关于交换机安全技术的简单应用

针对这么多的***形式，我们大致可以分为四类：

一、MAC Layer attacks

二、VLAN attacks

三、Spoofing attacks

四、Devices attacks

 

按此顺序讲解对应的解决技术：

-------------------------------------------------------------------

 

 

 

 

一、端口安全——基于源MAC地址允许流量

 

SW端口安全是2层特性，提供两个方面的保护：

1. 可以限定一个接口所能学习的MAC地址数量

2. 可以在一个接口静态绑定MAC地址

 

主要配置步骤：

1. 启用端口安全

必须是access接口——理由是trunk接口通常会学习到N个MAC地址，不应，也不好在trunk接口部署PortSecurity。

int f0/x

  switchport mode access  //必须设置为静态access接口，使其不可能成为trunk

  switchport port-security  //启用端口安全（总开关），默认只允许一个合法MAC地址

 

2. 允许学习的MAC地址数量

默认=1

  switchport port-security maximum 1  //指定最多允许多少个合法MAC地址

 

3. 定义合法的MAC地址

三种配置方式：（1）动态学习，（2）静态手工配置，（3）粘贴模式

（1）默认为“动态学习”模式，只要接口收到数据帧，就会将源MAC地址学习记录下来，查看命令： show port-security address

（2）静态手工配置

  switchport port-security mac-address aaaa.bbbb.cccc

（3）粘贴模式——结合了上述两种模式的优点，动态学习，静态记录，设备重启不丢失无需重学。

  switchport port-security mac-address sticky

 

4. 设置违例动作

当违背了端口安全允许的事件发生时（MAC地址不合法 或 超出端口允许MAC数），叫做violation，设备行动三种模式：

（1）protect，（2）restrict，（3）shutdown

 

（1）protect模式

  switchport port-security violation protect

丢弃非法数据包

（2）restrict模式

  switchport port-security violation restrict

丢弃非法数据包，并产生SNMP trap/syslog

（3）shutdown模式

  switchport port-security violation shutdown

直接将接口err-disable，并产生SNMP trap/syslog

 

5. 其他设置（可选）

MAC地址有效期设置

 switchport port-security aging time 1 （minute） //设定多长时间后能重新学习MAC地址，也就是设定现有MAC地址的有效期

 

  switchport port-security aging type [absulate|inactive]

//设定超时类型为绝对超时或非活动超时

 

6. 查看命令

show port-security

show port-security address

show port-security interface f0/1

show interface f0/1

  FastEthernet0/1 is down, line protocol is down (err-disabled)

 

7. Err-disable端口恢复

（1）手工shutdown , no shutdown恢复

（2）自动恢复，全局配置:

errdisable recovery cause psecure-violation //打开由于port-security导致err-disable的自动恢复功能

errdisable recovery interval 30 //每30s检测一次恢复条件是否具备（violation是否解除）

show intstatus error  //查看err-disable端口情况

 

 

 

 

 

-----------------------------------------------------

二、基于主机MAC限制流量

当发现某个MAC地址是确定***源后，可直接在接入交换机（3550以上支持）一条命令：

mac-address-table static aaaa.bbbb.cccc vlan 1 drop //对于vlan1中的这个MAC地址流量全部丢弃

（有些交换机是 mac address-table）

 

 

------------------------------------------------------

三、阻止未知单播/组播泛洪

　对未知MAC地址，SW将从本VLAN的其他端口转发出去,但对于某些端口（端口安全只需要一个MAC/已到最大MAC）没必要再转发这些单（组）播。就可以在这些端口上设定这一特性，通常结合端口安全来做。

int f0/x

  switchport block unicast

  switchport block multicast

show int f0/x switchport

...Unknown unicast block: enabled

...Unknown multicast blocked: enable

 

 

---------------------------------------------------

四、PACL/RACL/VACL

这三种ACL我们通过其应用的场景和过滤的内容来对比学习

 

（1）Port-based ACL (PACL) ——调用在交换机二层物理端口，只能对到达端口的IP流量（ip access-list）和非IP流量（mac access-list）进行过滤。

 

（2）RouterACL（RACL）——三层接口调用，针对广播域（网段）间IP流量，可分别对ingress/egress流量做过滤。

 

（3）VLAN ACL（VACL）——基于vlan调用，可以对VLAN内或VLAN间的IP流量和非IP流量进行过滤，没有方向性，同时对ingress/egress流量做过滤。

 

转载于:https://blog.51cto.com/kelp200/1976932