一、端口安全技术
将 MAC 地址固定在该接口上,如果进入该接口的数据和绑定的 MAC 地址不符合就阻塞该
端口,这样可以防止 MAC 地址洪泛攻击和 MAC 中间人攻击
MAC
mac洪泛攻击:不断的给交换机发送垃圾mac地址,使cam表内存空间填满无法记录正确
的mac地址,当主机发送数据的时候,交换机不认识此mac(未知单播帧)
将数据洪泛,从而窃取数据;
中间人攻击:将其他接口连接的主机mac地址通过另一个接口发给交换机,毒化cam表,使
交换机错误的转发数据,从而窃取数据
Mac地址漂移:中间人攻击、广播风暴(出环)引起;相同的mac地址不停的在多个接口出现
开启接口转发
防御(端口安全):关闭不使用接口、设置最大记录mac地址数量;静态绑定mac地址;
配置粘滞安全mac地址-只记录我设置的第x个mac地址
sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
静态安全 MAC 地址
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
sw1(config-if)#no shutdown
惩罚的分类:
protect:当计算机接入时,如果该端口的 MAC 地址条目超过最大的数量时,则这个新的计
算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息
Restrict:当新计算机接入时,如果该端口的 MAC 条目超过最大的数量时,则这个新的计算
机无法接入,并且交换机发送警告信息
Shutdown:当计算机接入时,如果该端口的 MAC 条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都将无法加入网络&#