任务4.1 交换机端口安全配置

Module4网络安全技术《网络互联技术》任务4.1

交换机端口安全配置以太网安全隐患端口安全基本概念端口安全工作原理端口安全配置流程端口安全配置命令对于安全性要求较高的网络环境，通常要对用户的接入进行基本的安全管控，以防止非法用户的接入及恶意的网络攻击。通过对交换机配置端口安全功能来增强网络的安全性，可有效避免信息泄露、MAC地址泛洪攻击等安全问题。本次任务介绍交换机端口安全的基本原理和配置方法。任务背景准备知识1.以太网安全隐患MAC地址泛洪攻击攻击者发送大量的虚假源MAC地址数据帧，导致MAC地址表快速填满，使得交换机将无法再学习新的MAC地址。交换机在转发数据帧时失去了“依据”，只能以广播的方式将数据帧从其余接口发送出去。攻击者利用此原理，窃取用户的通信数据。MAC地址泛洪攻击1.以太网安全隐患终端接入隐患用户私自扩充网络，导致终端数量增大，给通信环境带来了不稳定因素；非信任终端的接入，可能导致信息的泄露。终端接入隐患2.端口安全基本概念端口安全作用限制接口学习MAC地址的数量。端口安全的默认安全MAC地址的限制数是1个，即只能学习一个MAC地址表项。限制非信任终端接入网络。任何源MAC地址为非安全MAC地址的报文将会被丢弃。限制信任终端切换连接端口。即信任终端只能在通过指定的端口接入网络。违例通信的保护动作Restrict：丢弃源MAC地址为非安全MAC地址的报文并上报告警，此为默认的处理动作；Protect：只丢弃源MAC地址为非安全MAC地址的报文，不上报告警；Shutdown：接口状态被置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员手动恢复。3.端口安全工作原理工作原理交换机开启端口安全功能后，接口学习到的MAC地址会被转换为安全MAC地址。接口学习的MAC数量达到上限后不再学习新的MAC地址。如果交换机收到源MAC地址不属于安全MAC地址的报文，交换机认为有非法用户攻击，就会根据配置的动作对接口做保护处理。3.端口安全工作原理安全MAC地址安全MAC地址分为安全动态MAC地址和StickyMAC地址。当接口使能端口安全功能后，该接口上学习到的MAC地址将变为安全动态MAC地址，此时该接口仅允许源MAC地址匹配安全MAC地址或静态MAC地址的报文通过。若接口使能StickyMAC功能，安全动态MAC地址表项将转化为StickyMAC表项，之后学习到的MAC地址也变为StickyMAC地址。安全动态MAC地址在设备重启后表项会丢失。StickyMAC地址可由安全动态MAC地址转换而来，也可以手动添加。StickyMAC地址在手动保存之后，设备重启不会丢失。安全MAC地址4.端口安全配置流程端口安全配置流程如下：端口开启安全功能；端口配置MAC地址学习的限制数量；配置StickyMAC功能；动态转化手工添加设置接口安全保护动作（可选）。（1）开启端口安全功能命令：port-securityenable说明：缺省情况下，交换机接口未使能端口安全功能；通常对连接终端的接口进行配置视图：接口视图举例：交换机S1的G0/0/1使能接口安全功能。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]port-securityenable5.端口安全配置命令（2）配置接口安全动态MAC地址学习限制数量命令：port-securitymax-mac-nummax-number

说明：缺省情况下，交换机接口学习MAC地址限制为1视图：接口视图举例：设置交换机S1的G0/0/1限制MAC地址数量为2。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]port-securitymax-mac-num2

5.端口安全配置命令（3）配置StickyMAC功能命令：port-securitymac-addresssticky[mac-addressvlanvlan-id]说明：sticky后不加参数，表示将动态安全MAC转化为stickyMAC；sticky后加MAC地址及VLAN参数，表示手动添加stickyMAC表项视图：接口视图举例1：设置交换机S1的G0/0/1开启StickyMAC功能，将动态安全MAC转化为stickyMAC。举例2：为交换机S1的VLAN10接口G0/0/1手动添加stickyMAC表项AAAA-BBBB-0001。[S1-GigabitEthernet0/0/1]port-securityenable[S1-GigabitEthernet0/0/1]port-securitymac-addresssticky[S1-GigabitEthernet0/0/1]port-securityenable[S1-GigabitEthernet0/0/1]port-securitymac-addressstickyAAAA-BBBB-0001vlan105.端口安全配置命令（4）设置接口安全保护动作命令：port-securityprotect-action{shutdown|protect|restrict}说明：缺省情况下，交换机接口保护动作为restrict视图：接口视图举例1：设置交换机S1的G0/0/1接口保护动作为shutdown。举例2：设置交换机S1的G0/0/2接口保护动作为protect。设置交换机S1的G0/0/3接口保护动作为restrict。[S1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown[S1-GigabitEthernet0/0/2]port-securityprotect-actionprotect[S1-GigabitEthernet0/0/3]port-securityprotect-actionrestrict5.端口安全配置命令（5）启动静态MAC地址漂移的检测功能命令：port-securitystatic-flappingprotect说明：开启了端口安全的接口才支持静态MAC漂移的检测功能视图：系统视图举例：设置交换机S1静态MAC地址漂移的检测功能。[S1]port-securitystatic-flappingprotect5.端口安全配置命令6.任务实施：交换机端口安全配置（1）掌握交换机端口安全的基本原理；（2）掌握交换机端口安全的配置方法。（一）任务目的

