交换机地基本概念和配置_2_CN.ppt

* * * Cisco 交换机上可以有很多 vty 端口。多端口允许多位管理员连接并管理交换机。 小心：如果未定义任何口令，而仍然要求登录，则用户将无法访问控制台。 * * * * * * * * 理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。 * 使用网络攻击工具可以执行 MAC 泛洪。网络入侵者使用攻击工具以大量无效的源 MAC 地址泛洪攻击交换机，直到 MAC 地址表充满。当 MAC 地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在 MAC 地址表中找不到对应特定 MAC 地址的端口号。交换机实际上是在起类似于集线器的作用。 某些网络攻击工具每分钟可以在交换机上生成 155,000 个 MAC 条目。MAC 地址表的最大大小因交换机而异。在图中，攻击工具在屏幕右下角 MAC 地址为 C 的主机上运行。此工具用伪造的数据包来泛洪攻击交换机，数据包中包含随机生成的源和目的 MAC 地址以及源和目的 IP 地址。经过很短时间之后，交换机中的 MAC 地址表将被填满，直到无法接受新条目。当 MAC 地址表中充满无效的源 MAC 地址时，交换机开始将收到的所有帧都转发到每一个端口。 * * * 下面的步骤演示了如何在 Cisco IOS 交换机上配置 DHCP 侦听： 步骤 1. 使用 ip dhcp snooping 全局配置命令启用 DHCP 侦听。 步骤 2. 使用 ip dhcp snooping vlan number [number] 命令对特定 VLAN 启用 DHCP 侦听。 步骤 3. 使用 ip dhcp snooping trust 命令定义可信端口，从而在接口级别将端口定义为可信或不可信。 步骤 4.（可选）使用 ip dhcp snooping limit raterate 命令限制攻击者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。 * * * * * 内存缓冲内置于交换机硬件中，除了可以增加可用的内存量之外，内存缓冲不可配置。 * * * * * * * 以您输入的字符开头的一系列命令将随即显示。例如，输入 sh? 将返回以 sh 字符序列开头的所有命令的列表。 当仅输入 ? 时，将显示可在当前上下文中使用的所有命令的列表。如果在特定命令后面输入 ? 命令，则会显示命令参数。如果显示 cr，则表示命令不需要任何其它参数即可执行。 * * * * * * * * * * * * MAC 地址表以前称为内容可寻址存储器 (CAM) 或 CAM 表。 动态地址是交换机获得的源 MAC 地址，而且当这些地址不使用时，交换机将使其老化。 网络管理员可以为某些端口专门分配静态 MAC 地址。静态地址不会老化，并且交换机总是知道应从哪个端口发出目的地为特定 MAC 地址的流量。 要在 MAC 地址表中创建静态映射，请使用 mac-address-table static MAC address vlan {1-4096, ALL} interfaceinterface-id 命令。 * MAC 地址表以前称为内容可寻址存储器 (CAM) 或 CAM 表。 动态地址是交换机获得的源 MAC 地址，而且当这些地址不使用时，交换机将使其老化。 网络管理员可以为某些端口专门分配静态 MAC 地址。静态地址不会老化，并且交换机总是知道应从哪个端口发出目的地为特定 MAC 地址的流量。 要在 MAC 地址表中创建静态映射，请使用 mac-address-table static MAC address vlan {1-4096, ALL} interfaceinterface-id 命令。 * * * * * * * * * * 冲突发生时，处于侦听模式的其它设备以及所有正在发送的设备，都会检测到信号振幅的增长。每台正在发送的设备将继续发送，以确保网络上的所有设备都检测到冲突。 * 设备上的延迟过时后，该设备将恢复到“发送前侦听”模式。随机回退时间可确保涉入冲突的设备不会再同时尝试发送流量，以免再现整个冲突过程。 * 单播：在单播通信中，帧从一台主机发出，发往一个特定的目的地。在单播传输中，只有一个发送方和一个接收方。单播传输是 LAN 和 Internet 中最主要的传输形式。单播传输的例子包括 HTTP、SMTP、FTP 和 Telnet。 广播：在广播通信中，帧从一个地