銳捷安全專項認證課程-使用Router與Switch安全網(wǎng)絡

1、運用Router與Switch平安網(wǎng)絡學習目的經(jīng)過本章的學習，希望您可以：平安化Router與Switch平安管理Router與Switch運用Router加強網(wǎng)絡平安性運用Switch加強網(wǎng)絡平安性本章內(nèi)容平安化Router與Switch平安管理Router與Switch運用Router加強網(wǎng)絡平安性運用Switch加強網(wǎng)絡平安性課程議題交換機/路由器的管理方式路由器的管理方式帶外管理經(jīng)過帶外對路由器進展管理(PC 與路由器直接相連)帶內(nèi)管理經(jīng)過Telnet 對路由器進展遠程管理經(jīng)過Web 對路由器進展遠程管理經(jīng)過SNMP 任務站對路由器進展遠程管理Console口及配置線纜RJ45-DB9

2、轉(zhuǎn)換器反轉(zhuǎn)線纜DB9-RJ45線纜Console口(RJ45)AUX口銜接撥號網(wǎng)絡 帶外路由器配置連線利用配置線將主機的COM口和路由器的console口相連翻開超級終端從開場-程序-附件-通訊-超級終端翻開超級終端程序配置超級終端為銜接命名選擇適宜的COM口配置正確的參數(shù)TELNET管理路由器在主機DOS命令行下輸入： telnet ip address路由器管理IPTELNET管理路由器續(xù) 輸入telnet密碼和特權密碼即可進入到路由器的配置界面基于WEB的管理 在web頁面中輸入路由器的管理IP可以進入路由器的web管理頁面基于WEB的管理 在web頁面下對路由器進展管理基于SNMP協(xié)議

3、的管理課程議題路由器的根本配置路由器配置方式配置模式提示符進入命令用戶模式Router特權模式Router#enable全局模式Router(config)# configure terminal線路配置模式Router(config-line)#vty 0 4路由配置模式Router(config-router)#router rip接口配置模式Router(config-if)#Interface f 1/1課程議題交換機的根本配置交換機配置命令方式EXEC方式：用戶方式switch交換機信息的查看，簡單測試命令特權方式switch# 查看、管理交換機配置信息，測試、調(diào)試配置方式：全局配置

4、方式switch(config)# 配置交換機的整體參數(shù)接口配置方式switch(config-if)#配置交換機的接口參數(shù)交換機配置命令方式進入全局配置方式Switch#configure terminalSwitch(config)#exitSwitch#進入接口配置方式Switch(config)#interface fastethernet 0/1Switch(config-if)#exitSwitch(config)#從子方式下直接前往特權方式Switch(config-if)#endSwitch#命令行其他功能獲得協(xié)助switch#? switch#show ?命令簡寫全寫：swi

5、tch# configure terminal簡寫：Switch# config運用歷史命令Switch# (向上鍵)Switch# (向下鍵)課程議題平安化Router與Switch傳統(tǒng)網(wǎng)絡設備的平安問題Router與Switch的平安問題運轉(zhuǎn)多種效力允許對一切流量進展轉(zhuǎn)發(fā)出廠默許配置禁用未運用的效力禁用DHCP中繼效力no service dhcp Router(config)#限制DNS查詢no ip domain-lookup Router(config)#制止DNS查詢ip host name ip-address配置靜態(tài)主機映射條目禁用未運用的效力續(xù)禁用ICMP不可達音訊防止DoS

6、攻擊no ip unreachables Router(config-if)#禁用HTTP效力no ip server / no enable services web-serverRouter/Switch(config)#禁用ICMP掩碼應對防止攻擊者獲得網(wǎng)絡拓撲no ip mask-replyRouter(config-if)#禁用未運用的效力續(xù)禁用SNMP效力no snmp-server / no enable services snmp-agentRouter/Switch(config)#禁用IP源路由選擇制止發(fā)送者控制報文的途徑no ip source-routeRouter(c

7、onfig)#封鎖未運用的接口shutdown Router(config-if)#禁用未運用的效力續(xù)禁用ARP Proxyno ip proxy-arpRouter(config-if)#課程議題平安管理Router與Switch控制Console與VTY線路訪問line console 0line vty begin end Router(config)#進入Console或VTY線路exec-timeout minutes secondsRouter(config-line)#配置登錄銜接超時login local配置密碼認證或本地數(shù)據(jù)庫用戶認證password password配置密碼

