如果雨后还是雨,如果忧伤之后还是忧伤,请让我从容地面对这别离之后的别离,微笑着去寻找一个不可能再出现的你……

OSI第二层网络架构安全要素

2007-04-22 23:05:45 / 个人分类:安全分析

许多安全管理员多关注网络层和应用层的安全问题,经常会忽略Layer 2网络架构(数据链路层),同时这也是网络安全和可靠性方面最容易被人忽视的一个方面。在本文中,我会向你展示如何修正交换机配置以及架构方面最常见的错误。虽然我使用Cisco来作为我的例子,但是同样的策略和所讨论的教训一样适用于其他厂商。这些安全手续对任何数据网络来说都是必须的,特别是在使用IP电话的时候。
:c nR\N?0 启用SSh,禁止TelnetNetexpert网络分析专家个人空间/M uB6m.u+RcG
对于一台Cisco设备来说,最明显需要设置的就是口令和启用加密了。如果你让它保持空白的话,你的交换机就等于是在敞开大门,任何人都可以查看并攻击你的VLAN设置。如果你有多台交换机,以及多位系统管理员时,最好使用AAA认证模式,并使用一个本地用户数据库,集中的TACACS+,或者RADIUS服务器来管理所有的交换机和系统管理员。使用TACACS+可能是更正确的选择,因为它可以记录下所有的事件,以便你有一个历史记录,可以记录下所有做出的修改,以及是谁在你的交换机和路由器架构中做出了修改。不过要记住,最重要的事情是,不惜任何代价禁止Telnet,并持续的对所有交换机部署SSH。即便你的交换机上并没有一个启用加密的软件镜像,所有的当前镜像也依然可以让你SSH进交换机。为每一个系统管理员都建立一个独一无二的用户名以及口令。然后,你应当启用SSH,并干掉Telnet。Netexpert网络分析专家个人空间BJ'g*f3jX:L
Cisco Native IOS上启用SSH,禁止TelnetNetexpert网络分析专家个人空间A&zk(V R
命令
/v}KLUp0 		描述Netexpert网络分析专家个人空间ld]$g7oCI#CW
username admin1 privilege 15 password 0 Admin-Password
4@5cN H5E4DJre xy0 		建立一个叫做admin1的系统管理员,每一个管理都必须重复。Netexpert网络分析专家个人空间&I}&c3Mw.Z(|zT ^
aaa new-model
ow1j5P6|7I;OLK,@t3H0 		使用一个本地数据库,设置为AAA模式Netexpert网络分析专家个人空间:n)}HG B!zh
aaa authentication login default local
\!YNAM ]Y+H,qdp0
aaa authorization exec default localNetexpert网络分析专家个人空间:{Il uV,l9AY
aaa authorization network default localNetexpert网络分析专家个人空间xJ.xI(EI`
aaa session-id common
`4uu%JK Un0
ip domain name MyDomain.com
$}Ju{y u0?)W7?Zdt5z0 		建立一个用于认证的名字Netexpert网络分析专家个人空间 _(zu?oL
crypto key generate rsa
~"u%B;VLM0 		建立数字证书。使用至少768位的Diffie-Hellman关键字
yt8m3_2g8G1O'l }sN o0
line vty 0 4Netexpert网络分析专家个人空间6M8{4v;A6E x W/Q
进入vty配置Netexpert网络分析专家个人空间'B7@lH4Cf]7rk*g
transport input sshNetexpert网络分析专家个人空间fp'v9_~0H3{&f
仅仅允许SSH登录Netexpert网络分析专家个人空间#q9mgkhN
Cisco Catalyst OS上启用SSH,禁止TelnetNetexpert网络分析专家个人空间d9[wXS/~5v-\
命令
5N$E1rp&])Gmc0 		描述
i7xn |_e"^0
set crypto key rsa 1024
C mE*b v h5i0 		生成一个1024位的RSA key
R3Q.J r*[xhwQ0
set ip permit 10.0.10.0 255.255.255.0 ssh
m2ea{8kg)z dW0 		明确仅允许指定IP范围内的地址SSH
O9~0Gy g?.s0
set ip enable
O,U aB,w8a+^PR0
要注意,对Cisco Native IOS交换机来说,Native IOS命令同样可以工作在Cisco IOS路由器上。无法使用SSH可能会导致口令被窃,并让攻击者获得对交换架构完全的控制权。

