局域网安全14 屏蔽控制平面协议
2011-11-27 01:00
232 查看
1、需要控制平面行为的场合
[/b]
2、安全的屏蔽控制平面行为
1)协议屏蔽+VACL
(1)屏蔽STP
Switch(config-if)#spanning-tree bpduguard enable
(2)屏蔽链路聚合协议
Switch(config-if)#no channel-group
(3)屏蔽VTP
set port channel 0/1 mode off 仅支持于VTP版本3,ciscoIOS不支持
(4)屏蔽DTP
Switch(config-if)#switchport mode access
(5)屏蔽HSRP和VRRP
(6)屏蔽管理协议和路由协议
(7)使用ACL
· 发送Cisco多播地址 0100.0CCC.CCCC 的帧。CDP(0x2000)、VTP(0x2003)、DTP(0x2004)、PAgP(0x0104)
· 送往IEEE慢速协议多播地址 0180.C200.0002的帧。LACP(0x8809)
Switch(config)#mac access-list extended macacl
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 0104 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2000 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2003 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2004 0
Switch(config-ext-macl)#permit any host 0180.C200.0002 8809 0
Switch(config)#vlan access-map mymap
Switch(config-access-map)#match mac address macacl
Switch(config-access-map)#action drop
2)屏蔽其他控制平面行为
(1)生成ICMP消息
· Administrator prohibited(ICMP强制制止消息):ACL丢弃数据包时生成该消息
· TTL expired:TTL为0时
· 需要分片:有助于MTU发现
· 目标不可达:硬件CoPP亦可以抵挡
Switch(config)#ip icmp rate-limit unreachable 10
Switch(config-if)#no ip unreachable
(2)控制IPv6、802.1x
较老平台转发IPv6时使用进程交换(现在都是CEF)。依赖于硬件辅助,否则对IPv6合理限速(以太网类型:0x86DD)
Switch(config)#mac access-list extended macacl
Switch(config-ext-macl)#permit any any 86DD 0
(3)智能端口宏
· cisco-桌面:cisco-desktop
· cisco-电话:cisco-phone
配置
Switch(config-if)#macro apply cisco-desktop $access_vlan 10 //自动生成配置
[/b]
2、安全的屏蔽控制平面行为
1)协议屏蔽+VACL
(1)屏蔽STP
Switch(config-if)#spanning-tree bpduguard enable
(2)屏蔽链路聚合协议
Switch(config-if)#no channel-group
(3)屏蔽VTP
set port channel 0/1 mode off 仅支持于VTP版本3,ciscoIOS不支持
(4)屏蔽DTP
Switch(config-if)#switchport mode access
(5)屏蔽HSRP和VRRP
(6)屏蔽管理协议和路由协议
(7)使用ACL
· 发送Cisco多播地址 0100.0CCC.CCCC 的帧。CDP(0x2000)、VTP(0x2003)、DTP(0x2004)、PAgP(0x0104)
· 送往IEEE慢速协议多播地址 0180.C200.0002的帧。LACP(0x8809)
Switch(config)#mac access-list extended macacl
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 0104 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2000 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2003 0
Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2004 0
Switch(config-ext-macl)#permit any host 0180.C200.0002 8809 0
Switch(config)#vlan access-map mymap
Switch(config-access-map)#match mac address macacl
Switch(config-access-map)#action drop
2)屏蔽其他控制平面行为
(1)生成ICMP消息
· Administrator prohibited(ICMP强制制止消息):ACL丢弃数据包时生成该消息
· TTL expired:TTL为0时
· 需要分片:有助于MTU发现
· 目标不可达:硬件CoPP亦可以抵挡
Switch(config)#ip icmp rate-limit unreachable 10
Switch(config-if)#no ip unreachable
(2)控制IPv6、802.1x
较老平台转发IPv6时使用进程交换(现在都是CEF)。依赖于硬件辅助,否则对IPv6合理限速(以太网类型:0x86DD)
Switch(config)#mac access-list extended macacl
Switch(config-ext-macl)#permit any any 86DD 0
(3)智能端口宏
· cisco-桌面:cisco-desktop
· cisco-电话:cisco-phone
配置
Switch(config-if)#macro apply cisco-desktop $access_vlan 10 //自动生成配置
相关文章推荐
- 局域网安全13 控制平面的监管
- 局域网内部安全测试--------利用弱密码控制远程计算机
- OAuth授权协议(第三方不用密码获得授权): 密码不安全+不好控制
- WEB服务器应用_服务器安全设置之_IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
- 局域网安全11 cisco辅助协议
- 局域网内部安全测试--------利用弱密码控制远程计算机
- 局域网安全15 发现数据平面DoS
- 解决局域网内盗用IP的安全问题
- (病毒安全)关闭常见木马和未授权控制软件方法
- 软件评测-信息安全-应用安全-资源控制-用户登录限制(上)
- cisco安全访问控制列表
- Linux学习总结(14)——Linux权限控制
- 基于安全的一些思考--访问控制
- 使用Java控制UDP协议
- cisco路由器RIP协议安全配置(上)
- 针对CDP协议攻击分析及安全防护 推荐
- 用Bandwidth Controller实现局域网带宽控制
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 视频监控安防平台-国标28181协议扩展协议(主码流和子码流协议、锁和解锁协议规范、点播控制协议(单帧向前后 向前向后播放)、画面分割器协议、键盘切换轮训计划协议、 解码器控制通知协议、字符叠加协议)
- ENGINEER03 - 系统安全保护 配置用户环境 配置高级连接 防火墙策略管理 常见协议