8、認證的密碼配置VTY線路訪問限制line vty begin endRouter(config)#進入VTY線路access-class acl-number inRouter(config-line)#配置訪問限制service tcp-keepalives-in secondsRouter(config)#配置失效TCP銜接檢測配置其它訪問控制enable password | secret level level passwordRouter(config)#配置特權訪問密碼username username privilege level password passwordRouter

9、(config)#配置本地用戶數(shù)據(jù)庫banner motd bannerRouter(config)#配置標識誰是擁有者并有權運用未授權的訪問是非法的用戶的操作將被監(jiān)控非法行為將被起訴運用進展SSH平安訪問enable services ssh-serverSwitch(config)#啟用SSHSecure ShellClient/Server對流量進展加密Telnet無加密支持RSA認證TCP 22SFTPip ssh version 1 | 2Switch(config)#配置SSH版本運用SNMP進展管理Simple Network Management ProtocolAgent&N

10、MSSNMP v1/v2/v3MIB 只讀/讀寫/TrapUDP 161/162配置SNMP v1/v2snmp-server community string view viewname ro | rw acl-numberRouter(config)#配置團體名snmp-server host ip-address traps version 1 | 2 string notification-typeRouter(config)#配置NMSsnmp-server enable traps notification-typeRouter(config)#配置系統(tǒng)產(chǎn)生Trap音訊配置SNMP

11、 v3snmp-server group name v3 auth | noauth | priv read readview write writeview Router(config)#配置用戶組snmp-server user username groupname v3 encrypted auth md5 | sha password priv des56 password Router(config)#配置用戶snmp-server host ip-address trap version 3 auth | noauth | priv community-stringRouter(c

12、onfig)#配置NMS運用Syslog日志SyslogClient/Server日志音訊目的地ConsoleVTYLogging bufferLogging fileSyslog server日志平安級別 Syslog日志格式配置日志logging ip-addressRouter(config)#配置Syslog效力器logging trap levelRouter(config)#配置發(fā)送到Syslog效力器的日志級別service timestamps log | debug uptime | datetimeRouter(config)#配置日志時間戳配置日志續(xù)service seq

13、uence-numbersRouter(config)#配置在日志信息中添加序號logging buffered buffer-size | level Router(config)#配置將日志發(fā)送到日志緩沖區(qū)logging file flash:filename max-file-size levelRouter(config)#配置將日志記錄到日志文件配置日志續(xù)show loggingRouter#顯示日志配置參數(shù)、統(tǒng)計信息以及日志緩沖區(qū)中的信息clear loggingRouter#去除日志緩沖區(qū)中的信息logging onRouter(config)#啟用日志平安網(wǎng)絡管理最正確實際方式

14、運用平安的登錄機制運用SSH，不運用Telnet運用SFTP或FTP，不運用TFTP運用HTTPS，不運用HTTP運用SNMPv3，不運用SNMP v1/v2c對一切的操作和時間進展詳細的日志記錄將一切設備的配置文件進展平安的、一致的管理課程議題運用Router加強網(wǎng)絡平安性訪問控制列表訪問控制列表ACL的類型規(guī)范ACL，擴展ACL規(guī)范ACL僅對源地址信息進展過濾access-list 1 permit 55擴展ACL可對源地址、目的地址、源端口、目的端口、協(xié)議、IP優(yōu)先級、ToS等進展過濾access-list 100 permit tcp 55 any eq 21ACL部署規(guī)范ACL：路由

15、信息過濾、發(fā)布、訪問線路控制擴展ACL：報文過濾詳細的語句放在前面，默許的deny any運用ACL進展Internet入口過濾Bogon地址過濾運用ACL進展Internet入口過濾續(xù)RFC2827過濾運用Router阻止Smurf和Fraggle攻擊運用Router防止ICMP不可達DoS攻擊ip icmp rate-limit unreachables millisecondsRouter(config)#ICMP不可達報文限速運用CAR減緩泛洪DoS攻擊rate-limit input | output access-group number bps burst-normal burs

