碼上快樂

相關內容    簡體    繁體

[CISCO] Telete/SSH 之 Port 綁定/端口安全

本文轉載自   查看原文   2017-11-01 02:09   1157    [03] Cisco

[網絡] Telete/SSH 之 Port 綁定/端口安全

一、前言

之前寫完了網絡] DHCP 之 Mac 綁定CiSCO 交換機配置 SSH 登陸。這次我們再試試能不能挖的在深入些。

(1) 理解交換機的 MAC 表
(2) 理解交換機的端口安全
(3) 配置交換機的端口安全特性

二、配置

交換機端口安全特性,可以讓我們配置交換機端口,使得非法的 MAC 地址的設備接入時,交換機自動關閉接口或者拒絕非法設備接入,也可以限制某個端口上最大的 MAC 地址數。

( I )配置網絡層(接入層)

Snipaste_2017-11-01_00-28-00

( II )配置傳輸層

Snipaste_2017-11-01_00-26-04

注意:這樣是無法登陸的,還需要進入 int vty 0 設置 no password / password <passwd>

提示:建議在 vty 接口處設置 transport input ssh 更安全。

( III ) Client 登陸 OpenSSH Version 2

Snipaste_2017-11-01_00-51-02

注意:**如果允許 Client 獲取 privilege 需要在 configure terminal 內設置 enable password <passwd> **

三、交換機端口安全

數據鏈路層 VLAN 實現,並非三層 ACL 實現。( 關於ACL相關將在下次進行講解 )

Snipaste_2017-11-01_00-56-00

這樣我們就引入了本文的要點,配置 MAC 綁定的意義就在這。

如果只有 PC1 是我信任的,但因為沒有做二層 MAC 認證造成互聯網任何一台機器都可以遠程登陸。

安全提示 :其實在配置 OpenSSH 的時候,需要進入 privilege mode 設置 line vty 的狀態。如果只是設置了一個允許的訪問,但 administrator 登陸未斷開時。即便 password 正確,黑客也無法登陸。使用 show line 可以查看登錄狀態。建議合理分配 line vty 個數。

( I )配置交換機端口安全(白名單)

本來這里是三層口的,我使用 no switchport 死活轉不下來。所以這里使用 Cisco Packet 給Router 2911 添加了 HWIC-4ESW (提供4個交換功能接口)模塊。

無腦提示:路由器 Route 是三層網絡層的設備不可以轉換二層匯聚成接口;接入層交換機 Switch 是二層數據鏈路層設備不可以轉換成三層網絡層設備。但三層交換機 Switch 開啟 ip routing 后是可以給一個接口配置 no switchport 以進行二層、三層的切換。

Snipaste_2017-11-01_01-33-48

注意:這個 Switch1 的 fa0/1 和 fa0/2 都需要設置 VLAN 模式(上圖是錯誤的)。若 Switch1 的倆個接口都需要設置 MAC 地址防護,需要增大 maximum 參數。

1、配置訪問模式

S1(config)#int f0/2/0
S1(config-if)#shutdown
S1(config-if)#switch mode access
//以上命令把端口改為訪問模式,即用來接入計算機。

2、開啟端口安全

S1(config-if)# switchport port-securitiy
//以上命令是打開交換機的端口安全功能。
S1(config-if)#switchport port-securitiy maximum 1
//以上命令只允許該端口下的 MAC 條目最大數量為 1,即只允許一個設備接入
S1(config-if)#switchport port-securitiy violation { protect | shutdown | restrict }

  • protect:當新的計算機接入時,如果該接口的 MAC 條目超過最大數量,則這個新的計算機將無法接入,而原有的計算機不受影響
  • shutdown:當新的計算機接入時,如果該接口的 MAC 條目超過最大數量,則該接口將會被關閉,則這個新的計算機和原有的計算機都無法接入,需要管理員使用“no shutdown” 命令重新打開。
  • restrict:當新的計算機接入時,如果該接口的 MAC 條目超過最大數量,則這個新的計算機可以接入,然而交換機將向發送警告信息。

S1(config-if)#switchport port-security mac-address 0004.9A68.92E1
//允許 R1 路由器從 f0/1 接口接入
注意:所有相連的路由必須加入允許MAC列表內,否則斷連。
S1(config-if)#no shutdown
S1(config)#int vlan1
S1(config-if)#no shutdown
S1(config-if)#ip address 172.16.0.1 255.255.0.0
//以上配置交換機的管理地址
(3) 步驟 3:檢查 MAC 地址表
S1#show mac-address-table

Switch#show mac address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0004.9a68.92e1    STATIC      Fa0/2

//R1 的 MAC 已經被登記在 f0/1 接口,並且表明是靜態加入的

四、模擬非法接入

Have some problems...

僅供參考,歡迎留言。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 SSH 命令端口轉發(Port Forward) SSH端口轉發 (Port Forwarding) 的個人理解 SSH 綁定本地端口 交換機端口安全---port security SSH Tunnel掃盲(ssh port forwarding端口轉發) 交換機端口安全Port-Security超級詳解 【端口轉發】k8s port-forward端口轉發 和 ssh -NfL端口轉發 ssh remote forward 監聽 0.0.0.0 端口;How to make SSH remote port forward that listens 0.0.0.0 交換機端口與Mac地址綁定(基於Cisco模擬器) cisco ssh配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM