交换机与路由器技术-37-端口安全

目录

一、端口安全

1.1 课程引入

1.2 基本概念

1.3 作用

1.4交换机端口安全配置

1.4.1 配置最大活跃地址数量

1.4.2 配置静态MAC地址和接口绑定

1.4.3配置接口老化时间

1.4.4 配置MAC地址违规后的操作

1.5 当端口进入err-disable状态时，恢复接口状态的方法

1.5.1 手动恢复

1.5.2 自动恢复（设置计时器）

1.6 配置端口安全的sticky（粘性）特性

---

一、端口安全

1.1 课程引入

通过前面课程的学习，我们知道了交换机的工作原理，是靠 MAC 地址表转发数据，首先学习发送方的 MAC 地址，再查看目标 MAC 地址，如果目的 MAC 不在地址表中，就以广播的方式进行转发，但是如果 MAC 表被占满就会造成数据永远以广播的方式进行转发，不法者就会很轻易的获取到对应数据，这样就会出现安全隐患，本节内容主要就来讲解交换机的端口安全，通过在交换机的端口上配置安全策略，从而限制端口的学习 MAC 地址的个数，达到交换机的 MAC表不会被占满

1.2 基本概念

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址（即网卡号），并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。

1.3 作用

基于MAC地址限制、允许客户端流量

避免MAC地址扩散攻击

避免MAC地址欺骗攻击

1.4交换机端口安全配置

Switch(config)#int f0/1

/* 启用端口安全，交换机接口模式只能配置为接入或干道模式 */

Switch(config-if)#switchport mode access/trunk

Switch(config-if)#switchport port-security

1.4.1 配置最大活跃地址数量

/* 允许接口最大活跃地址数量[max-addr] 范围是1~8192 默认值是1*/

Switch(config-if)#switchport port-security maximum [max-addr]

1.4.2 配置静态MAC地址和接口绑定

/* 配置静态MAC地址和接口绑定  0090.0C25.166B 是mac地址*/

Switch(config-if)#switchport port-security mac-address 0090.0C25.166B

1.4.3配置接口老化时间

#如果同一端口主机经常变化，而旧MAC地址一直保留，这可能导致新连接到端口的客户无法正常通讯

#配置交换机接口老化时间，让交换机删除一段时间内没有流量的MAC地址

/* time 的参数范围1~1140分钟 默认0 表示不删除 */

Switch(config-if)#switchport port-security aging time {time}

/*  absolute 表示接口老化到期后，删除所有MAC并重新学习 */

/*  inactivity 表示与接口连接一段时间（老化时间）没有流量，将其从MAC表删除 */

/* 在PT模拟器中无法运行此命令 */

Switch(config-if)#switchport port-security aging type absolute/inactivity

/* 默认情况下 静态绑定的MAC地址不受老化时间影响，cisco交换机也可以让静态绑定的MAC地址老化 在PT模拟器中无法运行此命令*/

Switch(config-if)#switchport port-security aging static

1.4.4 配置MAC地址违规后的操作

MAC地址违规

最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口

一个配置为其他接口的安全MAC地址的MAC地址试图访问这个端口

Switch(config-if)#switchport port-security violation {shutdown |protect | restrict}

#shutdown：端口成为err-disable状态，相当于关闭端口，默认处理方式

#protect：将违规的MAC地址的分组丢弃，但端口处于UP状态。交换机不记录违规分组

#restrict：将违规的MAC地址的分组丢弃，但端口处于UP状态。交换机记录违规分组

1.5 当端口进入err-disable状态时，恢复接口状态的方法

1.5.1 手动恢复

关闭接口再重新打开

Switch(config-if)#shutdown

Switch(config-if)#no shutdown

1.5.2 自动恢复（设置计时器）

/* 当端口进入err-disable状态时，计时器开始计时，计时器超过后，端口状态自动恢复 */

Switch(config-if)#errdisable recovery cause psecure-violation

Switch(config-if)#errdisable recovery interval {time}

1.6 配置端口安全的sticky（粘性）特性

当企业内网所有端口均要启用端口安全时，静态绑定的MAC地址的工作量十分巨大

Sticky特性能动态的将交换机接口学习到的MAC地址加入到运行的配置中，形成绑定关系

Switch(config-if)#Switchport port-security mac-address sticky