16、t-max conform-action transmit exceed-action dropRouter(config-if)#配置CAR (Committed Access Rate)運用ACL阻止DDoS攻擊Trinoo/dittrich/misc/trinoo.analysis 運用ACL阻止DDoS攻擊續(xù)Stacheldraht/dittrich/misc/stacheldraht.analysis 運用ACL阻止DDoS攻擊續(xù)Trinity/xforce/alerts/id/advise59 運用ACL阻止特洛伊木馬Netbus運用ACL阻止特洛伊木馬續(xù)SubSeven運用ACL

17、阻止特洛伊木馬續(xù)Back Orifice & Back Orifice 2K運用ACL阻止特洛伊木馬續(xù)Hack-a-Tack特洛伊木馬監(jiān)聽端口列表neohapsis/neolabs/neo-ports/neo-ports.htmlsimovits/nyheter9902.html配置路由協(xié)議平安-RIPv2配置RIP驗證key chain name Router(config)#配置密鑰鏈key key-id Router(config-keychain)#配置密鑰IDkey-string keyRouter(config-keychian-key)#配置密鑰配置路由協(xié)議平安-RIPv2續(xù)ip

18、 rip authentication mode text | md5 Router(config-if)#配置驗證方式ip rip authentication key-chain nameRouter(config-if)#配置驗證運用的密鑰鏈配置路由協(xié)議平安-RIPv2續(xù)配置路由協(xié)議平安-OSPF配置OSPF驗證area area-id authentication message-digest Router(config-router)#配置區(qū)域驗證類型ip ospf authentication message-digest | null Router(config-if)#配置接口

19、驗證類型ip ospf authentication-key keyRouter(config-if)#配置明文驗證密鑰ip ospf message-digest-key key-id md5 keyRouter(config-if)#配置MD5驗證密鑰配置路由協(xié)議平安-OSPF續(xù)課程議題運用Switch加強網(wǎng)絡平安性PortFastSTP的缺陷收斂速度慢端口需求經(jīng)過多個形狀才干轉(zhuǎn)發(fā)數(shù)據(jù)PortFast加快生成樹收斂速度端口直接過渡到Forwarding形狀在銜接終端系統(tǒng)的端口啟用PortFast不要在交換機上行鏈路上運用PortFast當PortFast端口收到BPDU后，將丟棄PortF

20、ast形狀，改為正常的STP操作防止環(huán)路配置PortFast啟用PortFastspanning-tree portfast Switch(config-if)#默許情況下，封鎖PortFast功能禁用PortFastspanning-tree portfast disableSwitch(config-if)#為一切端口啟用PortFastspanning-tree portfast defaultSwitch(config)#配置此命令后，需求在Trunk端口明確禁用PortFastPortFast配置例如查看PortFast形狀查看PortFast形狀show spanning-tree

21、 interface interface Switch#查看PortFast形狀例如STP平安特性BPDU GuardBPDU Guard當啟用了PortFast特性的接口收到BPDU時，接口將進入“err-disable形狀加強STP穩(wěn)定性和平安性配置BPDU Guard全局啟用BPDU Guardspanning-tree portfast bpduguard default Switch(config)#默許情況下，封鎖BPDU Guard功能配置此命令后，一切啟用了PortFast的端口都將啟用BPDU Guard當端口收到BPDU報文后，進入“err-disabled形狀基于端口啟用

22、BPDU Guardspanning-tree bpduguard enable | disable Switch(config-if)#配置此命令后，只需端口收到BPDU報文后，就進入“err-disabled形狀BPDU Guard配置例如查看BPDU Guard形狀查看BPDU Guard形狀show spanning-tree interface interface Switch#查看BPDU Guard形狀例如STP平安特性BPDU FilterBPDU Filter啟用BPDU Filter的端口將不向外發(fā)送BPDU報文防止終端系統(tǒng)接納多余的BPDU報文配置BPDU Filter全

23、局啟用BPDU Filterspanning-tree portfast bpdufilter default Switch(config)#默許情況下，封鎖BPDU Filter功能配置此命令后，一切啟用了PortFast的端口都將啟用BPDU Filter當端口收到BPDU報文后，放棄BPDU Filter形狀基于端口啟用BPDU Filterspanning-tree bpdufilter enable | disable Switch(config-if)#配置此命令后，端口不但不發(fā)送BPDU報文，而且丟棄收到的BPDU報文BPDU Filter配置例如查看BPDU Filter形狀查