某公司出于网络安全的考虑，希望对员工终端的网络接入进行基本的安全管控，要求接入层交换机限制非信任终端的接入，每个端口只能连接一台固定的员工终端。（二）任务描述（1）拓扑图（2）操作流程终端配置网络参数；交换机配置VLAN；S1的G0/0/1-3开启端口安全功能，限制连接数为1，分别只能允许PC1-PC3接入网络；G0/0/1-2：开启StickyMAC功能，自动将动态安全MAC转化为StickyMAC；G0/0/3：手动添加StickyMAC表项；S1的G0/0/1-3配置违例保护模式均为shutdown。（三）实施规划6.任务实施：交换机端口安全配置（四）操作步骤交换机配置VLAN配置网络参数[S1]vlan10[S1-vlan10]intg0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan10[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan10[S1-GigabitEthernet0/0/2]intg0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan10[S1-GigabitEthernet0/0/3]intg0/0/24[S1-GigabitEthernet0/0/24]portlink-typetrunk[S1-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S1-GigabitEthernet0/0/24]quitS1配置：S1配置端口安全功能6.任务实施：交换机端口安全配置（四）操作步骤[S2]vlanbatch10100[S2]intg0/0/24[S2-GigabitEthernet0/0/24]portlink-typetrunk[S2-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S2-GigabitEthernet0/0/24]intg0/0/1[S2-GigabitEthernet0/0/1]portlink-typeaccess[S2-GigabitEthernet0/0/1]portdefaultvlan100[S2-GigabitEthernet0/0/1]intvlanif100[S2-Vlanif100]ipadd10.0.0.25424[S2-Vlanif100]intvlanif10[S2-Vlanif10]ipadd10.1.1.25424[S2-Vlanif10]quitS2配置：交换机配置VLAN配置网络参数S1配置端口安全功能6.任务实施：交换机端口安全配置（四）操作步骤[S1]intg0/0/1[S1-GigabitEthernet0/0/1]port-securityenable//开启端口安全功能[S1-GigabitEthernet0/0/1]port-securitymax-mac-num1//默认为1[S1-GigabitEthernet0/0/1]port-securitymac-addresssticky

//将动态安全MAC转换为StickyMAC[S1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown

//设置违例保护模式为shutdown[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]port-securityenable[S1-GigabitEthernet0/0/2]port-securitymac-addresssticky[S1-GigabitEthernet0/0/2]port-securityprotect-actionshutdown[S1-GigabitEthernet0/0/2]intg0/0/3[S1-GigabitEthernet0/0/3]port-securityenable[S1-GigabitEthernet0/0/3]port-securitymac-addresssticky[S1-GigabitEthernet0/0/3]port-securitymac-addresssticky5489-9809-79B1vlan10//手动添加StickyMAC[S1-GigabitEthernet0/0/3]port-securityprotect-actionshutdownS1配置：交换机配置VLAN配置网络参数S1配置端口安全功能6.任务实施：交换机端口安全配置（五）实验测试

StickyMAC信息查看[S1]dismac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9809-79b110--GE0/0/3sticky-5489-98c3-248710--GE0/0/1sticky-5489-987b-548710--GE0/0/2sticky--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=3

S1查看StickyMAC信息

连通性测试非信任终端接入G0/0/36.任务实施：交换机端口安全配置（五）实验测试StickyMAC信息查看PC>ping10.0.0.1From10.0.0.1:bytes=32seq=1ttl=127time=62msFrom10.0.0.1:bytes=32seq=2ttl=127time=62ms......PC1ping服务器10.0.0.1连通性测试PC>ping10.0.0.1From10.0.0.1:bytes=32seq=1ttl=127time=125msFrom10.0.0.1:bytes=32seq=2ttl=127time=78ms......PC2ping服务器10.0.0.1PC>ping10.0.0.1From10.0.0.1:bytes=32seq=2ttl=127time=78msFrom10.0.0.1:bytes=32seq=3ttl=127time=63ms......PC3ping服务器10.0.0.1非信任终端接入G0/0/36.任务实施：交换机端口安全配置6.任务实施：交换机端口安全配置（五）实验测试StickyMAC信息查看PC>ping10.0.0.1Ping10.0.0.1:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---10.0.0.1pingstatistics---5pac