9/23 Cisco CCNP-BCMSN 15章 確保Switch的安全

l   Switchport port-security

根據MAC位址控制埠的存取。

在要使用的介面配置相關指令：

        Switch(config-if)#switchport port-security

        Switch(config-if)#switchport port-security maximum 允許存取的最大MAC數目

        此為動態配置，也可靜態配置位址

        Switch(config-if)#switchport port-security mac-address XXXX. XXXX. XXXX

l   DHCP Snooping

DHCP伺服器提供clinet在網路上運作的所有基本資訊。假設情況：攻擊者在client所在的子網路架設一台惡意的DHCP Server，當client廣播DHCP要求時，惡意伺服器將發送偽造的DHCP回應，其中的Default gateway是惡意伺服器的IP位址。而client前往外部的封包會先經過攻擊者的機器，攻擊者再轉送封包到目的地，同時查看攔截的每個封包。

DHCP snooping可以防範這類攻擊，啟用DHCP snooping可以將交換埠分成可信任和不可信任的，合法的DHCP Server位於可信任的port，其他為不可信任的。

交換器可以攔截來自不可信任port的所有DHCP要求，然後向整個VLAN flood；任何來自不信任port的DHCP回應都被丟棄，同時連接的交換port也會自動關閉，進入errdisable狀態。     

相關指令：

Switch(config)#ip dhcp snooping    啟用dhcp snooping

Switch(config)#ip dhcp snooping vlan id  指定執行dhcp snooping的Vlan

Switch(config)#interface type mod/num

Switch(config-if)#ip dhcp snooping trust 設定已知DHCP Server所在的

                                  port為可信任port

Switch(config)#ip dhcp snooping information option

透過新增選項82，提供了更多有關實際產生的DHCP要求的client資訊

l   IP來源防護

惡意或受到攻擊的主機卻不一定遵守上述的規則，他們可能使用自己的合法位址，也可能使用偽造的位址。IP來源防護則是進行偵測並阻斷位址偽造的攻擊，第二層交換器會學到MAC位址並儲存，交換器必須確定MAC與其關聯的IP位址。IP來源防護使用DHCP snooping 資料庫，以及使用靜態來源IP位址對應項目來完成。IP來源防護須搭配DHCP snooping，來源IP是否與DHCP snooping學到的或是靜態項目對應的IP位址相同是要注意的地方，或MAC是否與switch port和DHCP snooping 得知的MAC相同。

相關指令為：

Switch(config)#ip source binding mac-address vlan vlan-id interface type

mod/num  此為將主機的MAC位址對應到特定的VLAN

和IP位址，並只能在特定的交換器介面看到。

               

Switch(config)#interface type mod/num

Switch(config-if)# ip verify source[port-security]

檢查來源IP，若要同時檢查MAC則再補充port-security指令

Switch#show ip verify source 查看IP來源防護的情況

l   動態ARP檢查(DAI:Dynamic ARP inspection)

跟DHCP snooping的觀念有點類似，不過ARP欺騙是把攻擊者的機器加入到原本合法的不同路徑中，使封包傳送到攻擊者手中，而不是另一台主機或預設閘道。

相關指令為：

        Switch(config)# ip arp intspection vlan vlan-range 在VLAN啟用DAI

        Switch(config)# interface type mod/num

        Switch(config-if)# ip arp inspection trust 

跟DHCP snooping觀念類似，也是要設定信任的port

l   確保交換器安全的最佳方法：

n   設置加密密碼：善用enable secret，將密碼儲存在NVRAM中

Service password-encapsulation  自動加密儲存

n   停用不必要的服務：以下配置指令，一定要加上關鍵字no停用它們

Service tcp-small-servers

Service udp-small-servers

Service finger

Service config

n   確保交換器的控制台安全：以實體設備防止他人連接到交換器控制台，並在控制台配置驗證。

n   確保交換器的控制台安全

9/16 Cisco CCNP-BCMSN 12章 多層交換

• Vlan之間彼此獨立，之間要傳輸的話必須使用第3層網路設備，路由器必須具有每個vlan的實體或邏輯連接，稱之為Inter VLAN routing

• 單臂路由器:router on a stick 路由器透過單一trunk與交換器相連

• Switchport：輸入此指令可將port處於第2層模式，no switchport則為第3層模式；配合show interface type mod/num switchport看指令輸出中switchport顯示enabled則為第2層、disabled為第3層。