论坛模式 推荐 收藏 等级(0) 编辑 管理 查看(1115) 评论(6)

TAG:

Garnett Wu garnett_wu 发布于2007-04-22 23:11:08
限制STP域的大小
t,TOY lJ这也是在交换机架构方面常常为人忽视的一个方面。一个单一STP(展开树协议)域应当永远不允许长得太过巨大或者变成极度复杂。我曾在一个大学校园里,碰到一个个人用户,仅仅因为偶然插入一个小型桌面交换机,而后偶然的将CAT-5电缆接成自我回环,就瘫痪了整个校园的数千台电脑和IP电话。无论何时,一旦STP域中发生BPDU请求而导致STP重新计算的话,那些同样含有校园网VLAN的网络就会神秘中断,每次都会锁定整个校园网长达30秒之久。数据网络的中断已经够惨了,但是它同时还会导致IP电话架构瘫痪。于是数以百计的人们根本无法工作,因为没有数据,同时也没有了电话。
|u E?;t+o#P7\yB
}Netexpert网络分析专家个人空间space.netexpert.cn7Q jRM${_ Y)Q:s@ P
要避免过大和过于复杂的STP拓扑结构,你必须路由通讯,而不是交换通讯。实际上,这意味着你必须使用layer 3兼容交换机来取代Layer 2交换机,因为后者仅知道如何交换通讯,而不懂如何路由通讯。这也意味着VLAN将无法在那些不属于统一STP交换域的交换机之间展开。这种结构改变可能意味着整个校园局域网的基础架构重新设计,这可不是一件轻松的事情,但是在部署任何IP电话系统之前,这些问题必须被考虑。

Op%\/Z"v%y5D;`space.netexpert.cn
G'D_z"J^维护交换机软件到最新的稳定版本协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载H
CE l(~'Sd b

MR}P,^%A"j(Y网络分析,协议分析讨论在网络安全方面,最大以及最常见的罪恶之一,就是人们假设交换机以及架构上的路由是和铅制造一样的,并且你永远不需要去碰它。但是如果你是在运行一台Cisco交换机或者路由器,而它的软件镜像是半年之前的话,那么在你的交换机或者路由器上就很可能存有某些漏洞。说起来很悲哀,但是我的确看到人们在他们的Cisco设备上,运行3年以前或者4年以前的软件镜像,而没有任何想法。
&sy^{@O7e [网络分析,协议分析讨论
1bq*d4p:mE3~lspace.netexpert.cn永远更新你的网络设备,就像你不断从硬件厂商那里获取稳定的软件来更新你的客户端以及服务器电脑一样,并始终对相关的更新保持留意。所有的网络和安全工程师都应当问自己一句“上一次我对网络设备软件升级是什么时候了?”。制定出一份行动计划,其中包括一个立即执行的计划,以及一个长期实行的计划,并将其用于管理之中。保持你的远见,提前消除事故,而不是去等待事故的发生。VbWD@HHb4t

|g b*sS
h
MU!wN协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载最终想法Qq7jqED2?
网络分析,协议分析讨论gb/y
S?-^_P,{        h4I
Layer2 安全是信息安全方面最被人忽视的一个方面,常常被安全审核错过,特别是当那些审核更多的聚焦在策略之上,而不是实际部署的时候。黑客们不关心策略,他们只会利用任何可用的安全漏洞。在获得网络中单台电脑的根用户权限后,他们第一时间要做的事情之一,就是实施Layer 2攻击。Layer 2攻击常常被忽视的另一个方面,就是那些部署基于VPN的无线网络安全的公司。一旦不可靠的匿名客户端被允许进入一个AP,而AP通常都会直接连上一台内部交换机,并由VLAN进行分段,而你可能就会忘记Layer安全。要限制来自AP的MAC地址数量非常困难。基于这个原因,高度建议基于VPN的无线局域网安全,应当避免使用基于802.1x的无线局域网安全。FN6Uv$h6kZ
协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载%ki^pe5w)p [
越过这些锁闭进程之后,则是Layer 2交换机安全的下一步,关于无线局域网802.1x安全的有线版。幸运的是,用于无线局域网认证的同一架构也适用于有线认证。基于端口的安全措施基本上说起来都是——即使你插入了一个端口,我们也不会让你进入我们的Layer 2交换机架构的,除非你能证明你是谁,以及你是被许可进入网络的。尽管许多公司已经部署了802.1x无线局域网安全,但部署802.1x有线版的还是很少。Windows XP自动进行无线局域网802.1x配置,但是不会自动进行802.1x有线局域网配置。这一点会在Vista中进行改变,无论有线还是无线的802.1x局域网都会自动进行配置。.hm)Z!k4mf

