[CISCO] Telete/SSH 之 Port 绑定/端口安全
[网络] Telete/SSH 之 Port 绑定/端口安全
一、前言
之前写完了网络] DHCP 之 Mac 绑定,CiSCO 交换机配置 SSH 登陆。这次我们再试试能不能挖的在深入些。
(1) 理解交换机的 MAC 表
(2) 理解交换机的端口安全
(3) 配置交换机的端口安全特性
二、配置
交换机端口安全特性,可以让我们配置交换机端口,使得非法的 MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的 MAC 地址数。
( I )配置网络层(接入层)
( II )配置传输层
注意:这样是无法登陆的,还需要进入 int vty 0
设置 no password / password <passwd>
提示:建议在 vty 接口处设置 transport input ssh
更安全。
( III ) Client 登陆 OpenSSH Version 2
注意:**如果允许 Client 获取 privilege 需要在 configure terminal 内设置 enable password <passwd>
**
三、交换机端口安全
数据链路层 VLAN 实现,并非三层 ACL 实现。( 关于ACL相关将在下次进行讲解 )
这样我们就引入了本文的要点,配置 MAC 绑定的意义就在这。
如果只有 PC1 是我信任的,但因为没有做二层 MAC 认证造成互联网任何一台机器都可以远程登陆。
安全提示 :其实在配置 OpenSSH 的时候,需要进入 privilege mode 设置 line vty 的状态。如果只是设置了一个允许的访问,但 administrator 登陆未断开时。即便 password 正确,黑客也无法登陆。使用 show line
可以查看登录状态。建议合理分配 line vty 个数。
( I )配置交换机端口安全(白名单)
本来这里是三层口的,我使用 no switchport
死活转不下来。所以这里使用 Cisco Packet 给Router 2911 添加了 HWIC-4ESW (提供4个交换功能接口)模块。
无脑提示:路由器 Route 是三层网络层的设备不可以转换二层汇聚成接口;接入层交换机 Switch 是二层数据链路层设备不可以转换成三层网络层设备。但三层交换机 Switch 开启 ip routing
后是可以给一个接口配置 no switchport
以进行二层、三层的切换。
注意:这个 Switch1 的 fa0/1 和 fa0/2 都需要设置 VLAN 模式(上图是错误的)。若 Switch1 的俩个接口都需要设置 MAC 地址防护,需要增大 maximum 参数。
1、配置访问模式
S1(config)#int f0/2/0
S1(config-if)#shutdown
S1(config-if)#switch mode access
//以上命令把端口改为访问模式,即用来接入计算机。
2、开启端口安全
S1(config-if)# switchport port-securitiy
//以上命令是打开交换机的端口安全功能。
S1(config-if)#switchport port-securitiy maximum 1
//以上命令只允许该端口下的 MAC 条目最大数量为 1,即只允许一个设备接入
S1(config-if)#switchport port-securitiy violation { protect | shutdown | restrict }
- protect:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响
- shutdown:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用“no shutdown” 命令重新打开。
- restrict:当新的计算机接入时,如果该接口的 MAC 条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。
S1(config-if)#switchport port-security mac-address 0004.9A68.92E1
//允许 R1 路由器从 f0/1 接口接入
注意:所有相连的路由必须加入允许MAC列表内,否则断连。
S1(config-if)#no shutdown
S1(config)#int vlan1
S1(config-if)#no shutdown
S1(config-if)#ip address 172.16.0.1 255.255.0.0
//以上配置交换机的管理地址
(3) 步骤 3:检查 MAC 地址表
S1#show mac-address-table
Switch#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0004.9a68.92e1 STATIC Fa0/2
//R1 的 MAC 已经被登记在 f0/1 接口,并且表明是静态加入的
四、模拟非法接入
Have some problems...
仅供参考,欢迎留言。
[CISCO] Telete/SSH 之 Port 绑定/端口安全的更多相关文章
- SSH高级应用(端口转发)
转发自:http://www.cnblogs.com/sting2me/p/5167730.html 基于SSH协议的端口转发 [前言] 最近一直在使用ssh协议的端口转发(隧道)功能,完成对内网空透 ...
- Linux SSH隧道技术(端口转发,socket代理)
动态转发(SOCKS5代理): 命令格式:ssh -D <local port> <SSH Server> ssh -fnND 0.0.0.0:20058 172.16.50. ...
