• [CISCO] Telete/SSH 之 Port 绑定/端口安全

    [网络] Telete/SSH 之 Port 绑定/端口安全

    一、前言

    之前写完了网络] DHCP 之 Mac 绑定CiSCO 交换机配置 SSH 登陆。这次我们再试试能不能挖的在深入些。

    (1) 理解交换机的 MAC 表
    (2) 理解交换机的端口安全
    (3) 配置交换机的端口安全特性

    二、配置

    交换机端口安全特性,可以让我们配置交换机端口,使得非法的 MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的 MAC 地址数。

    ( I )配置网络层(接入层)

    Snipaste_2017-11-01_00-28-00

    ( II )配置传输层

    Snipaste_2017-11-01_00-26-04

    注意:这样是无法登陆的,还需要进入 int vty 0 设置 no password / password <passwd>

    提示:建议在 vty 接口处设置 transport input ssh 更安全。

    ( III ) Client 登陆 OpenSSH Version 2

    Snipaste_2017-11-01_00-51-02

    注意:**如果允许 Client 获取 privilege 需要在 configure terminal 内设置 enable password <passwd> **

    三、交换机端口安全

    数据链路层 VLAN 实现,并非三层 ACL 实现。( 关于ACL相关将在下次进行讲解 )

    Snipaste_2017-11-01_00-56-00

    这样我们就引入了本文的要点,配置 MAC 绑定的意义就在这。

    如果只有 PC1 是我信任的,但因为没有做二层 MAC 认证造成互联网任何一台机器都可以远程登陆。

    安全提示 :其实在配置 OpenSSH 的时候,需要进入 privilege mode 设置 line vty 的状态。如果只是设置了一个允许的访问,但 administrator 登陆未断开时。即便 password 正确,黑客也无法登陆。使用 show line 可以查看登录状态。建议合理分配 line vty 个数。

    ( I )配置交换机端口安全(白名单)

    本来这里是三层口的,我使用 no switchport 死活转不下来。所以这里使用 Cisco Packet 给Router 2911 添加了 HWIC-4ESW (提供4个交换功能接口)模块。

    无脑提示:路由器 Route 是三层网络层的设备不可以转换二层汇聚成接口;接入层交换机 Switch 是二层数据链路层设备不可以转换成三层网络层设备。但三层交换机 Switch 开启 ip routing 后是可以给一个接口配置 no switchport 以进行二层、三层的切换。

    Snipaste_2017-11-01_01-33-48

    注意:这个 Switch1 的 fa0/1 和 fa0/2 都需要设置 VLAN 模式(上图是错误的)。若 Switch1 的俩个接口都需要设置 MAC 地址防护,需要增大 maximum 参数。

    1、配置访问模式

    S1(config)#int f0/2/0
    S1(config-if)#shutdown
    S1(config-if)#switch mode access
    //以上命令把端口改为访问模式,即用来接入计算机。

    2、开启端口安全

    S1(config-if)# switchport port-securitiy
    //以上命令是打开交换机的端口安全功能。
    S1(config-if)#switchport port-securitiy maximum 1
    //以上命令只允许该端口下的 MAC 条目最大数量为 1,即只允许一个设备接入
    S1(config-if)#switchport port-securitiy violation { protect | shutdown | restrict }

    • protect:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响
    • shutdown:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用“no shutdown” 命令重新打开。
    • restrict:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。

    S1(config-if)#switchport port-security mac-address 0004.9A68.92E1
    //允许 R1 路由器从 f0/1 接口接入
    注意:所有相连的路由必须加入允许MAC列表内,否则断连。
    S1(config-if)#no shutdown
    S1(config)#int vlan1
    S1(config-if)#no shutdown
    S1(config-if)#ip address 172.16.0.1 255.255.0.0
    //以上配置交换机的管理地址
    (3) 步骤 3:检查 MAC 地址表
    S1#show mac-address-table

    Switch#show mac address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0004.9a68.92e1    STATIC      Fa0/2

    //R1 的 MAC 已经被登记在 f0/1 接口,并且表明是静态加入的

    四、模拟非法接入

    Have some problems...

    仅供参考,欢迎留言。
  • 相关阅读:
    HDU1506 Largest Rectangle in a Histogram(算竞进阶习题)
    洛谷P1073 最优贸易
    CH2101 可达性统计(算竞进阶习题)
    BZOJ1012 最大数maxnumber
    POJ 3764 The XOR Longest Path
    洛谷P4513 小白逛公园
    外边距叠加问题
    读JS高性能总结——DOM编程(一)
    DOM修改元素的方法总结
    DOM查找元素的方法总结
  • 原文地址:https://www.cnblogs.com/itxdm/p/Network_Telete_SSH_port_binding_port_security.html
Copyright © 2020-2023  润新知