-F"]9Gvv[E网络分析,协议分析讨论除了对802.1x的增强之外,Vista也增加了NAP(网络访问保护)客户端,也就是微软版本的NAC(网络访问控制)标准。NAP或者NAC使用了802.1x基于端口的安全理念,并更进一步,不仅在它们被允许连上网络之前,要求来自客户端的认证和许可,同时也核定客户端的健康状况。如果一个客户端可以证明自己是谁,并证明自己得到网络的认证,他们还依旧必须证明自己是足够健康的。NAC健康通常被定义为完全进行了安全补丁方面的更新,正确部署了防火墙,并使用了最新的防病毒库定义。如果一个认证的客户端电脑不能通过健康测试,他们将被放入网络上的一个受限隔离区,直到他们使用正确的更新将自己修正完毕为止。
6^w]$W[+f$GNetexpert网络分析专家个人空间 Ky S%G
Y
l3|STs
今天的无损耗网络,部署的是文章中记述的所有锁闭进程。而明天的无损耗网络,将部署本文中除NAP/NAC以外的所有一切。
Garnett Wu garnett_wu 发布于2007-04-22 23:10:13
阻止DHCP,MAC,以及IP欺骗d3H9}4d        [({I        b0Dg
ARP以及IP欺骗允许黑客佯装其他人,从而截取通讯。DHCP欺骗则允许一个黑客将一个信任客户端放入一个伪造IP范围的以太网段上,从而淹没攻击者达到网络的其他地方。所有这些方式都是为了截取网路通讯,以便攻击者可以嗅探内部局域网上的各种秘密。你可以通过部署DHCP调查,动态ARP检查,以及IP源地址防护来阻止这些攻击。 3U+Y#R]'{)jZ
Cisco Native IOS阻止DHCPMAC,以及IP欺骗
+c!yV\x;s {@
全局命令Netexpert网络分析专家个人空间l1[~#F)\+o
描述f4e5U0|0j
P_
ip dhcp snooping vlan 1-1000space.netexpert.cn3T Qn1e,R!R~:k\0?'Z
Vlan 1-1000打开DHCP调查
p?%F4S%`VNetexpert网络分析专家个人空间
ip dhcp snooping网络分析,协议分析讨论8}JT-|l+Cs:meNa
打开DHCP调查
7?#c j        X3h R
no ip dhcp snooping information option
A&G)Z6szhg0e+{space.netexpert.cn		 网络分析,协议分析讨论Y\0s.| Bcg:x
ip arp inspection vlan 1-1000协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载.LZ-z2ncp6a2u
VLAN 1-1000上的ARP检查(c W!S.J2hn?^r
S
ip arp inspection log-buffer entries 1024space.netexpert.cnp]\0q        l J0l+{
 协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载,u%F}uBR)K7^"@P
ip arp inspection log-buffer logs 1024 interval 10
R/m%m(cHf|6r-NNetexpert网络分析专家个人空间		 Vi/eI5}"D'?^A
主机接口命令
E%{4_9I:I kWNetexpert网络分析专家个人空间		描述
j)f)T2t#T0UB协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
int range FastEthernet 0/1 - 48
M3p;R"@.N f3U_网络分析,协议分析讨论		进入接口1 - 48rpnCIB6_
no ip arp inspection trust
        CMO;V6`Z$J
EV		锁闭ARP的主机端口
p JYk0m2I9\$u2D#k {space.netexpert.cn
ip arp inspection limit rate 15协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载]8f/sVCg;f
设置ARP pps检查速率
(?W5_*h8t8ql1_网络分析,协议分析讨论
ip verify source vlan dhcp-snooping协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载~7BY.V        P        `"XP
M
打开IP来源防护
(mk/M
[%GvQ协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
DHCP客户端接口命令
8YD8{-T \Ul协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载		描述
#x/Y"U/~*I\0`
A协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
no ip dhcp snooping trust
