网络设备调试04交换机端口安全(学习资料)

主讲教师：马宇麟授课专业：计算机应用技术第 4讲 交换机端口安全网络设备调试 当交换机收到数据帧后发现， MAC地址表中只有数据帧的目标 MAC地址而没有源 MAC地址的记录，该交换机该如何处理数据帧？ 接口双工不匹配会有何结果？速率不匹配会有何结果？ 交换机配置模式有哪些？课程回顾本章结构端口安全DHCP监听的原理DHCP监听配置与示例IP源防护配置与示例IP源防护原理交换机端口安全端口安全的配置端口安全配置示例DHCP监听常见数据链路层安全威胁动态 ARP检测配置与示例IP源防护动态 ARP检测动态 ARP检测原理F0/3 回顾交换机转发原理PC1与 PC2通信常见数据链路层安全威胁F0/1 F0/2PC1 PC2MAC Address-Table0050.56c0.0001 0050.56c0.0002PC30050.56c0.0001 FFFF.FFFF.FFFF0050.56c0.0002ARP广播单播帧转发数据 MAC地址扩散 大量伪造源 MAC地址的数据帧使 MAC地址表溢出 导致 MAC地址表中找不到数据帧目的地址所对应的条目常见数据链路层安全威胁F0/1 F0/2PC1 PC2MAC Address-Table0050.56c0.0001 0050.56c0.0002PC30050.56c0.0001 0050.56c0.0002溢出伪造大量源 MAC地址F0/3因 MAC地址表溢出，无法查找表转发，数据帧被广播形式发送发给 PC2的单播帧PC3获得了 PC1、 PC2之间传输的数据 ARP攻击的原理 欺骗其他所有计算机 欺骗被攻击计算机常见数据链路层安全威胁PC1 PC2网关网关的 MAC地址是XX-XX-XX-XX-XX-XX（虚假 MAC地址）PC1的 MAC地址是XX-XX-XX-XX-XX-XX（虚假 MAC地址）Internet ARP欺骗原理 欺骗网关 欺骗主机常见数据链路层安全威胁PC1 PC2网关我是网关，我的 MAC地址是 XX-XX-XX-XX-XX-XX（ PC2的 MAC地址）我是 PC1，我的 MAC地址是 XX-XX-XX-XX-XX-XX（ PC2的 MAC地址）InternetPC1访问互联网的流量需要经过 PC2转发PC1 PC2我是 PC1，我的 MAC地址是XX-XX-XX-XX-XX-XX（ PC3的 MAC地址）我是 PC2，我的 MAC地址是XX-XX-XX-XX-XX-XX（ PC3的 MAC地址）PC3PC1到 PC2的流量需要经过 PC3转发 DHCP服务器欺骗与 DHCP地址耗尽 DHCP服务器欺骗 即客户端将自己配置为 DHCP服务器，分派虚假的 IP地址及其信息或者直接响应 DHCP请求 DHCP地址耗尽 即客户端不断的冒充新客户发送 DHCP请求，请求服务器分派 IP地址，这样很快耗尽 DHCP配置的 IP地址池，其他计算机无法使用 IP地址欺骗 客户端使用自己配置的 IP地址冒充其他客户端或网络管理员，对其他用户、设备、服务器等进行非法操作 IP地址欺骗主要是利用自行配置 IP地址实现的常见数据链路层安全威胁 交换机端口安全的作用 基于 MAC地址限制、允许客户端流量 避免 MAC地址扩散攻击 避免 MAC地址欺骗攻击（主机使用虚假 MAC地址发送非法数据）端口安全F0/3F0/1 F0/2 启用交换机端口安全特性 启用端口安全的接口不能是动态协商 (dynamic)模式，必须配置接口为接入或干道模式 配置允许访问网络的 MAC地址 配置接口允许的最大活跃地址数量 配置静态绑定的 MAC地址交换机端口安全的配置 5-1Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum max-addr max-addr参数的范围是 1 8192，在默认情况下为 1Switch(config-if)#switchport port-security mac-address mac-addr mac-addr为静态绑定的 MAC地址 配置老化时间 如果同一端口主机经常变化，而旧 MAC地址一直保留，这可能导致新连接到端口的客户无法正常通讯 配置交换机接口老化时间，让交换机删除一段时间内没有流量的 MAC地址 time参数范围是 1 1440分钟，默认为 0表示不删除 absolute参数为老化时间到期后，删除所有 MAC地址并重新学习 inactivity参数为与端口连接的客户端一段时间（老化时间）没有流量，就将其 MAC地址从地址表中删除交换机端口安全的配置 5-2Switch(config-if)#switchport port-security aging time time Switch(config-if)#switchport port-security aging type absolute | inactivity Switch(config-if)#switchport port-security aging staticl 默认情况下静态绑定的 MAC地址并不受老化时间的影响， Cisco交 换机也可让静态绑定的 MAC地址老化 配置 MAC地址违规后的策略 MAC地址违规 最大安全数目的 MAC地址表之外的一个新的 MAC地址访问该端口 一个配置为其他接口安全 MAC地址的 MAC地址试图访问这个端口 当出现违规情况时，有三种处理方式 shutdown：端口成为 err-disable状态，相当于关闭端口，默认处理方式 protect：将违规的 MAC地址的分组丢弃，但端口处于UP状态。