一、交换机数据通信的过程:
我们以PING一个目标地址为例:
首先源地址发送给目标地址一个数据包(数据包中包含目标地址,源地址和网络协议ICMP进行封装);为了实现交换机的介质访问,需要对数据包中的目标地址和源地址进行通过ARP协议询问其IP地址;交换机通过ARP协议学习到了目标和源的IP地址,同时将学习到的IP地址和学习时间写入到交换机的MAC地址表中;最后可以实现目标地址和源地址选择性转发的功能。
MAC地址易造成MAC泛洪的攻击:
简言之,A访问B,但得不到B的MAC地址,于是乎交换机将MAC地址表数据广播一遍,泛洪给每一台设备中进行寻址。(一个接口最多允许学习4096个MAC地址)
黑客可以利用MAC协议的缺陷,不断发送伪造的MAC地址,伪造的MAC地址不断写入到交换机的MAC地址表中,因为MAC地址表中的条目迟早会学满,所以MAC地址表不得不发动泛洪,这样黑客就可以对泛洪的数据包进行分析,从而进行黑客攻击的信息采集。
二、交换机的端口安全
MAC有三种写入模式:
dynamic(会自我学习,有老化时间,需要手动设置);
static(手动添加MAC地址,没有老化时间);
security(前提是要在端口上开启端口安全,他具有自我学习的功能,但不会有老化时间,重启后会清除);
sticky(他具有自我学习的功能,不会有老化时间,且重启后不会清除)
开启端口安全:交换机进入接口后,port-security enable
设置端口最大绑定MAC地址数:port-security max-mac-num 最大地址数 //此条未设置时默认为最大绑定1条地址
设置端口的安全动作:port-security protect-action protect/restrict/shutdown(三种安全动作) //当出现不信任的MAC地址时,会出现数据包的告警,丢弃,关闭端口。
设置port-security也不是能保证绝对安全的,如果交换机遇到断电重启,或者是端口关闭后又开启,其端口中的MAC地址还是会清空,重新学习。
设置端口安全的sticky模式:port-security mac-address sticky
删除sticky模式中的某一条MAC地址:undo port-security mac-address sticky 5489-980f-5907 vlan 1 //同理,不加undo可以实现手动添加条目