;n4\v(FJ}t!Y5Xspace.netexpert.cn		不允许DHCP服务器
D!r[u4fDP3Q
ip dhcp snooping limit rate 10space.netexpert.cn
K2W5c
tc
限制对DHCP的请求速率
JV?-{_\0\        ^Z-v
仅在信任的DHCP端口以及连接其他信任交换机的端口上执行下述命令。下述部分命令将和上面的相反。在正当的互联交换机上以及DHCP服务器上执行下述命令失败,将会导致网络瘫痪以及DHCP瘫痪。1d7dl#be0SO
x
DHCP服务器接口命令网络分析,协议分析讨论%CN4q;|NQo
描述协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载3D!x;c.qsF{Lm
ip dhcp snooping trust\0LOY8z1gq\0w5_2y"A+e
这个端口允许DHCP服务器
P5cA6k1A-`网络分析,协议分析讨论
交换机接口命令4\1f4EC@|z]
描述
I Zz!W`,t
ip arp inspection trustv4P$KR@c
解锁用于连接信任交换机的端口
#u;U_p7?space.netexpert.cn
t/k+^:r}T1a协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载要注意,Cisco Catalyst OS不支持这些反欺骗功能,所以将你的大CAT OS迁移到Native OS上是一个很好的想法。这意味着你将不得不将你的MSFC路由器和CAT OS 交换机合并到一个单一的Native IOS镜像里。Netexpert网络分析专家个人空间%B5CsjJ.P@$W
对Layer 2的防护,以及强化交换机架构,应对内部局域网威胁而言,反欺骗绝对是一个非常重要的部件。内部威胁应当和外部威胁处于同等重要地位,因为一台简单的被恶意软件所侵害的工作站,加上rootkit工具,即可将一个外部威胁立刻转变成为内部威胁。
#Jd|e&q9[;l+Qa
Garnett Wu garnett_wu 发布于2007-04-22 23:09:32
阻止CAM表格以及DHCP耗尽
d0J        V        ow        x/D"aspace.netexpert.cn黑客们可以利用这样一个事实,那就是交换机和DHCP服务器所能保留的MAC地址或IP地址是有限的。黑客可以修改自己的MAC地址,并从DHCP服务器上要求多个DHCP地址,直到用尽DHCP池中每一个单独IP地址。黑客也可以非常迅速的修改自己的MAC地址,从而快速的将任意以太网交换机的CAM表格占满。一旦一台以太网交换机的CAM表格被塞满,它事实上就变成了一个以太网集线器。不仅会导致性能的急剧降低,同时交换机将被迫的向每一个端口广播所有的网络通信,这让黑客可以偷听交换机上的每一台设备,看起来就像是在使用一台集线器一样。要阻止CAM表格攻击以及DHCP耗尽攻击,你必须按照下属示例的方法对端口防护进行正确的配置。
"ay-W$R3r*m
L'u8pspace.netexpert.cn
        `c4^:x zT3HUspace.netexpert.cn
Cisco Native IOS阻止CAM表格以及DHCP爆炸
8B:X \2a0I[w5`space.netexpert.cn
命令9T:z? w l\0I
描述|.Ud0^        `di        A
int range FastEthernet 0/1 - 48
+L&kA1e{Mx^-ONetexpert网络分析专家个人空间		进入接口1 - 48
7T n7[{#g3S1y'J2H[
switchport port-securityspace.netexpert.cn%x}$`u        DT(I
打开端口防护
0w0m
fhn h网络分析,协议分析讨论
switchport port-security maximum 5
vLmq8z2P:R/W \uspace.netexpert.cn		允许最高5MAC地址
O\lpFA协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
switchport port-security violation protect
)r+bSN0mv9Oh网络分析,协议分析讨论		超过5个的MAC地址后的数据包全部丢弃
        zW;j2J5mZ&u:K1bLit
switchport port-security aging time 2O9zx        ZyLv~:K
 m,l rJ%r4t        GI!HQ
switchport port-security aging type inactivity
(^U;L|4k"u:}oNetexpert网络分析专家个人空间		 Netexpert网络分析专家个人空间$[T`&F;@xkf
对所有其他交换机上的所有其他端口重复上述步骤Netexpert网络分析专家个人空间d&V
v:_;T
`e"c.IJ)zG,~,J$\#MY
q(l
Cisco Catalyst OS阻止CAM表格以及DHCP爆炸
Lj!x-X6U_网络分析,协议分析讨论
命令

