器交换机种一种高效的硬件硬件过滤引擎，其基本功能就是根据报文的特征筛选出符合一定规则的数据流，并对数据流实施策略，不依赖CPU安全功能的核心FFP资源是有限的l依赖FFP的功能ACL端口安全全局地址绑定Dot1x20附：FFP功能逻辑示意21IP:192.168.10.1

11、MAC:001a.a900.0001报文Permit/Deny1：安全功能配置2：安全功能下发FFP3：数据报文进入交换机4：匹配FFP内的策略5：决策FFP课程内容l第一章：设备管理安全第一章：设备管理安全l第二章：接入安全第二章：接入安全l第三章：防攻击第三章：防攻击22防攻击l概述制定一组安全策略防止攻击行为的发生l措施DHCP SnoopingIP Source GuardARP-checkDAI23DHCP Snoopingl概述DHCP嗅探功能l功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务l端口角色非信任口：拒绝DHCP回应报文信任口：允许DHCP回应报

12、文默认角色：非信任口2424DHCP discoveryDHCP offerDHCP offertrustuntrustDHCP Snooping功能配置l开启DHCP snooping功能Ruijie(config)#ip dhcp snoopingl配置信任端口Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trustl配置DHCP报文速率限制Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression25DHCP Snooping功能配置（续）l查看DHCP Snooping配置

13、Ruijie#show ip dhcp snooping l查看DHCP Snooping数据库Ruijie#show ip dhcp snooping binding 26理解DHCP Snooping数据库l组成元素MAC、IP、VLAN、Interface等l作用为其他功能提供服务IP Source-guardDAIARP-check注：DHCP Snooping数据库不写入FFP27IP Source Guardl概述IP源保护功能，依赖于DHCP Snoopingl作用防止DHCP环境下用户私设IP地址为ARP-check提供服务l原理将DHCP Snooping数据库写入FFP用户

14、私设IP无法通过FFP28DHCPStaticIP Source Guard功能配置l开启接口IP Source Guard功能Ruijie(config-FastEthernet 0/1)#ip verify source port-securityl配置静态 IP 源地址绑定用户Ruijie(config)#ip source binding 001a.a900.0001 vlan 1 192.168.1.100 int fa 0/1l查看IP Source Guard表项Ruijie#show ip verify source29DHCP Snooping&IP Source Guard

15、l理解关系DHCP Snooping在用户获取地址的过程中形成数据库IP Source Guard将Snooping数据库中的内容写入FFPFFP根据Snooping数据库中的内容进行用户IP+MAC过滤，数据库中没有的内容将被丢弃IP Source Guard在Trust接口不生效30IP Source Guard功能配置优化31trusttrustl多台交换机级联时，为避免上面一台交换机正对下联交换机上的用户重复FFP过滤，请将下联其他交换机的接口启用ip dhcp snooping trustARP协议简介32ARP协议过程通过ARP Request和ARP Replay两个报文学习到I

16、P对应的MAC地址ARP requestARP replyPC1PC2PC3PCNl欺骗原理欺骗者伪造Sends IP与Senders MAC受骗主机用的Sender MAC与Sender IP更新自己的ARP表ARP欺骗33网关PC2PC1Cheat（ARP Request）ARP欺骗攻击目的l为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据34PC1网关主机型网关型欺骗者ARP-checkl概述ARP检查功能，防止ARP欺骗的产生l原理利用FFP中IP+MAC过滤表项，生成ARP过滤表项过滤ARP字段Senders IPSenders MAC35Dest MACSou

17、rceMACTYPEIPSourceIPDest IP原FFP逻辑示意新增FFP逻辑示意Dest MACSourceMACTYPEARPSendersIPSenders MACARP-check的应用场合l场合Port-SecurityIP Source Guard802.1x+授权其他能形成IP+MAC过滤表项的功能36ARP-check配置l开启ARP-check功能Ruijie(config-FastEthernet 0/1)#arp-check l查看ARP-check表项Ruijie(config)#show int arp list37DAI38l概述动态ARP监测，用于防止ARP

18、欺骗的发生l原理提取DHCP Snooping数据库中的IP+MAC表项利用CPU过滤ARP报文发送者字段(Senders IP/MAC)如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文l端口角色非信任口：拒绝不存在于DHCP Snooping数据库ARP报文信任口：允许所有ARP报文通过默认角色：非信任口DAI配置l指定DAI监测VLANRuijie(config)#ip arp inspection vlan 1l设置DAI信任接口Ruijie(config-FastEthernet 0/1)#ip arp inspection trustl查看DAI配置Ruijie#show

19、 ip arp inspection vlan 139ARP-chek与DAI的区别lIP、MAC来源ARP-check：FFP中IP/MAC过滤表项DAI：DHCP Snooping数据库l处理方式ARP-check：FFP硬件处理DAI：CPU软件处理40各种防ARP欺骗方案比较41环境环境/方案方案Port-Security+Port-Security+ARP-checkARP-checkDHCP Snooping+DHCP Snooping+IP Source guard+IP Source guard+ARP-checkARP-checkDHCP Snooping+DHCP Snoo

20、ping+DAIDAISupplicantSupplicant授权授权 +ARP-checkARP-check静态静态IPIP静态静态IP+SAMIP+SAM动态动态IPIP动态动态IP+SAMIP+SAMl注接入交换机中开启ARP-check功能时，S2300系列交换机推荐每端口一个用户，其他系列交换机每端口不超过20个用户各系列交换机支持情况一览42环境环境/方案方案Port-Security+Port-Security+ARP-checkARP-checkDHCP Snooping+DHCP Snooping+IP Source Guard IP Source Guard+ARP-che

21、ck+ARP-checkDHCP Snooping+DHCP Snooping+DAIDAISupplicantSupplicant授权授权 +ARP-checkARP-checkS2300(S2300(接入接入)N/AN/AS2600(S2600(接入接入)S2900(S2900(接入接入)S3250(S3250(接入接入)总结l设备安全管理密码源地址限制安全协议l接入安全保护端口全局地址绑定端口安全l防攻击DHCP SnoopingIP Source Guard防ARP：ARP-check&DAI43参考资料lRG-S2600系列智能型增强安全接入交换机主打胶片.pptlRG-S2600系列交换机RGOS 10.4(2)版本配置手册.pdflRG-S2100系列交换机1.8(1A2)版本配置手册.pdflFFP使用说明技术白皮书.doc4445THANKSTHANKS！