单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,交换机端口安全,案例一,交换机主动学习客户端的,MAC,地址,并建立和维护端口和,MAC,地址的对应表,CAM,表,根本原因,CAM,表的大小是固定的,攻击者利用工具产生大量的,MAC,快速填满交换机的,CAM,表,交换机就像,HUB,一样工作,非法攻击者可以利用监听工具监听所有端口的流量,案例分析,MAC,攻击,设置端口安全功能,switchport port-security,设置端口允许合法,MAC,地址的数目,switchport port-security maximum,num,防范方法,设置超过端口允许的最大,MAC,地址数后端口行为,switchport port-security violation,act,shutdown,端口关闭,protect,端口不转发数据,不报警,restrict,端口不转发数据,报警,防范方法,静态设置每个端口所允许连接的合法,MAC,地址,实现设备级的安全授权,switchport port-security mac-address,X.X.X,防范方法,案例二:,IP,地址欺骗,常见的欺骗攻击种类有,MAC,欺骗、,IP,欺骗、,IP/MAC,欺骗,伪造身份,病毒和木马的攻击也会使用欺骗的源,IP,地址,掩盖真实的源主机,设置“端口,+MAC+IP,”绑定,设置,MAC,地址访问控制列表,设置,IP,地址访问控制列表,最后把两种,ACL,应用到端口,防范方法,设置,IP,地址访问控制列表,ip access-list extended,mac-acl-name,设置规则,permit/deny protocol,source-ip,des-ip,eq,port,应用到端口,mac access-group,mac-acl-name,in/out,ip access-group,ip-acl-name,in/out,防范方法,。