x        eh+D+P\0F		描述
3Dh5|iSl
set port security 1/1-2 enable网络分析,协议分析讨论}na#W$K\0P
在所有blade 1端口上启用端口防护
;GRAV&Y:DF(j~
set port security 3/1-48 enable
r/iJ`[U i网络分析,协议分析讨论		在所有blade 3端口上启用端口防护Netexpert网络分析专家个人空间0p;`)Z~.L'g2};mF        {
set port security 1/1-2 port max 5网络分析,协议分析讨论G6HWC6sW/~e7d
blade 1上允许5MAC地址&ZcH(n
H4g#Cyj
set port security 3/1-48 port max 5
Jmd2TQ8S
]Netexpert网络分析专家个人空间		blade 3上允许5MAC地址
a$|$M%q6rb1{space.netexpert.cn
set port security 1/1-2 violation protect
z/O+}%zL9tp		超过5个的MAC地址后的数据包全部丢弃网络分析,协议分析讨论.C7P@#t1S#v8i
set port security 3/1-48 violation protect
Ij0Q(t&o		超过5个的MAC地址后的数据包全部丢弃space.netexpert.cn\0mA;}A"}7}I
set port security 1/1-2 age 2网络分析,协议分析讨论@-l _Z'FR]R
 协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载 J*g7`9O~t WvuU
set port security 3/1-48 age 2
O9t#E?3B$Q_qspace.netexpert.cn
#t X6G"?{\0bKa
set port security 1/1-2 timer-type inactivityn)u$Oq({"k'dM'k
        Q,D_bz\0TxG协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
set port security 3/1-48 timer-type inactivity
\kJ7w\0IU(NT3n协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载		 Netexpert网络分析专家个人空间:wmN+vuX7^
对所有其他blade上的所有其他端口重复上述步骤协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载[GIk
_
j;gY\'NW协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载注意,你必须禁止那些连接其他交换机的端口的安全。
Garnett Wu garnett_wu 发布于2007-04-22 23:08:43
STP BPDU以及Root防护协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载uQ        O)w_N#C
通过发送BPDU通讯,黑客们可以玩出所有的下流把戏,而BPDU可以迫使VLAN STP(展开树协议)重新计算,至少花费30秒才可以清除。这样他们就可以不定期的发动DoS攻击(拒绝服务)。他们也可以装作是STP root而染指相关通讯。BPDU防护以及root防护可以阻止这种类型的攻击。 space.netexpert.cn#]IQ zG0].Zx CA
Cisco Native IOS上的STP BPDU以及Root防护space.netexpert.cnC.aW;p6ru
命令
aH;GC*J"B		描述&G o\0{n[Tg&Tp7m
spanning-tree portfast bpduguardspace.netexpert.cn:]-`O/[Y0F        {FqV
在交换机上打开BPDU防护
#t5G'\:zJnD
spanning-tree guard root
n        k~;i-Z1A9gV"CU网络分析,协议分析讨论		在交换机上开启“Root guard
#A!u|8i!o^b+q;[ V/~e
spanning-tree rootguard
1V-z*X)W9s~2a8U		某些IOS版本上使用的另一个root guard命令space.netexpert.cn5i)T"dn0d R#V\0Z
;_!tw&aVspace.netexpert.cn
#m)_;Y        \G@
o?&EL#x
Cisco Catalyst OS上的STP BPDU以及Root防护
Lw1GRm g6Jn+h\0Y?[
命令
\0[Nt/oKv		描述网络分析,协议分析讨论0Pr#k`"OG
set spantree portfast bpdu-guard enable
#W*gP{M6y-PNetexpert网络分析专家个人空间		在交换机上开启BPDU防护
DW:\\0C,k3R        c"|协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
set spantree guard root 1/1-29x/w2xt\0y6?#h
blade 1开启root guardspace.netexpert.cnE"SYsh v
set spantree guard root 3/1-48
[:iK$ie@!^网络分析,协议分析讨论		blade 3开启root guard
c\k4W;X'D;K
为每一台blade以及每一个端口重复"set spantree guard root"命令space.netexpert.cnb4PXi'BY#i
]@9I)z(z,j!Z
注意,你必须禁止所有连接其他交换机的端口上的root防护以及BPDU防护。如果这个安全功能部署失败的话,将允许黑客们针对整个交换结构发动BPDU拒绝服务攻击,并可能截取交换机通讯。
Garnett Wu garnett_wu 发布于2007-04-22 23:07:46
VLAN中继锁闭 无论何时,当在任意端口上使用VLAN中继时,该中继端口应当最小化VLAN数目,仅保留那些需要穿越交换机的VLAN。在下述例子中,我们将配置一个中继端口,仅允许VLAN 12-14以及20-22。
ow0s0`,R3O[Netexpert网络分析专家个人空间协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载#Z
w8gh:|(uq

