交换机配置端口安全(泛洪概念,MAC地址表,静态,动态,粘滞端口原理,适用场景等)
1. 交换机简介
1.1 交换机的功能
1) 交换机工作在数据链路层,通过MAC地址转发帧,隔离碰撞域;
2) 交换机每一个端口属于一个碰撞域;
3) 交换机隔离碰撞域,但是不隔离广播域(VLAN除外)
1.2 交换机的工作原理
交换机基于CAM表进行转发数据帧,一个数据帧中包含了源MAC地址和目的MAC地址,当交换机收到该帧时,会解析其中的源MAC地址和目的MAC地址,将源MAC地址记录在自己的CAM表中,并基于目的MAC地址在CAM表中查找对应连接的端口,如果CAM表中不存在该目的MAC地址,交换机则会将该帧转发到每一个端口,称为盲目泛洪;
1.2.1 CAM表以及CAM表的自学习过程
CAM表是交换机中帮助交换机进行正确转发帧的数据结构,存储了VLAN ID,MAC地址,以及该MAC地址对应的端口,这是CAM表的结构:
当交换机通过某一个端口接收到一个数据帧时,检查和转发步骤如下:
- 解析数据帧中的源MAC地址和目的MAC地址;
- 检查CAM表中是否存在该源MAC地址,若存在: 1) 基于目的MAC地址在CAM表中查找对应的端口,存在直接转发到该端口; 2) 不存在,则进行盲目泛洪,即转发到除接收端口外的每一个端口;
- 若不存在该源MAC地址,则会将该MAC地址以及接收该数据帧的端口号对应的存储在CAM表中。
1.2.2 CAM表的维护与更新
- CAM表中每一个字段会有一个老化时间戳,到期删除,原因如下: 1) 交换机的端口连接了另一台主机; 2) 当前主机更换了网卡。
1.3 CAM表更新策略的安全隐患
由于交换机的CAM表是基于源MAC地址来进行学习的,那么就会存在MAC泛洪攻击:
即黑客可以通过使用大量无效的源MAC地址发送数据帧给交换机,由于交换机的CAM表是有内存限制的,那么在被攻击后,CAM表会迅速增大,逐渐达到内存限制。之后如果有用户基于该交换机转发数据帧,由于CAM表被恶意攻击了,所以无法再进行自学习,这时该数据帧的目的MAC地址不存在在CAM表中,交换机会进行盲目泛洪,这是黑客就可以通过抓包软件获取到该数据帧,完成数据窃取。下文配置交换机端口安全讲述了解决方法,提供了交换机的安全防御措施。
2. 配置交换机端口安全
配置交换机安全特性可以防止MAC泛洪攻击。端口安全限制交换机端口上允许的有效MAC地址的数量或者特定的MAC地址。端口安全工作方式主要包括以下三种。
2.1 静态端口安全
2.1.1 简介
通过静态配置,只允许特定MAC地址的终端设备从该端口接入交换机。当转发的数据帧的源MAC地址不是通过静态配置的MAC地址时,交换机会按照惩罚模式进行惩罚(惩罚模式下文会做详细介绍),且不会转发该数据帧。
2.1.2 适用范围
对于连接了服务器的端口,由于服务器并不会经常更换,此时可以使用静态端口安全的配置
2.2 动态端口安全
2.2.1 简介
通过动态配置,限制每个端口可接入的MAC地址的数量,默认每一个端口只允许一个MAC地址(一台终端设备)接入。
2.2.2 适用范围
动态端口配置适合于员工办公,且位置不固定的情况,限制每个端口只能连接一台计算机,避免用户私自连接AP或者其他交换机而带来隐患;
2.3 粘滞端口安全
2.3.1 简介
这是一种结合静态和动态配置的端口安全配置方法,表中数据就像静态配置的一样,而且限制每个端口可接入的MAC地址数量,不过并不是人工配置的,而是交换机自学习的,且到达限制数量后,就不再进行自学习,保证了不会遭到MAC泛洪攻击。
2.3.2 适用范围
配置粘滞端口安全,适用于使用台式计算机办公,位置固定的场景,通过配置粘滞端口减轻网管员的工作量,限制每个端口只能连接一台计算机,避免其他用户的计算机使用交换机的端口带来安全隐患;
3. 惩罚模式
3.1 保护(protect)
当新的终端设备接入交换机时,若该端口的MAC地址数量已经到达限制或者与静态配置的MAC地址不符,则不允许新的终端设备进行接入,而已接入的设备不受影响,交换机不会发送警告信息。