交换机不记录违规分组 restrict：将违规的 MAC地址的分组丢弃，但端口处于UP状态。交换机记录违规分组交换机端口安全的配置 5-3Switch(config-if)#switchport port-security violation protect |restrict | shutdown 当端口进入 err-disable状态时，恢复接口状态的方法有两种 手动恢复 先关闭端口（ shutdown），然后再开启端口（ no shutdown）端口恢复为正常状态 自动恢复 设置 err-disable计时器，端口进入 err-disable状态时开始计时，计时器超出后端口状态自动恢复交换机端口安全的配置 5-4Switch(config)#errdisable recovery cause psecure-violationSwitch(config)#errdisable recovery interval time 恢复时间间隔 出现 err-disable状态的原因err-disable状态的端口，默认情况下不会自动恢复 配置端口安全的 sticky（粘连）特性 当企业内网所有端口均要启用端口安全时，静态绑定的MAC地址的工作量时十分巨大 sticky特性能动态的将交换机接口学习到的 MAC加入到运行配置中，形成绑定关系交换机端口安全的配置 5-5Switch(config)#switchport port-security mac-address sticky 在交换机上配置端口安全端口安全配置示例 5-1PC1 PC2F0/1F0/2Switch#show runinterface FastEthernet0/2switchport access vlan 2switchport mode accessswitchport port-security switchport port-security aging time 1 switchport port-security violation restrict switchport port-security aging type inactivity switchport port-security mac-address 0025.1234.1258 启用端口安全配置老化时间， 1分钟配置违规策略配置老化策略配置静态绑定 查看端口安全的状态端口安全配置示例 5-2Switch#show port-security interface fastEthernet 0/2Port Security : EnabledPort Status : Secure-upViolation Mode : RestrictAging Time : 1 minsAging Type : InactivitySecureStatic Address Aging : DisabledMaximum MAC Addresses : 1Total MAC Addresses : 1Configured MAC Addresses : 1Sticky MAC Addresses : 0Last Source Address:Vlan : 0025.1234.1258:2Security Violation Count : 0端口状态违规策略最大 MAC地址数量静态绑定 MAC地址数量安全违规次数 修改违规策略为 shutdown 当 F0/2端口接入其他 MAC地址的设备，端口将进入errdisable状态，系统日志如下所示端口安全配置示例 5-3%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/2, putting Fa0/2 in err-disable state%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.1ba5.6983 on port FastEthernet0/2.%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down%LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down端口状态改变 查看端口安全状态端口安全配置示例 5-4Switch#show port-security interface fastEthernet 0/2Port Security : EnabledPort Status : Secure-shutdownViolation Mode : ShutdownAging Time : 1 minsAging Type : InactivitySecureStatic Address Aging : DisabledMaximum MAC Addresses : 1Total MAC Addresses : 1Configured MAC Addresses : 1Sticky MAC Addresses : 0Last Source