w9?x }1G_*I网络分析,协议分析讨论Cisco Native IOS上的VLAN中继锁闭
)| ?2[^,V M+n,ENetexpert网络分析专家个人空间
命令
k^F*~&CN7|T		描述space.netexpert.cn6j3}{~fe2QT yd-a
interface GigabitEthernet1/0/2
\,k6_FH5F3hgNetexpert网络分析专家个人空间		Cisco 3750上进入第二个gigabit端口Netexpert网络分析专家个人空间\0[C4M:c5N:Z q
kV
K3a'J
switchport mode trunk
t$xES,o]		打开中继模式
x1B4uI3`2W-V
Switchport trunk encapsulation dot1q
gbqr
[Iz        PS网络分析,协议分析讨论		设置中继类型为IEEE 802.1q7x
fd&qo%V:Q/V
switchport trunk allow 12-14, 20-22
IYSW+]/v&@		仅允许Vlan 12-14以及20-22
6y#uQ&B/M"zZ\Q
y$iCq(]Dspace.netexpert.cn
\$cd ^
m;C~网络分析,协议分析讨论
Cisco Catalyst OS上的VLAN中继锁闭
q"`?:F0F
命令
7|F+Dll ^`5cY3D协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载		描述space.netexpert.cne/G'h
R#?d
Clear trunk 1/1-2 1-1005网络分析,协议分析讨论K.z4f)FW@c
设置sup 卡端口到VLAN 3331{"H/B*Td(]4V/P[y
Clear trunk 3/1-48 1-1005
tI1c:o/]!]Uv网络分析,协议分析讨论		在所有SUP卡端口上禁止中继2X.i8pN$G
o
vp0d
为每一个blade以及每一个端口重复"clear trunk"命令
%F\0z[/_lDa8`JCm\0F协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
Set trunk 1/2 12-14
eX,b5C2c3Y		设置端口1/2 允许vlan 12-14网络分析,协议分析讨论/Uh!bB)Q&e        b!P,\
Set trunk 1/2 20-22
R,p:i
Tko*L8tUNetexpert网络分析专家个人空间		设置端口1/2 允许vlan 20-22sI(YA"]l,v
Netexpert网络分析专家个人空间-S,V(E'OJ.JDc
kN
要注意,在一个Catalyst os上,清除默认允许的VLAN中继将意味着非常大量的工作,因为默认状态下,所有的VLAN都是打开的。在这种情况下,事实上我们在Catalyst os上所定义的VLAN 12-14以及20-22将没有任何意义,因为它只不过是更大的1-1005中的一部分,而后者默认全部是打开的。而在Cisco Native IOS上,每一个VLAN默认都是被阻挡的,除非特别定义其打开。协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载X Q!vg7_
如果在锁闭一个中继上允许的VLAN方面失败的话,将意味着所连接的设备可能会连上的VLAN数目,将会远远超过你的期望。
Garnett Wu garnett_wu 发布于2007-04-22 23:07:00
基础端口锁闭 P xpe
c5^        b{
交换机应当像安全领域中的其他事物一样,使用那种最低权限的理念。设置一个交换机的最好方法就是在部署时先关闭所有的端口,然后再一一打开自己需要的端口。除此以外,你应当将每一个端口都放入一个不曾使用的,无处可去,没有默认网关的VLAN之中。你可以建立一个名为“unused(不曾使用)”的VLAN,并使用一个指定的数字,比如333,然后将所有的端口都放入这个VLAN之中。在下面的例子里,我们将使用一台基于传统CIsco IOS的48口交换机。协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载3L] eP7^
dd
~5q
gL&g
Cisco Native IOS上的基础端口锁闭网络分析,协议分析讨论u(j)m QN1]0d
命令
8l&[-E*w2sGd0^7~网络分析,协议分析讨论		描述
Zl[8G4Q0k%FZSNetexpert网络分析专家个人空间