• SVI：第3層邏輯介面稱為SVI，配置SVI時，需要使用介面名稱vlan vlan-id，就像vlan本身就是一個實體介面一樣

※雖然VLAN和SVI可以同時使用，但是要分開設定，建立或配置SVI並不等於建立或配置VLAN，必須分別的定義他們

EX: sw(config)#vlan 20

sw(config-vlan)#exit

sw(config)#interface vlan 20

sw(config-if)# ip address 192.168.20.1 255.255.255.0

sw(config-if)#no shutdown

• 傳統的Netflow交換：最初發揮路由處理器(route processor，RP)和交換引擎(switching engine，SE)的雙重功能，基本原理為”一次路由，多次交換”；為參與多層交換，SE必須知道每個RP的身分。SE就能夠聆聽到達和離開路由器的第一個封包，如果SE能夠在兩個方向上交換封包，他將得知一條”shortcut patch(捷徑)”，將同一個資料流中的後續封包直接交換到離開的port，而不需要經過RP，硬體須由一個獨立的RP元件(component)和一個支援Netflow的SE元件組成。

• CEF的多層交換：CEF是catalyst多層交換器使用的高效率Cisco快速轉送，固定配置的交換器，如Catalyst 3750、3560、3550和2950都在硬體中執行CEF，CEF有兩個關鍵字：轉送資訊資料庫(Forwarding Information base,FIB)、adjacency(鄰接)表

• 轉送資訊資料庫(Forwarding Information base,FIB)

由第3層引擎維護遶送資訊，這些資訊來自靜態路由或動態遶送協定。Routing table被重新格式化為一個有序清單，此格式為FIB。FIB中每個項目還包含下一個轉送站位址，在FIB中找到符合最長的項目後，也就找到了下一個轉送站的第3層位址。FIB表也是動態的，第3層發現遶送拓樸發生變化後，它將發送更新給FIB。

※要顯示與特定介面或VLAN相關聯的FIB項目，可使用show ip cef [ type mod/num
vlan vlan-id ] [detail]

• adjacency(鄰接)表：路由表通常維護一個路由表和一個ARP表，前者包含第3層和下一個轉送站資訊，後者包含第3層與第2層位址的對應。這些表是獨立儲存的。FIB在每個項目中保存了下一個轉送站的第3層位址。為進一步提高封包轉送效率，FIB保存了每個下一個轉送站項目的第2層資訊。FIB這部分稱為adjacency表，包含下一個轉送站節點的MAC位址。要顯示adjacency表的內容可使用show adjacency [ type mod/num vlan vlan-id ] [detail]

l   封包重寫(packet rewrite)：多層交換以快速表格查詢方式進行尋找下一個轉送站位址和離開的port。封包並沒有更動，目的地MAC位址仍為交換器本身的MAC位址，因此還必須調整IP標頭，就像轉送是由傳統的路由器一樣。

n   第2層目的地位址：改為下一個轉送站設備的MAC

n   第2層來源位址：改為第3層交換器離開的介面的MAC

n   第3層IP存活時間(TTL)：經過了一個路由器轉送站則減1

n   第3層IP檢查碼(checksum)：重新計算以考慮修改後的IP標頭

n   第2層訊框檢查碼：重新計算以考慮修改後的第2層和第3層標頭

感覺大部分都與傳統路由器相同的封包修改，然而多層交換器使用專用的封包重寫硬體，並透過表格查詢獲得位址資訊，能非常高效率的完成此工作。