24、看BPDU Filter形狀show spanning-tree interface interface Switch#查看BPDU Filter形狀例如MAC地址過濾mac access-list extended name | access-list-number Switch(config)#配置MAC訪問控制列表 permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name Switch(config-ext-

25、macl)#配置訪問規(guī)那么mac access-group name | access-list-number in | out Switch(config-if)#在接口運用MAC訪問控制列表MAC地址過濾續(xù)維護端口維護端口的作用阻塞端口之間的通訊交換機本地特性維護端口的操作維護端口之間的通訊被阻塞廣播、組播、單播維護端口之間通訊需求經(jīng)過L3設備維護端口與非維護端口之間的通訊正常當聚合端口配置為維護端口，一切成員端口也被設為維護端口配置維護端口配置維護端口switchport protected Switch(config-if)#維護端口配置例如查看維護端口形狀查看維護端口配置信息show

26、 interface switchport Switch#查看維護端口例如廣播風暴控制配置風暴控制啟用風暴控制storm-control unicast | multicast | broadcast Switch(config-if)#默許情況下，封鎖風暴控制功能unicast表示限制未知目的MAC地址的單播幀multicast表示限制未知目的MAC地址的組播幀broadcast表示限制廣播幀配置檢測閾值storm-control unicast | multicast | broadcast level level | kbps | pps pps Switch(config-if)#風暴

27、控制配置例如查看風暴控制形狀查看風暴控制配置信息show storm-control interface Switch#查看風暴控制例如系統(tǒng)維護系統(tǒng)維護可以識別的攻擊目的IP地址不斷變化的掃描浪費帶寬資源對網(wǎng)絡中不存在的IP發(fā)送大量報文耗費交換機CPU資源系統(tǒng)維護的作用防止掃描攻擊維護交換機系統(tǒng)資源任務在物理端口配置系統(tǒng)維護啟用系統(tǒng)維護system-guard enable Switch(config-if)#默許情況下，封鎖系統(tǒng)維護功能配置IP掃描檢測system-guard scan-dest-ip-attack-packets ppsSwitch(config-if)#默許情況下，pps

28、為10，即每秒10個不同目的IP地址的掃描配置對不存在IP發(fā)送大量報文的檢測system-guard same-dest-ip-attack-packets ppsSwitch(config-if)#默許情況下，pps為20，即每秒20個發(fā)往不存在IP的攻擊配置系統(tǒng)維護續(xù)配置隔離時間system-guard isolate-time seconds Switch(config-if)#默許情況下，對發(fā)動攻擊的IP隔離120秒配置最大隔離數(shù)目system-guard detect-maxnum numberSwitch(config)#默許情況下，pps為10，即每秒10個不同目的IP地址的掃描

29、配置排除隔離地址system-guard exception-ip network/mask-lengthSwitch(config)#系統(tǒng)維護配置例如查看系統(tǒng)維護形狀查看系統(tǒng)維護配置信息show system-guard interface interface Switch#查看系統(tǒng)維護正在監(jiān)控的IP信息show system-guard detect-ip interface interface Switch#查看被隔離的IP地址show system-guard isolate-ip interface interface Switch#查看系統(tǒng)維護形狀續(xù)查看被排除隔離的IP信息show

30、 system-guard exception-ip Switch#去除隔離形狀clear system-guard interface interface Switch#默許情況下，被隔離IP只需到隔離時間到期后才會解除隔離形狀查看系統(tǒng)維護形狀例如端口平安任務在交換機二層端口上的一個平安特性端口平安的作用只允許特定的MAC地址接入到網(wǎng)絡中限制交換機端口接入設備的數(shù)量任務機制平安端口將檢查接納幀的源MAC地址與端口的平安地址數(shù)假設源MAC地址在平安地址表中不存在，并且沒有超越最大平安地址數(shù)，那么將其添加到平安地址表假設源MAC地址在平安地址表不存在，那么直接轉(zhuǎn)發(fā)幀端口平安的限制配置端口平安的限