int range FastEthernet0/1 - 48Netexpert网络分析专家个人空间"uy#]2ca(R
进入接口1 - 48
pz@}\0s3Wp I/D(X协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
switchport access vlan 333
e8Q#bi/D3mg#R.@f8l"cNetexpert网络分析专家个人空间		设置端口到VLAN 333网络分析,协议分析讨论(vP1YK
G
o
switchport mode access
km/q;cl4[space.netexpert.cn		关闭自动VLAN中继
1u }H"Lq,Tspace.netexpert.cn
shut
,{`j\0H&}%T3|AqF;aNetexpert网络分析专家个人空间		关闭端口
0F\0sMU?
网络分析,协议分析讨论c.V:Ks4Z
}-Cn
3T        q4v]*`
Cisco Catalyst OS上的基础端口锁闭
O$BC/b{_协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载
命令&f1xu/da\0cj
描述space.netexpert.cn"l~r8ul,x1Q#X"g9?
set vlan 333 1/1-2Netexpert网络分析专家个人空间:{7KQ$D]5}AM
设置sup卡端口到VLAN 333
7\@5F~N9u)EZ
set vlan 333 3/1-48Netexpert网络分析专家个人空间'?O'?Mk
设置所有blade 3端口到VLAN 333
E0J:Fz&YoW\0kNetexpert网络分析专家个人空间
set trunk 1/1-2 off协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载6`O
g&h:h+L#U
禁止所有SUP卡端口的中继网络分析,协议分析讨论$J:A4CFX~\
set trunk 3/1-48 off
(y4f$] Vj:Z网络分析,协议分析讨论		禁止在所有blade 3端口上的中继
$wZ2d r'BJqspace.netexpert.cn
set port disable 1/1-2
s;s X2i
Xq9pc		关闭所有Blade 1上的全部端口qJ9sPUB.]&H,H
set port disable 3/1-48
K!D#`2@%?L		关闭所有Blade 3上的全部端口
%t1F-^7V \*E        V(wY#Z
对所有交换机上的blade以及端口都需要重复"set vlan/trunk/port"命令网络分析,协议分析讨论v+}wN        DD0C{~`E
`"XPEY*^T/X你将需要为所有的交换机进行上述工作,具体则要根据机器的型号和操作系统类型来定。如果你是在使用某种堆叠,你将不得不为每个堆叠都坐上一次。然后,当你插入服务器时,你“不关上”该端口,并将其设置到正确的VLAN上,或者甚至将其转化成一个中继端口(如果的确需要的话)。当你将VLAN设置到服务器和工作站上是,永远也不要使用VLAN1,这是默认的交换机上的自然VLAN,也不要使用你人工指派的VLAN数字。不在服务器,工作站,或者其他设备上使用native VLAN将可以有效阻挡频繁的VLAN攻击。如果你不进行这个基础锁闭进程的话,那么在VLAN1上,所有的交换机端口默认都是打开的。而这正是许多人当前使用交换机的方式,多么恐怖的一个错误!
v7i,m-CG8J当你检查每一个端口,并连上新设备时,你应当在Cisco IOS中使用“description My-Port-Name”命令,来对每一个端口正确标示。Cisco Catalyst OS使用“set port name 3/43 My-Port-Name”命令来标示端口。这一点在SNMP向类似Solarwinds或者HP OpenView这样的服务器报告时特别有用,因为在报告中将直接给出端口描述。这是最好的文档形式,因为它们的确有用。协议,协议分析,网络分析,Sniffer教程, Sniffer, Etherpeek, Omnipeek, Sniffer Pro, Sniffer下载/{1eDZ
XV
那些不曾使用这个基本端口锁闭进程的人们,则相当于允许任何人闯入他们的交换机网络,并连上任何一个他们喜欢的VLAN。Netexpert网络分析专家个人空间1v*ZQi2w[:ukk

我来说两句

(可选)

Open Toolbar