交换机接入安全

交换机接入安全端口安全 P320MAC表自动学习：动态（默认）保持300秒.手工设置：静态（安全）默认，MAC表动态学习，MAC表MACAVLAN1MACBVLAN1MACCVLAN1MACDVLAN1

允许任何用户接入。F0/1F0/2F0/3F0/4当未授权用户E接入端口F0/4，则交换机会自动刷新MAC表，并允许E接入，则E便可以访问网络资源。可以通过多种方式来限制E对网络的访问，其中一种便是端口安全。S29S29(config)######或###实验：端口安全1.在接入层交换机S29上，对于端口F0/1,2.,3,4只允许主机ABCD接入，违背关闭端口.intf0/1shutdown 目的：清理MAC表swmodeacc 默认dynamaic，不能启用端口安全swport-security 启用端口安全swport-securitymaximun1 关联一个MAC(默认)swport-securitymac-address000c.1111.111a静态绑定swport-securitymac-addresssticky动态学习MAC并绑定swport-securityviolationshutdown 违背关闭(默认)noshutdownS29(config)#intf0/4#shutdown#####swsw#####swswswswswmodeaccport-security 启用端口安全port-securitymaximun1 关联一个MAC(默认)port-securitymac-address000c.1111.111d静态绑定port-securityviolationshutdown 违背关闭2.在交换机S3560上，S3560(config2.在交换机S3560上，S3560(config)#intf0/13.错误禁用的恢复手工恢复先shutdown,后noshutdown自动恢复S(config)#errdisablerecoverycausepsecure-violation#errdisablerecoveryinterval30access查看哪些行为的禁用可以自动恢复DHCP监听P326#shutdown#swmodeacc#swport-security#swport-securitymaximun3 关联3个MAC(默认1个)#swport-securitymac-address000c.1111.111a静态绑定#swport-securitymac-address000c.1111.111b#swport-securitymac-address000c.1111.111c#swport-securityviolationrestric 受限，合法通过，非法丢弃并产生日志消息Protect保护，合法通过，非法丢弃，在F0/1端口只允许主机ABC接入，其它禁止，违背受限.但不产生日志消息重新启用的原因

恢复时间间隔注：1.启用端口安全时，只能工作在access或trunk模式.（默认dynamaicauto）配置时，应先将端口关闭，否则配置不起作用。sw#shport-securityinterfacef0/3sw#sherrdisabledetectErrDisableReasonDetectionMode -arp-inspectionEnabledportbpduguardEnabledportchannel-misconfigEnabledportdhcp-rate-limitEnabledportpsecure-violationEnabledportsw#sherrdisablerecovery防范欺骗攻击

DHCP IP地址 子网掩码 网关 54DNS…….分析DHCP攻击：DHCP基于广播，同一网络中的所有主机都可以收到，恶意用户D发送伪造的DHCP应答，造成两种后果。非法的IP地址 导致用户不能联网合法的IP地址，但将网关设为自己的IP:1.4 中间人攻击导致用户将访问外网的流量发送到1.4，然后1.4将重要信息进行过滤，如上网帐号、邮箱帐号、电子银行帐号等。解决办法：DHCP监听防止伪造的DHCP应答。可信端口 应答通过不可信端口 应答被丢弃注：启用DHCP监听后，所有端口被视为不可信，应将连接DHCP服务器的端口设为可信的。可以限制用户发送DHCP请求的速率，防止DHCP请求泛洪攻击可以建立一个DHCP监听绑定表，用于防止IP欺骗和ARP欺骗。MACIP租用期限对应端口A8F0/1B8F0/2C8F0/3D8F0/4分析教材CCNP302页SW(config)#ipdhcpsnooping启用DHCP监听功能#ipdhcpsnoopingvlan1-3指定在哪些VLAN下监听#intf0/20ipdhcpsnoopingtrust 设为可信端口intrangef0/1-19ipdhcpsnoopinglimitrate3 限制用户的DHCP请求速率，超速shut实验：DHCP监听sw#shipdhcpsnooping#shipdhcpsnoopingbindingclearipdhcpsnoopingbinding*clearipdhcpbinding*考试76,98题说明：SW2950有Bug，DHCP监听SW2950支持不好，连接用户的接口如果不设trust,用户的DHCP请求包也会被丢弃，而且也获取不到DHCP监听绑定表。源IP地址防护(防止IP欺骗)P328恶意用户攻击服务器、交换机、路由器等设备，为防止被日志记录，追查到自己防范1P欺驻攻击样查:LT2.Ifi.I.L1.防范1P欺驻攻击样查:LT2.Ifi.I.L1.淘i.252Vkfi1.TF欺U攻击伪造IP地址：其它用户 栽赃别人不存在的用户 无法追查配置：intrangef0/1-4ipverifysource在f0/1-4上启用IP源防护防范：启用IP源防护，收到包，检查IP和MAC与端口的对应关系是否合法。可以借助于DHCP监听绑定表，也可以手工设置绑定表。借助DHCP监听绑定表。 CCNP教材304例：用户D()假冒用户A()的IP攻击服务器。从端口F0/4发给交换机：MAC网关MACD攻击报文F0/4 F0/4(监听表)IP-端口的对应关系与DHCP监听绑定表内容不同。伪造，丢弃。