31、制平安端口必需是Access端口平安端口不能是聚合Aggregate Port配置端口平安啟用端口平安switchport port-security Switch(config-if)#配置最大平安地址數(shù)switchport port-security maximum number Switch(config-if)#配置靜態(tài)平安MAC地址switchport port-security mac-address mac-address Switch(config-if)#默許情況下，最大平安MAC地址數(shù)為128個配置端口平安續(xù)配置平安地址老化時間switchport port-securit

32、y aging time time | static Switch(config-if)#配置違規(guī)操作switchport port-security violation protect | restrict | shutdown Switch(config-if)#默許情況下，自動學習到的和手工配置的平安地址都不會老化static關鍵字表示老化時間也將會運用到手工配置的平安地址，默許不運用到手工配置的平安地址protect表示丟棄接納到的幀MAC地址不在平安地址表中 restric表示丟棄接納到的幀MAC地址不在平安地址表中，并發(fā)送一個SNMP Trap報文 shutdown表示丟棄接納到的

33、幀MAC地址不在平安地址表中，發(fā)送一個SNMP Trap報文 ,并且封鎖端口，進入 “err-disabled形狀 配置端口平安續(xù)手工恢復端口形狀errdisable recovery Switch(config)#配置形狀自動恢復等待時間errdisable recovery interval time Switch(config)#當端口進入“err-disabled形狀后，必需手工恢復到UP形狀 端口平安配置例如查看端口平安形狀查看端口平安形狀show port-security Switch#查看端口平安形狀例如ARP檢查ARP檢查防止ARP欺騙基于端口平安檢查ARP報文中的IP地址能

34、否合法，假設不合法，那么丟棄報文配置ARP檢查手工恢復端口形狀port-security arp-check Switch(config)#啟用端口平安switchport port-security Switch(config-if)#默許情況下，封鎖ARP檢查功能 配置平安IP地址switchport port-security mac-address mac-address ip-address ip-addressSwitch(config-if)#這里配置的ip-address為端口所接入設備的真實IP地址 ARP檢查配置例如查看ARP檢查形狀查看ARP檢查形狀show port-s

35、ecurity arp-check Switch#查看ARP檢查例如DHCP SnoopingDHCP Snooping的作用過濾偽非法DHCP效力器發(fā)送的DHCP報文DHCP Snooping的任務機制信任Trust端口允許一切DHCP報文經(jīng)過非信任Untrust端口只允許DHCP Discovery、DHCP Request報文經(jīng)過，過濾DHCP Offer報文建立DHCP監(jiān)聽數(shù)據(jù)庫包含客戶端的IP地址、MAC地址、銜接的端口、VLAN號、地址租用期限等信息 DHCP Snooping的部署信任Trust端口用于銜接合法的DHCP效力器和上行鏈路端口非信任Untrust端口用于銜接DHCP

36、客戶端和其它接入端口配置DHCP Snooping啟用DHCP Snoopingip dhcp snooping Switch(config)#配置端口為信任端口ip dhcp snooping trustSwitch(config-if)#默許情況下，封鎖DHCP Snooping 默許情況下，一切端口都為Untrust端口 配置DHCP Snooping續(xù)手工配置DHCP Snooping表項ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface Switch(config)#將

37、DHCP Snooping數(shù)據(jù)庫寫入到Flash文件ip dhcp snooping database write-to-flash Switch(config)#默許情況下，封鎖DHCP Snooping DHCP監(jiān)聽數(shù)據(jù)庫的信息是動態(tài)的，經(jīng)過寫入Flash，可以防止由于系統(tǒng)的重新啟動導致數(shù)據(jù)庫中的信息喪失 配置DHCP Snooping續(xù)配置自動寫入DHCP Snooping綁定信息ip dhcp snooping database write-delay seconds Switch(config)#配置驗證Untrust端口檢查DHCP報文的源MAC地址ip dhcp snooping verify mac-address Switch(config)#默許情況下，不檢查DHCP報文的源MAC地址可以防止攻擊者發(fā)送偽造源MAC地址的DHCP報文，導致DHCP DoS攻擊 DHCP Snooping配置例如查看DHCP Snooping形狀查看DHCP Snooping