[网络] Telete/SSH 之 Port 绑定/端口安全

一、前言

之前写完了网络] DHCP 之 Mac 绑定CiSCO 交换机配置 SSH 登陆。这次我们再试试能不能挖的在深入些。

(1) 理解交换机的 MAC 表

(2) 理解交换机的端口安全

(3) 配置交换机的端口安全特性

二、配置

交换机端口安全特性,可以让我们配置交换机端口,使得非法的 MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的 MAC 地址数。

( I )配置网络层(接入层)

( II )配置传输层

注意:这样是无法登陆的,还需要进入 int vty 0 设置 no password / password <passwd>

提示:建议在 vty 接口处设置 transport input ssh 更安全。

( III ) Client 登陆 OpenSSH Version 2

注意:**如果允许 Client 获取 privilege 需要在 configure terminal 内设置 enable password <passwd> **

三、交换机端口安全

数据链路层 VLAN 实现,并非三层 ACL 实现。( 关于ACL相关将在下次进行讲解 )

这样我们就引入了本文的要点,配置 MAC 绑定的意义就在这。

如果只有 PC1 是我信任的,但因为没有做二层 MAC 认证造成互联网任何一台机器都可以远程登陆。

安全提示 :其实在配置 OpenSSH 的时候,需要进入 privilege mode 设置 line vty 的状态。如果只是设置了一个允许的访问,但 administrator 登陆未断开时。即便 password 正确,黑客也无法登陆。使用 show line 可以查看登录状态。建议合理分配 line vty 个数。

( I )配置交换机端口安全(白名单)

本来这里是三层口的,我使用 no switchport 死活转不下来。所以这里使用 Cisco Packet 给Router 2911 添加了 HWIC-4ESW (提供4个交换功能接口)模块。

无脑提示:路由器 Route 是三层网络层的设备不可以转换二层汇聚成接口;接入层交换机 Switch 是二层数据链路层设备不可以转换成三层网络层设备。但三层交换机 Switch 开启 ip routing 后是可以给一个接口配置 no switchport 以进行二层、三层的切换。

注意:这个 Switch1 的 fa0/1 和 fa0/2 都需要设置 VLAN 模式(上图是错误的)。若 Switch1 的俩个接口都需要设置 MAC 地址防护,需要增大 maximum 参数。

1、配置访问模式

S1(config)#int f0/2/0

S1(config-if)#shutdown

S1(config-if)#switch mode access

//以上命令把端口改为访问模式,即用来接入计算机。

2、开启端口安全

S1(config-if)# switchport port-securitiy

//以上命令是打开交换机的端口安全功能。

S1(config-if)#switchport port-securitiy maximum 1

//以上命令只允许该端口下的 MAC 条目最大数量为 1,即只允许一个设备接入

S1(config-if)#switchport port-securitiy violation { protect | shutdown | restrict }

  • protect:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响
  • shutdown:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用“no shutdown” 命令重新打开。
  • restrict:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。

S1(config-if)#switchport port-security mac-address 0004.9A68.92E1

//允许 R1 路由器从 f0/1 接口接入

注意:所有相连的路由必须加入允许MAC列表内,否则断连。

S1(config-if)#no shutdown

S1(config)#int vlan1

S1(config-if)#no shutdown

S1(config-if)#ip address 172.16.0.1 255.255.0.0

//以上配置交换机的管理地址

(3) 步骤 3:检查 MAC 地址表

S1#show mac-address-table

Switch#show mac address-table

          Mac Address Table

-------------------------------------------

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

   1    0004.9a68.92e1    STATIC      Fa0/2

//R1 的 MAC 已经被登记在 f0/1 接口,并且表明是静态加入的

四、模拟非法接入

Have some problems...

仅供参考,欢迎留言。

[CISCO] Telete/SSH 之 Port 绑定/端口安全的更多相关文章

  1. SSH高级应用(端口转发)

    转发自:http://www.cnblogs.com/sting2me/p/5167730.html 基于SSH协议的端口转发 [前言] 最近一直在使用ssh协议的端口转发(隧道)功能,完成对内网空透 ...

  2. Linux SSH隧道技术(端口转发,socket代理)

    动态转发(SOCKS5代理): 命令格式:ssh -D <local port> <SSH Server> ssh -fnND 0.0.0.0:20058 172.16.50. ...

  3. 修改ssh服务的默认端口

    修改ssh服务的默认端口 1.查看当前服务端口 一般ssh服务的默认端口为22端口,查看监听的端口用netstat,如下: [root@ansiblemoniter ~]# netstat -tnlp ...

