[网络] Telete/SSH 之 Port 绑定/端口安全

一、前言

之前写完了网络] DHCP 之 Mac 绑定CiSCO 交换机配置 SSH 登陆。这次我们再试试能不能挖的在深入些。

(1) 理解交换机的 MAC 表

(2) 理解交换机的端口安全

(3) 配置交换机的端口安全特性

二、配置

交换机端口安全特性,可以让我们配置交换机端口,使得非法的 MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的 MAC 地址数。

( I )配置网络层(接入层)

( II )配置传输层

注意:这样是无法登陆的,还需要进入 int vty 0 设置 no password / password <passwd>

提示:建议在 vty 接口处设置 transport input ssh 更安全。

( III ) Client 登陆 OpenSSH Version 2

注意:**如果允许 Client 获取 privilege 需要在 configure terminal 内设置 enable password <passwd> **

三、交换机端口安全

数据链路层 VLAN 实现,并非三层 ACL 实现。( 关于ACL相关将在下次进行讲解 )

这样我们就引入了本文的要点,配置 MAC 绑定的意义就在这。

如果只有 PC1 是我信任的,但因为没有做二层 MAC 认证造成互联网任何一台机器都可以远程登陆。

安全提示 :其实在配置 OpenSSH 的时候,需要进入 privilege mode 设置 line vty 的状态。如果只是设置了一个允许的访问,但 administrator 登陆未断开时。即便 password 正确,黑客也无法登陆。使用 show line 可以查看登录状态。建议合理分配 line vty 个数。

( I )配置交换机端口安全(白名单)

本来这里是三层口的,我使用 no switchport 死活转不下来。所以这里使用 Cisco Packet 给Router 2911 添加了 HWIC-4ESW (提供4个交换功能接口)模块。

无脑提示:路由器 Route 是三层网络层的设备不可以转换二层汇聚成接口;接入层交换机 Switch 是二层数据链路层设备不可以转换成三层网络层设备。但三层交换机 Switch 开启 ip routing 后是可以给一个接口配置 no switchport 以进行二层、三层的切换。

注意:这个 Switch1 的 fa0/1 和 fa0/2 都需要设置 VLAN 模式(上图是错误的)。若 Switch1 的俩个接口都需要设置 MAC 地址防护,需要增大 maximum 参数。

1、配置访问模式

S1(config)#int f0/2/0

S1(config-if)#shutdown

S1(config-if)#switch mode access

//以上命令把端口改为访问模式,即用来接入计算机。

2、开启端口安全

S1(config-if)# switchport port-securitiy

//以上命令是打开交换机的端口安全功能。

S1(config-if)#switchport port-securitiy maximum 1

//以上命令只允许该端口下的 MAC 条目最大数量为 1,即只允许一个设备接入

S1(config-if)#switchport port-securitiy violation { protect | shutdown | restrict }

  • protect:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响
  • shutdown:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用“no shutdown” 命令重新打开。
  • restrict:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。

S1(config-if)#switchport port-security mac-address 0004.9A68.92E1

//允许 R1 路由器从 f0/1 接口接入

注意:所有相连的路由必须加入允许MAC列表内,否则断连。

S1(config-if)#no shutdown

S1(config)#int vlan1

S1(config-if)#no shutdown

S1(config-if)#ip address 172.16.0.1 255.255.0.0

//以上配置交换机的管理地址

(3) 步骤 3:检查 MAC 地址表

S1#show mac-address-table

Switch#show mac address-table

          Mac Address Table

-------------------------------------------

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

   1    0004.9a68.92e1    STATIC      Fa0/2

//R1 的 MAC 已经被登记在 f0/1 接口,并且表明是静态加入的

四、模拟非法接入

Have some problems...

仅供参考,欢迎留言。

[CISCO] Telete/SSH 之 Port 绑定/端口安全的更多相关文章

  1. SSH高级应用(端口转发)

    转发自:http://www.cnblogs.com/sting2me/p/5167730.html 基于SSH协议的端口转发 [前言] 最近一直在使用ssh协议的端口转发(隧道)功能,完成对内网空透 ...

  2. Linux SSH隧道技术(端口转发,socket代理)

    动态转发(SOCKS5代理): 命令格式:ssh -D <local port> <SSH Server> ssh -fnND 0.0.0.0:20058 172.16.50. ...