- 修改ssh服务的默认端口
修改ssh服务的默认端口 1.查看当前服务端口 一般ssh服务的默认端口为22端口,查看监听的端口用netstat,如下: [root@ansiblemoniter ~]# netstat -tnlp ...
- tomcat绑定域名绑定端口及更换ROOT目录
一.更换ROOT目录 tomcat默认网站目录为 webapps/ROOT ,那么我们如何改为自己的网站目录呢? 1.打开并编辑tomcat目录下的 conf/server.xml 大约在148行的位 ...
- SSH远程登录和端口转发详解
SSH远程登录和端口转发详解 介绍 SSH 是创建在应用层和传输层基础上的安全协议,为计算机上的 Shell(壳层)提供安全的传输和使用环境. SSH 只是协议,有多种实现方式,本文基于其开源实 ...
- ssh遇到port 22:No route to host问题的解决方法
一 iptables 问题 1.没有安装,可以先安装 yum install iptables 2.防火墙的开启与关闭 即时生效,重启失效 service iptables start(开启) ser ...
- SSH限制与更改端口、限制ROOT方式登录
ssh中如何配置只允许某个IP以某个账号登录服务器 只要在ssh的配置文件:sshd_config中添加如下一行即可Allowusers username@192.168.1.100上述只允许IP地址 ...
- 修改ssh的默认22端口,并使用scp的方法
修改默认的22的ssh端口只需要修改 /etc/ssh/sshd_config 中的 port 字段为你想要的端口就可以了 以后用其他机器ssh登录这台机器只需要: ssh -p (port) (ip ...
- intellij idea搭建ssh开发框架之绑定数据源
原文:intellij idea搭建ssh开发框架之绑定数据源 在intellij idea中绑定数据源并生成hibernate实体对象.在IDE中的右边找到Database标签. 点击弹出窗口中的图 ...
随机推荐
- python's import mechanism
[python's import mechanism] 问题描述: [A.py] from B import D class C:pass [B.py] from A import C class D ...
- SVG DOM常用属性和方法介绍(1)
12.2 SVG DOM常用属性和方法介绍 将以Adobe SVG Viewer提供的属性和方法为准,因为不同解析器对JavaScript以及相关的属性和方法支持的程度不同,有些方法和属性是某个解析 ...
- [IIS] 测试的产品登陆之后有个引用外部站点js的请求半天都无法返回,导致网页一直在打转,Selenium的driver也无法对页面进行下一步的操作
测试的产品登陆之后有个引用外部站点js的请求半天都无法返回: https://cdn.heapanalytics.com/js/heap-3497400264.js 这个js如果是在美国的机器上就可以 ...
- MySQL 系列(三)事务
MySQL 系列(三)事务 一组要么同时执行成功,要么同时执行失败的 SQL 语句.是数据库操作的一个执行单元! 事务开始于: 连接到数据库上,并执行条 DML 语句(INSERT. UPDATE 或 ...
- sqlserver 2017 linux还原windows备份时的路径问题解决
windows的备份由于路径问题,在Linux上会报错 File 'YourDB_Product' cannot be restored to 'Z:\Microsoft SQL Server\MSS ...
- 08 Translating RNA into Protein
Problem The 20 commonly occurring amino acids are abbreviated by using 20 letters from the English a ...
- Access denied for user 'root'@'MiWiFi-Ryyy-srv' (using password: YES)
虽然是跟很多人一样的问题但是原因不同,其他很多文章说是授权问题,也确实是授权问题,但是,配置文件写的是连接localhost,而这里不知道什么原因切换了使用的用户,变成了默认访问MiWiFi-Ryyy ...
- Zookeeper客户端cli_st为何在crontab中运行不正常?
实践中,发现直接在命令行终端运行cli_st时,能够得到预期的结果,但一将它放到crontab中,则只收到: bye 相关的一段clit_st源代码如下: if (FD_ISSET(, &rf ...
- 如何计算服务器能够承受多大的pv?
你想建设一个能承受500万PV/每天的网站吗? 500万PV是什么概念?服务器每秒要处理多少个请求才能应对?如果计算呢? PV是什么: PV是page view的简写.PV是指页面的访问次数,每打开或 ...
- HDU1875 畅通工程再续 2017-04-12 19:52 48人阅读 评论(0) 收藏
畅通工程再续 Time Limit : 2000/1000ms (Java/Other) Memory Limit : 32768/32768K (Java/Other) Total Submis ...