單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,交換機(jī)端口安全,案例一,交換機(jī)主動學(xué)習(xí)客戶端的,MAC,地址，并建立和維護(hù)端口和,MAC,地址的對應(yīng)表,CAM,表,根本原因,CAM,表的大小是固定的,攻擊者利用工具產(chǎn)生大量的,MAC,快速填滿交換機(jī)的,CAM,表，交換機(jī)就像,HUB,一樣工作，非法攻擊者可以利用監(jiān)聽工具監(jiān)聽所有端口的流量,案例分析,MAC,攻擊,設(shè)置端口安全功能,switchport port-security,設(shè)置端口允許合法,MAC,地址的數(shù)目,switchport port-security maximum,num,防范方法,設(shè)置超過端口允許的最大,MAC,地址數(shù)后端口行為,switchport port-security violation,act,shutdown,端口關(guān)閉,protect,端口不轉(zhuǎn)發(fā)數(shù)據(jù)，不報警,restrict,端口不轉(zhuǎn)發(fā)數(shù)據(jù)，報警,防范方法,靜態(tài)設(shè)置每個端口所允許連接的合法,MAC,地址，實現(xiàn)設(shè)備級的安全授權(quán),switchport port-security mac-address,X.X.X,防范方法,案例二：,IP,地址欺騙,常見的欺騙攻擊種類有,MAC,欺騙、,IP,欺騙、,IP/MAC,欺騙，偽造身份,病毒和木馬的攻擊也會使用欺騙的源,IP,地址，掩蓋真實的源主機(jī),設(shè)置“端口,+MAC+IP,”綁定,設(shè)置,MAC,地址訪問控制列表,設(shè)置,IP,地址訪問控制列表,最后把兩種,ACL,應(yīng)用到端口,防范方法,設(shè)置,IP,地址訪問控制列表,ip access-list extended,mac-acl-name,設(shè)置規(guī)則,permit/deny protocol,source-ip,des-ip,eq,port,應(yīng)用到端口,mac access-group,mac-acl-name,in/out,ip access-group,ip-acl-name,in/out,防范方法,。