这篇文章是我一个月之前在我的公众号上发布的,故图片带有水印,个人公众号名称即水印名称
这篇我们主要Port Security在实际中的应用,基于这个前提,我们首先要了解,什么是IP地址欺骗:
IP地址欺骗:就是客户端使用自己配置的IP地址冒充其他客户端或网络管理员,对其他用户、设备、服务器等进行非法操作,他主要是利用自行配置IP地址来实现
面对这么多安全隐患,安全工程师又是如何进行防范的呢?
对于这种隐患,我们可以开启 端口安全(Port Security),下面我们将学习端口安全的作用
在交换机上开启端口安全有什么作用呢?
1.基于MAC地址限制、允许客户端流量避免
2.MAC地址扩散攻击
3.避免MAC地址欺骗攻击(主机使用虚假MAC地址发送非法数据)
那么,我们该如何进行相关配置呢?
第一步,启用交换机端口安全特性,在相应接口输入以下命令
Switch(config-if)#switchport port-security
启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入或干道模式,即必须mode trunk/access一下
第二步,配置允许访问网络的MAC地址
1.配置接口允许的最大活跃地址数量
Switch(config-if)#switchport port-security maximum { max-addr}
max-addr参数的范围是1~8192,在默认情况下为1
2.配置静态绑定的MAC地址
Switch(config-if)#switchport port-security mac-address { mac-addr}
mac-addr为静态绑定的MAC地址
第三步,配置老化时间
原因:如果同一端口主机经常变化,而旧MAC地址一直保留,这可能导致新连接到端口的客户无法正常通讯
配置交换机接口老化时间,让交换机删除一段时间内没有流量的MAC地址,命令如下
Switch(config-if)#switchport port-security aging time { time }
time参数范围是1~1440分钟,默认为0表示不删除
Switch(config-if)#switchport port-security aging type { absolute | inactivity }
absolute参数为老化时间到期后,删除所有MAC地址并重新学习
inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除
Switch(config-if)#switchportport-security aging static
默认情况下静态绑定的MAC地址并不受老化时间的影响,Cisco交 换机也可让静态绑定的MAC地址老化
第四步,配置MAC地址违规后的策略
MAC地址违规有下面两种情况
1.最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口
2.一个配置为其他接口安全MAC地址的MAC地址试图访问这个端口
Switch(config-if)#switchportport-security violation { protect |restrict |shutdown }
上面这段命令的意思是,当出现违规情况时,有三种处理方式
1.shutdown:端口成为err-disable状态,相当于关闭端口,是默认处理方式
2.protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组
3.restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组(相当于计入征信)
若端口进入err-disable状态时,恢复接口状态的方法
第一种:手动恢复,进入该端口,先shutdown端口,然后再no shutdown端口,即可恢复为正常状态
第二种:自动恢复,设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复,命令如下
Switch(config)#errdisable recovery cause psecure-violation
psecure-violation 为出现err-disable状态的原因
Switch(config)#errdisable recovery interval { time }
time为恢复时间间隔
注:err-disable状态的端口,默认情况下不会自动恢复
但是,如果所在企业的网络规模非常的大,我们手动去绑定地址的办法就有点不太现实了,所以说,这个时候我们需要用到端口安全的sticky(粘连)特性,sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中,形成绑定关系,命令如下
Switch(config)#switchport port-security mac-address sticky
到这一部,咱们的配置就已经全部完成了,下面请看配置案例
原文地址:http://blog.51cto.com/13286294/2073538