  3. 修改ssh服务的默认端口

    修改ssh服务的默认端口 1.查看当前服务端口 一般ssh服务的默认端口为22端口,查看监听的端口用netstat,如下: [root@ansiblemoniter ~]# netstat -tnlp ...

  4. tomcat绑定域名绑定端口及更换ROOT目录

    一.更换ROOT目录 tomcat默认网站目录为 webapps/ROOT ,那么我们如何改为自己的网站目录呢? 1.打开并编辑tomcat目录下的 conf/server.xml 大约在148行的位 ...

  5. SSH远程登录和端口转发详解

     SSH远程登录和端口转发详解   介绍 SSH 是创建在应用层和传输层基础上的安全协议,为计算机上的 Shell(壳层)提供安全的传输和使用环境. SSH 只是协议,有多种实现方式,本文基于其开源实 ...

  6. ssh遇到port 22:No route to host问题的解决方法

    一 iptables 问题 1.没有安装,可以先安装 yum install iptables 2.防火墙的开启与关闭 即时生效,重启失效 service iptables start(开启) ser ...

  7. SSH限制与更改端口、限制ROOT方式登录

    ssh中如何配置只允许某个IP以某个账号登录服务器 只要在ssh的配置文件:sshd_config中添加如下一行即可Allowusers username@192.168.1.100上述只允许IP地址 ...

  8. 修改ssh的默认22端口,并使用scp的方法

    修改默认的22的ssh端口只需要修改 /etc/ssh/sshd_config 中的 port 字段为你想要的端口就可以了 以后用其他机器ssh登录这台机器只需要: ssh -p (port) (ip ...

  9. intellij idea搭建ssh开发框架之绑定数据源

    原文:intellij idea搭建ssh开发框架之绑定数据源 在intellij idea中绑定数据源并生成hibernate实体对象.在IDE中的右边找到Database标签. 点击弹出窗口中的图 ...

随机推荐

  1. S 联系人新增及更新

    一.联系人新增 [Public] ConnectString=host="siebel://10.10.1.139:2321/SBA_82/SMObjMgr_chs ConnectUserN ...

  2. 127. Word Ladder (Tree, Queue; WFS)

    Given two words (beginWord and endWord), and a dictionary's word list, find the length of shortest t ...

  3. 电话号码的字母组合 · Letter Combinations of a Phone Number

    [抄题]: Given a digit string excluded 01, return all possible letter combinations that the number coul ...

  4. CloudStack 4.1快照测试

    目前4.1只支持存储快照,4.2能支持内快照 1. 选中实例 2. 查看实例卷 3. 创建快照 4. 通过快照创建模板 5. 查看通过快照创建的模板 6. 通过快照创建模板生成的实例 7. 自动定制创 ...

  5. 读写大“二进制”文件,不必申请很大内存(fopen,fread,fwrite,fclose)

    <?php /** * 读写大二进制文件,不必申请很大内存 * 只有读取到内容才创建文件 * 保证目录可写 * * @param string $srcPath 源文件路径 * @param s ...

  6. python全栈考试

    1.执行 Python 脚本的两种方式 shell直接调用python脚本 python run.py 调用解释器来调用脚本  2.2.简述位.字节的关系 每8个位bit,组成一个字节byte. 一个 ...

  7. SOCKET句柄泄露带来的内存灾难

    前些时候游戏莫名其妙出现大量内存泄露,我感到很诧异,当然一般情况下游戏的内存管理是极其严苛的,出现如此大量的内存泄露到底是怎么回事? 句柄滥用导致的内存泄露会多夸张呢,尤其SOCKET,在某些客户端系 ...

  8. 名字也挺重要---Webservice

    整了几个WebService  方法的返回类型叫GetResponse ,GetDataResponse结果老报错,要加啥元素,加了也报错,后来把Get改成Retrive,运行就正常了,看来Get抢手 ...

  9. BCD码转换为十进制或者十进制转为BCD码

    BCD码其实就是之前在数字电路中说的 用4位二进制数值 来表示一个0-9中的数字,例如: 0000=0 0001=1 0010=2 0011=3也就是说如果把一个数字作为一个BCD码,例如: 11 2 ...

  10. Exception in thread "main" java.lang.Error: Unresolved compilation problem

    初学java,使用eclipse编译时,可能会遇到如下图所示的编译错误(Exception in thread "main" java.lang.Error: Unresolved ...