? ? ? ? 交換機的安全是一個很重要的問題，因為它可能會遭受到一些惡意的攻擊，例如MAC泛洪攻擊、DHCP欺騙和耗竭攻擊、中間人攻擊、CDP 攻擊和Telnet DoS 攻擊等，為了防止交換機被攻擊者探測或者控制，必須采取相應(yīng)的措施來確保交換機的安全性，常見的安全措施包括:配置訪問密碼、配置標語消息、遠程管理使用SSHv2替代Telnet、禁用不需要的服務(wù)和應(yīng)用、禁用未使用的端口、關(guān)閉SNMP或者使用SNMPv3、啟用系統(tǒng)日志和及時安裝最新的IOS軟件等。部分安全措施如配置訪問密碼和配置標語消息等在第3章已經(jīng)討論過。

5.2.1 SSH簡介

? ? ? ? 采用Telnet遠程管理設(shè)備時對登錄身份驗證和通信設(shè)備之間傳輸?shù)臄?shù)據(jù)都采用不安全的明文傳輸，不能有效防止遠程管理過程中的信息泄露問題。SSH是Secure Shell（安全外殼)的簡稱，當(dāng)用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠程登錄到設(shè)備時，SSH可以利用加密和驗證功能提供安全保障，保護設(shè)備不受諸如IP地址欺詐、明文密碼截取等攻擊。SSH工作端口為TCP22端口。SSH目前包括SSH1和SSH2兩個版本，而且兩個版本不兼容，通信雙方通過協(xié)商確定使用的版本。為實現(xiàn)SSH的安全連接，在整個通信過程中服務(wù)器端與客戶端要經(jīng)歷版本號、密鑰和算法、驗證階段協(xié)商以及會話請求和會話交互5個階段，由于SSH版本2在數(shù)據(jù)加密和完整性驗證方面更加強大，建議使用。

5.2.2 交換機端口安全簡介

? ? ? ? 交換機依賴CAM表轉(zhuǎn)發(fā)數(shù)據(jù)幀,當(dāng)數(shù)據(jù)幀到達交換機端口時,交換機可以獲得其源MAC地址并將其記錄在CAM表中。如果CAM表中存在目的MAC地址條目，交換機將把幀轉(zhuǎn)發(fā)到CAM表中指定的MAC地址所對應(yīng)的端口。如果MAC地址在CAM表中不存在，則交換機將幀轉(zhuǎn)發(fā)到除收到該幀端口外的每一個端口（即未知單播幀泛洪)。然而CAM表的大小是有限的，MAC泛洪攻擊正是利用這一限制，使用攻擊工具以大量無效的源MAC地址發(fā)送給交換機，直到交換機CAM表被填滿，這種使得交換機CAM表溢出的攻擊稱為MAC泛洪攻擊。當(dāng)CAM表被填滿時，交換機將接收到的流量泛洪到所有端口，因為它在自己的CAM表中找不到對應(yīng)目的MAC地址的端口號，交換機實際上是起到類似于集線器的作用。

? ? ? ? 配置交換機端口安全特性可以防止MAC泛洪攻擊。端口安全限制交換機端口上所允許的有效MAC地址的數(shù)量或者特定的MAC地址。端口安全工作方式主要有如下3種。

1. 靜態(tài)：只允許具有特定MAC地址的終端設(shè)備從該端口接入交換機。如果配置靜態(tài)端口安全，那么當(dāng)數(shù)據(jù)包的源MAC地址不是靜態(tài)指定的MAC地址時，交換機將按照懲罰模式進行懲罰，并且端口不會轉(zhuǎn)發(fā)這些數(shù)據(jù)包。
2. 動態(tài)：通過限制交換機端口接入MAC地址的數(shù)量來實現(xiàn)端口安全。默認情況下，交換機每個端口只允許一個 MAC地址接入該端口。
3. 粘滯：這是一種將動態(tài)和靜態(tài)端口安全結(jié)合在一起的方式。交換機端口通過動態(tài)學(xué)習(xí)獲得終端設(shè)備的MAC地址，然后將信息保存到運行配置文件中，結(jié)果就像靜態(tài)方式，只不過MAC地址不是管理員靜態(tài)配置的，而是交換機自動學(xué)習(xí)的。當(dāng)學(xué)到的MAC地址的數(shù)量達到端口限制的數(shù)量時,交換機就不會自動學(xué)習(xí)了。

? ? ? ? 無論采用以上哪種方式配置端口安全，當(dāng)嘗試訪問該端口的終端設(shè)備違規(guī)時，都可以通過如下三種模式之一進行懲罰。

1. 保護(Protect)：當(dāng)新的終端設(shè)備接入交換機時，如果該端口的 MAC 地址條目超過最大數(shù)目或者與靜態(tài)配置的 MAC地址不同，則這個新的終端設(shè)備將無法接入，而原有的設(shè)備不受影響，交換機不發(fā)送警告信息。
2. 限制（Restrict)：當(dāng)新的終端設(shè)備接入交換機時，如果該端口的 MAC 地址條目超過最大數(shù)目或者與靜態(tài)配置的MAC地址不同，則這個新的終端設(shè)備將無法接入，而原有的設(shè)備不受影響，交換機會發(fā)送警告信息，同時會增加違規(guī)計數(shù)器的計數(shù)。
3. 關(guān)閉(Shutdown):當(dāng)新的終端設(shè)備接入交換機時，如果該端口的MAC地址條目超過最大數(shù)目或者與靜態(tài)配置的MAC地址不同，交換機該端口將會被關(guān)閉，并立即變?yōu)殄e誤禁用(error-disabled)狀態(tài)，這個端口下的所有設(shè)備都無法接入交換機，交換機會發(fā)送警告信息，同時會增加違規(guī)計數(shù)器的計數(shù)。當(dāng)交換機端口處于error-disabled狀態(tài)時，在端口先輸入shutdown命令，然后再輸入 no shutdown命令可重新開啟端口，如果仍有違規(guī)終端設(shè)備接入，則繼續(xù)進入error-disabled 狀態(tài)。這種懲罰模式是交換機端口安全的默認懲罰模式。3種交換機端口安全交換機端口安全懲罰模式比較如下表所示。

3種交換機接口安全懲罰模式比較文章來源地址http://www.zghlxwxcb.cn/news/detail-846003.html

到了這里，關(guān)于5.2 SSH和交換機端口安全概述的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！