端口安全原理及实验
场景
防止外来人员用自己的电脑接入访问公司内网,进入内网后可以进行端口扫描等一系列入侵行为;
防止员工接入路由器等设备,如果将路由器的wan口接入(wan口是接公网的),会有nat转换,公司的核心设备上只能看到路由器的地址,但是看不到路由器下面接了多少设备,只会察觉到这条线上的用户流量较大;
防止员工私下换位等…
面对这种情况可以使用端口安全port-security技术来防范
在接入层面,可以限制端口的用户mac绑定,防止其他用户假冒
在汇聚层面,可以限制端口的接入用户数量,防止mac泛洪
实验
在0/0/2接口中开启端口安全,然后限制最大接入数量为3
interface GigabitEthernet0/0/2
port-security enable
port-security max-mac-num 3
[sw2]dis mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
2af2-467e-dff3 1 - - GE0/0/2 security -
5489-9855-0c11 1 - - GE0/0/2 security -
0050-56c0-0008 1 - - GE0/0/2 security -
-------------------------------------------------------------------------------
查看到的dff3是用虚拟机伪造的一个mac,是最大数量达到最值,导致pc2无法正常访问,并且交换机会将pc2的数据包丢弃,同时会发出告警,告诉管理员有一个端口安全动作报警,执行的动作是1
共有三种保护动作,默认使用的restrict,不建议使用protect,因为只会丢弃,不会发出告警,行为交严格的是shutdown,一旦发现违规行为,就会将端口关闭,并且发出告警,只有在设置自动恢复时间后,才会自动开启
如果将报警动作设置成shutdown后,如果攻击者进行mac泛洪,交换机的端口会立马就down下来,想要恢复就需要restart,或者先收到shutdown在undo掉
注意:恢复时间要在shutdown之前就配置好,
如果在其后,只会对下一次的shutdown产生效果
使用dis error-down recovery 可以查看报警日志(模拟器有点bug,一旦超出后就查看不到mac地址列表)
port-security有三种模式:
| 安全动态mac | 启用端口安全后,虽然还是动态学到,但是默认不老化,除非配置老化时间或者重启,才会丢失 |
|---|---|
| 安全静态mac | 手工配置,不会老化,重启后也永久生效 |
| sticky mac(粘性mac) | 启用端口安全和sticky,动态学到的都会保存静态的属性 |
默认情况下是动态学习
port-security mac-address sticky #配置粘性端口
port-security mac-address mac地址 #配置静态端口
758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