2.手工绑定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding2.手工绑定S3560(config)#ipsourceipipipsourcesourcesourcebinding000c.1212.121aMACbinding000c.1212.121bbinding000c.1212.121cbinding000c.1212.121dvlanVLANvlanvlanvlanIPintf0/1接口intf0/2intf0/3intf0/4###（2）如果同时希望防止MAC欺骗，则必须启用端口安全swport-security（启用后默认特性：允许1个MAC,违规shutdown；当改为允许多个MAC时，违规自动变为restric）考试355题intrangef0/5swport-securityInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipInterfaceFilter-typeFilter-modeIP-addressFa0/2ipinactive-no-snooping-vlanFa0/3ipinactive-no-snooping-vlanFa0/4ipinactive-no-snooping-vlanFa0/5ip-macinactive-no-snooping-vlanMac-address查看：sw3550#shipverifysourceVlansw3550#shipsourcebindingMacAddressIpAddressLease(sec)TypeVLANInterface 00:26:9E:81:89:10 3 infinite static 1---FastEthernet0/500:E0:4C:82:1A:EE2423621dhcp-snooping1FastEthernet0/100:E0:4C:82:1A:EE1411916dhcp-snooping2FastEthernet0/1Totalnumberofbindings:3clearipdhcpsnoopingbinding*clearipdhcpbinding*动态ARP检测(DAI.) P329分析：ARP欺骗。用户上网，先通过ARP找网关的MAC.A广播查询"1.254你的MAC是多少，请回答"所有主机都能收到，但正常只能网关回答：”1.254的MAC是MACG"主机D,ARP病毒抢先回答：1.254 MACD主机A在二层将用MACD封装.最终，主机A访问外网的所有流量都将被转发到D. 中间人攻击D可以对重要信息进行过滤，如上网帐号、邮箱帐号、电子银行帐号等。注：与DHCP欺骗的区别DHCP欺骗 假冒网关IPARP欺骗 假冒网关MAC解决办法：动态ARP检查.（在交换机上进行）S3560(config)#iparpinspectionvlan1-3在VLAN1-3下启用ARP检测启用后，交换机将会拦截VLNA1-3接口收到的ARP应答，进行合法性检查。在判断是否存在欺骗行为时，可以采用以下2种方式：1.采用DHCP监听绑定表，或手工设置的IP-MAC-接口绑定关系表。MACIP租用期限对应端口A8F0/1B8F0/2C8F0/3D8F0/4MACAMACD1.254MACDF0/4收到二层ARP应答Nc.TimeSourceDestinationProtocolLengthInfo10.0000DOQuant就口_45:41:c2Bra<adcast:ARP i-2uihohas1?Tell020.000155Realteks_44:m:北Quanta£o_45:41:c2ARP 601S2.ICS.1.1115里0D：e0：4c：^4：03：db37.60662SQuantaCa_45:41:c2Bra>adcastARP i-1 192.16S.1.25^-?^Te11192.1CB.1.fiQ4F.bQGST■括DigltalE.oascZjeaQuantaco_45：41;czARP 741SZ.ICfl.1.25JISJTOH：00：2b:Oa:c.p:ea，I 'L @Frame4：7Abytescmwire〔592b1tsj,74bytescapiHired(5.^2bits)®EthernetTIaSire:Digita'lE_Oa:c7:ea(OS:00!2b!Oa:c7:ea)aOst'QuantaCD_jl5:41! (00!26:c2)i-iAddressResQlmtlonProrocol(reply)Hardwaretype:Ethernet(1)ProtDcolType:IP(DmOEQD)Hardwaresize:6Protocolsize:4Opcode:reply(2)[is.gratulTous:raise] __ __SenderMACaddress:DigitalE_0a:c7::eafQg买 :Dm「£苴成)<.senderipaddress:54C192.1©s717254)TargetMACaddress:QuantaCo_45:41：：c2(00:26:9€：45：41^2)Targetipaddre.£s:192.163.1.so(192.168.1-60)如果没有上述表项，可以手工配置ARP访问列表.S3560(config)#arpaccess-listARP-01 手工建立ARP绑定表permitiphostmachost000c.0101.0101permitiphostmachost000c.0101.0102S3560(config)#iparpinspectionfilterARP-01vlan1调用ARP绑定表SW1 一^SW2其它配置：S3560(config)#intg0/1#iparpinspectiontrust(两个交换机之间的ARP应答视为可信，避免重复检查.)考试300题

S3560(config)#intf0/2#iparpinspectionlimitrate10arp请求限速，防止arp泛洪攻击。实验测试的结果：ARP检测合法应答通过，非法应答丢弃；ARP超速接口，动作是shutdown；DAI会自动调用已有的DHCP监听绑定表或手工IP-MAC-接口绑定表进行ARP检测，也可调用已配置的ARP访问列表。其它ARP安全措施：PC杀毒，安装ARP防火墙。PC手HARP绑定 (在终端PC上进行)启动项arp.batarp-s00-0c-ceT2T2T1arp-s00-0c-01-12-12-12arp-s00-0c-01-12-12-13路由器ARP绑定r1(config)#arpc007.1a30.f10darpa附：ARP表老化时间Windows2003/XP，ARP的老化时间默认为2分钟，如果一个ARP缓存表项在2分钟内用到，则再延长2分钟，直到最大生命周期10分钟。然后被移除，再通过一个新的ARP请求/回应来得新的对应关系。CISCO路由器的ARP老化时间默认为4小时，可以进行修改。r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24Half-duplex,10Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00r1(config)#intf0/0#arptimeout120r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisGt96kFE,addressisc000.1e4c.0000(biac000.1e4c.0000)Internetaddressis/24ARPtype:ARPA,ARPTimeout00:02:00r1#sharpProtocolAddress Age(min)HardwareAddrTypeInterfaceInternet - c000.1e4c.0001 ARPA FastEthernet0/1Internet 1 c007.1a30.f10d ARPA FastEthernet0/0Int