3.2 限制(restrict)
当新的终端设备接入交换机时,若该端口的MAC地址数量已经到达限制或者与静态配置的MAC地址不符,则不允许新的终端设备进行接入,而已接入的设备不受影响,交换机会发送警告信息,并增加违规计数器的计数。
3.3 关闭(shutdown)
这是交换机的默认惩罚模式。
当新的终端设备接入交换机时,若该端口的MAC地址数量已经到达限制或者与静态配置的MAC地址不符,交换机会将该端口关闭,并立即变为错误禁用状态(err-disabled),该端口下所有设备无法接入交换机,交换机会发送警告信息,同时增加违规计数器的计数。
当交换机处于err-disabled状态时,在当前端口输入shutdown指令,再输入no shutdown可以重启该端口,如果仍然有违规设备接入该端口,则继续进入err-disabled状态。
4. 使用cisco进行模拟配置交换机端口安全配置
4.1 常用指令(#{}表示需要填入的数据)
1. shutdown # 禁用端口
2. no shutdown # 启用端口
3. duplex auto # 配置以太网接口双工模式,默认状态是auto
4. speed auto # 配置以太网接口的速率,默认速率是自适应即auto
5. mdix auto # 配置auto-MDIX
6. interface vlan #{id} # 配置交换机交换虚拟接口(SVI),用于交换机远程管理
7. ip default-gateway #{ip地址} # 配置默认网关
8. interface (range) #{端口号} # range可以批量进入端口
9. switchport mode access # 端口配置为接入模式,配置安全端口的端口不能是动态协商模式
10. switchport port-security # 打开交换机的端口安全功能
11. switchport port-security maximum #{number} # 配置端口允许接入的MAC地址数量,默认为1
12. switchport port-security mac-address #{MAC地址} # 配置端口允许接入的设备的MAC地址
13. switchport port-security violation #{惩罚模式} # 配置端口安全违规惩罚模式,shutdown是默认的惩罚模式
14. switchport port-security mac-address #{安全端口} # 配置该端口的安全端口
15. show mac addredd-table # 展示端口的各项配置信息
4.2 实验内容
(1)按照实验拓扑搭建实验环境。
(2)交换机基本配置。
(3)配置交换机的静态端口安全。
(4)配置交换机的动态端口安全。
(5)配置交换机的粘滞端口安全。
4.3 实验步骤
a) 配置实现所需拓扑图、
(这里应该使用多层交换机3650-24PS或3560-24PS)
b) 交换机基本配置
c) 使用pc0来ping pc1 和server
d) 检查交换机MAC地址表
可以看到,交换机的MAC表已经自动学习建立了,说明交换机使用自学习算法动态建立MAC地址表,通过Type字段也可以看出来;
e) 静态填充交换机的MAC地址表
f) 配置交换机静态端口安全
g) 外部接入一台非法服务器,查看交换机惩罚机制
可以看到server的MAC地址以static的类型配置成功了;
(此处由于一开始没有选择三层交换机,故无法演示)
在移除非法设备后,由于惩罚模式关闭了该端口,需要手动使用no shutdown 进行端口重启
h) 查看启用端口F0/11的各项信息
i) 配置交换机动态端口安全
j) 配置交换机粘滞端口安全
E
n
d
End
End
版权归原作者 Brendan Zeng 所有, 如有侵权,请联系我们删除。