  4. tomcat绑定域名绑定端口及更换ROOT目录

    一.更换ROOT目录 tomcat默认网站目录为 webapps/ROOT ,那么我们如何改为自己的网站目录呢? 1.打开并编辑tomcat目录下的 conf/server.xml 大约在148行的位 ...

  5. SSH远程登录和端口转发详解

     SSH远程登录和端口转发详解   介绍 SSH 是创建在应用层和传输层基础上的安全协议,为计算机上的 Shell(壳层)提供安全的传输和使用环境. SSH 只是协议,有多种实现方式,本文基于其开源实 ...

  6. ssh遇到port 22:No route to host问题的解决方法

    一 iptables 问题 1.没有安装,可以先安装 yum install iptables 2.防火墙的开启与关闭 即时生效,重启失效 service iptables start(开启) ser ...

  7. SSH限制与更改端口、限制ROOT方式登录

    ssh中如何配置只允许某个IP以某个账号登录服务器 只要在ssh的配置文件:sshd_config中添加如下一行即可Allowusers username@192.168.1.100上述只允许IP地址 ...

  8. 修改ssh的默认22端口,并使用scp的方法

    修改默认的22的ssh端口只需要修改 /etc/ssh/sshd_config 中的 port 字段为你想要的端口就可以了 以后用其他机器ssh登录这台机器只需要: ssh -p (port) (ip ...

  9. intellij idea搭建ssh开发框架之绑定数据源

    原文:intellij idea搭建ssh开发框架之绑定数据源 在intellij idea中绑定数据源并生成hibernate实体对象.在IDE中的右边找到Database标签. 点击弹出窗口中的图 ...

随机推荐

  1. 用jquery实现html5的placeholder功能

    html5的placeholder功能在表单中经常用到,它主要用来提示用户输入信息,当用户点击该输入框之后,提示文字会自动消失. 我们用jquery实现类似的功能: 当输入框获得焦点时,清空输入框中的 ...

  2. java消息中间件的使用与简介

    一.为什么要使用消息中间件 消息中间件就是可以省去繁琐的步骤,直达目的,怎么讲呢,就是比如你想很多人,知道你的动态,而知道的人可能手机没电,可能手机信号不好,可能手机不在服务区,或者看的人比较忙,看的 ...

  3. Linux设备驱动模型底层架构及组织方式

    1.什么是设备驱动模型? 设备驱动模型,说实话这个概念真的不好解释,他是一个比较抽象的概念,我在网上也是没有找到关于设备驱动模型的一个定义,那么今天就我所学.所了解 到的,我对设备驱动模型的一个理解: ...

  4. Linux守护进程编写方法及原理

    什么守护进程? 守护进程是运行在后台的一种用来提供服务的进程,他脱离控制台独立运行,守护进程是一种很有用的进 程. Linux的大多数服务器就是用守护进程实现的.比如,Internet服务器inetd ...

  5. Oracle ERP Profile

    1.配置系统 . 进入路径:SYSADMIN 登录,系统管理员--Profile--系统: 配置分类 配置文件 文件选项 内容 配置系统 ICX% ICX:日期显示样式 选择修改日期输 入格式(199 ...

  6. AndroidStudio-Error Please select Android SDK

    这里是×错误信息: 点击运行提示,Error:Please select Android SDK: 网上说了很多解决办法都不靠谱,只有这种方式是可以解决的: 点击:Exit: 红框的感叹号!已经提示了 ...

  7. 结巴net 分词 配置文件路径,在网站中的出现问题的解决

    用结巴分词net版,部署到网站上的时候,配置文件的地址为相对路径的时候会出现问题,绝对路径就没有问题. 原因是结巴源码中,取路径是取的应用程序的目录.如果是winform程序当然没有问题,在网站就不行 ...

  8. J-Link eclipse Plug-ins install

    Quicklinks If you know what this is all about and you just need the update site details: name: GNU A ...

  9. 在SharePoint列表中使用动态筛选条件[今日][Today]

    如果在SharePoint使用了日历控件或者其他列表中有时间字段,用户经常希望能够动态使用条件字段进行筛选,例如希望筛选出开始日期是今天的事件.未来三日的事件. SharePoint的列表筛选条件支持 ...

  10. (C#版本)提升SQlite数据库效率——开启事务,极速插入数据,3秒100万,32秒1000万条数据

    SQLite插入数据效率最快的方式就是:开启事务  +   insert语句  +  关闭事务(提交) 利用事务的互斥性,如果在批量的插入操作前显式地开启一次事务,在插入操作结束后,提交事务,那么所有 ...