端口安全性

 
未提供端口安全性的交换机将让***者乘虚而入,连接到系统上未使用的已启用端口,并执行信息收集或***。交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此,***者可以收集含有用户名、密码或网络上的系统配置信息的流量。
 
在部署交换机之前,应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效 MAC 地址的数量。如果为安全端口分配了安全 MAC 地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
 
如果将安全 MAC 地址的数量限制为一个,并为该端口只分配一个安全 MAC 地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全 MAC 地址的工作站才能成功连接到该交换机端口。
 
如果端口已配置为安全端口,并且安全 MAC 地址的数量已达到最大值,那么当尝试访问该端口的工作站的 MAC 地址不同于任何已确定的安全 MAC 地址时,则会发生安全违规。
 
安全 MAC 地址类型
 
配置端口安全性有很多方法。下面描述可在 Cisco 交换机上配置端口安全性的方法:
 
静态安全 MAC 地址:静态 MAC 地址是使用 switchport port-security mac-addressmac-address 接口配置命令手动配置的。以此方法配置的 MAC 地址存储在地址表中,并添加到交换机的运行配置中。
动态安全 MAC 地址:动态 MAC 地址是动态获取的,并且仅存储在地址表中。以此方式配置的 MAC 地址在交换机重新启动时将被移除。
粘滞安全 MAC 地址:可以将端口配置为动态获得 MAC 地址,然后将这些 MAC 地址保存到运行配置中。
 
 
粘滞 MAC 地址
 
粘滞安全 MAC 地址有以下特性:
 
当使用 switchport port-security mac-address sticky 接口配置命令在接口上启用粘滞获取时,接口将所有动态安全 MAC 地址(包括那些在启用粘滞获取之前动态获得的 MAC 地址)转换为粘滞安全 MAC 地址,并将所有粘滞安全 MAC 地址添加到运行配置。
如果使用 no switchport port-security mac-address sticky 接口配置命令禁用粘滞获取,则粘滞安全 MAC 地址仍作为地址表的一部分,但是已从运行配置中移除。
如果使用 switchport port-security mac-address sticky mac-address 接口配置命令配置粘滞安全 MAC 地址时,这些地址将添加到地址表和运行配置中。 如果禁用端口安全性,则粘滞安全 MAC 地址仍保留在运行配置中。
如果将粘滞安全 MAC 地址保存在配置文件中,则当交换机重新启动或者接口关闭时,接口不需要重新获取这些地址。如果不保存粘滞安全地址,则它们将丢失。
如果禁用粘滞获取并输入 switchport port-security mac-address sticky mac-address 接口配置命令,则会出现错误消息,并且粘滞安全 MAC 地址不会添加到运行配置。
 
全违规模式
 
当出现以下任一情况时,则会发生安全违规:
 
地址表中添加了最大数量的安全 MAC 地址,有工作站试图访问接口,而该工作站的 MAC 地址未出现在该地址表中。
在一个安全接口上获取或配置的地址出现在同一个 VLAN 中的另一个安全接口上。
 
 
根据出现违规时要采取的操作,可以将接口配置为三种违规模式之一。图中演示,当端口上配置了以下某一安全违规模式时,将转发哪些类型的数据流量:
 
保护:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至您移除足够数量的安全 MAC 地址或增加允许的最大地址数。您不会得到发生安全违规的通知。
限制:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至您移除足够数量的安全 MAC 地址或增加允许的最大地址数。在此模式下,您会得到发生安全违规的通知。具体而言就是,将有 SNMP 陷阱发出、syslog 消息记入日志,以及违规计数器的计数增加。
关闭:在此模式下,端口安全违规将造成接口立即变为错误禁用 (error-disabled) 状态,并关闭端口 LED。该模式还会发送 SNMP 陷阱、将 syslog 消息记入日志,以及增加违规计数器的计数。当安全端口处于错误禁用状态时,先输入 shutdown 再输入 no shutdown 接口配置命令可使其脱离此状态。此模式为默认模式。