Address:Vlan : 0021.1ba5.6983:2Security Violation Count : 1端口状态违规次数 查看处于 errdisable状态的端口 显示端口安全状态的摘要信息端口安全配置示例 5-5Switch#show interfaces status err-disabled Port Name Status ReasonFa0/2 err-disabled psecure-violationErrdisable状态原因Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action(Count) (Count) (Count)-Fa0/2 1 1 1 Shutdown-Total Addresses in System (excluding one mac per port) : 0Max Addresses limit in System (excluding one mac per port) : 8192 DHCP监听（ DHCP Snooping） 保证客户端能够从正确的 DHCP服务器获得 IP地址 避免 DHCP服务器欺骗和 DHCP地址耗尽 限制客户端发送 DHCP请求的速度，从而减缓 DHCP资源耗尽攻击 DHCP监听将交换机端口分为两种 非信任端口 连接终端设备的端口，该端口客户端只能发送 DHCP请求报文，而丢弃来自该端口的其他所有 DHCP报文（ DHCP offer等） 信任端口 连接合法的 DHCP服务器或者汇聚接口，能够转发和接收所有 DHCP报文DHCP监听的原理 2-1 DHCP监听应用实例DHCP监听的原理 2-2客户机 1客户机 2 客户机 3 客户机 4DHCP服务器信任信任信任信任信任信任信任 信任 信任非信任非信任 非信任 非信任 启用 DHCP监听 设置 DHCP监听作用于那个 VLAN 配置端口信任或非信任 启用 DHCP监听后，默认所有端口为非信任端口 配置端口为信任端口DHCP监听配置 3-1Switch(config)#ip dhcp snooping vlan numberSwitch(config-if)#ip dhcp snooping trustSwitch(config)#ip dhcp snooping可设置多个 Vlan DHCP报文中的 “选项 82” 选项中主要包括： DHCP请求报文进入设备的端口、属于的 Vlan、交换机的 MAC等信息DHCP服务器可以根据这些信息更加精确的为客户端分配 IP地址、设置策略等 报文中插入选项 82信息 DHCP监听配置 3-2Switch(config)#ip dhcp snooping information option 限制 DHCP报文速率，减缓 DHCP耗尽攻击 启用核实 MAC地址功能，避免 DHCP耗尽攻击 检测非信任端口的请求报文中源 MAC地址和DHCP请求报文中的客户端 MAC地址是否相同DHCP监听配置 3-3速率单位 pps在非信任端口配置Switch(config-if)#ip dhcp snooping limit rate rateSwitch(config)#ip dhcp snooping verify mac-address 在交换机上启用 DHCP监听，限制非信任端口DHCP报文速率为 100ppsDHCP监听配置示例 4-1F0/22 F0/21F0/18PC1PC2DHCP服务器 交换机上启用 DHCP监听配置DHCP监听配置示例 4-2Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 1Switch(config)#ip dhcp snooping information option Switch(config)#interface fastEthernet 0/21Switch(config-if)#ip dhcp snooping trust Switch(config-if)#exitSwitch(config)#interface range fastEthernet 0/1 - 20Switch(config-if-range)#ip dhcp snooping limit rate 100Switch(config-if-range)#exitSwitch(config)#interface range fastEthernet 0/22 - 24Switch(config-if-range)#ip dhcp snooping limit rate 100Switch(config-if-range)#exit启用 DHCP监听启用 “ 选项82”设置信任端口DHCP报文限速 查看 DHCP监听的状态DHCP监听配置示例 4-3Switch#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1 DHCP snooping is configured on the following Interfaces:Insertion of option 82 is enabledcircuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rat