cisco交換機MAC/CAW***防範

  一．前言
本文所提到的***和欺騙行爲主要針對鏈路層和網絡層。在網絡實際環境中，其來源可概括爲兩個途徑：人爲實施；病毒或蠕蟲。人爲實施通常是指使用一些***的工具對網絡進行掃描和嗅探，獲取管理帳戶和相關密碼，在網絡上中安插***，從而進行進一步竊取機密文件。***和欺騙過程往往比較隱蔽和安靜，但對於信息安全要求高的企業危害是極大的。而來自***或者病毒及蠕蟲的***和往往會偏離***和欺騙本身的目的，現象有時非常直接，會帶來網絡流量加大、設備 CPU 利用率過高、二層生成樹環路直至網絡癱瘓。
目前這類***和欺騙工具已經非常成熟和易用，而目前企業在部署這方面的防範還存在很多不足，有很多工作要做。思科針對這類***已有較爲成熟的解決方案，主要基於下面的幾個關鍵的技術： 
　　Port Security feature 
　　DHCP Snooping 
　　Dynamic ARP Inspection (DAI) 
　　IP Source Guard 
下面部分主要針對目前非常典型的二層***和欺騙說明如何在思科交換機上組合運用和部署上述技術，從而實現防止在交換環境中實施“中間人”***、 MAC/CAM ***、 DHCP ***、地址欺騙等，更具意義的是通過上面技術的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應的交換機端口；防止 IP 地址衝突。同時對於大多數對二層網絡造成很大危害的具有地址掃描、欺騙等特徵的病毒可以有效的報警和隔離。
二．實例
1 MAC/CAM***的防範 
1.1 MAC/CAM***的原理和危害 
交換機主動學習客戶端的 MAC 地址，並建立和維護端口和 MAC 地址的對應表以此建立交換路徑，這個表就是通常我們所說的 CAM 表。 CAM 表的大小是固定的，不同的交換機的 CAM 表大小不同。 MAC/CAM ***是指利用工具產生欺騙 MAC ，快速填滿 CAM 表，交換機 CAM 表被填滿後，交換機以廣播方式處理通過交換機的報文，這時***者可以利用各種嗅探***獲取網絡信息。 CAM 表滿了後，流量以洪泛方式發送到所有接口，也就代表 TRUNK 接口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。
1.2典型的病毒利用MAC/CAM***案例 
曾經對網絡照成非常大威脅的 SQL 蠕蟲病毒就利用組播目標地址，構造假目標 MAC 來填滿交換機 CAM 表。其特徵如下圖所示： 
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3使用 Port Security feature 防範MAC/CAM*** 
思科 Port Security feature 可以防止 MAC 和 MAC/CAM ***。通過配置 Port Security 可以控制： 
l        端口上最大可以通過的 MAC 地址數量 
l         端口上學習或通過哪些 MAC 地址 
l        對於超過規定數量的 MAC 處理進行違背處理 
端口上學習或通過哪些 MAC 地址，可以通過靜態手工定義，也可以在交換機自動學習。交換機動態學習端口 MAC ，直到指定的 MAC 地址數量，交換機關機後重新學習。目前較新的技術是 Sticky Port Security ，交換機將學到的 mac 地址寫到端口配置中，交換機重啓後配置仍然存在。 
對於超過規定數量的 MAC 處理進行處理一般有三種方式（針對交換機型號會有所不同）： 
l        Shutdown 。這種方式保護能力最強，但是對於一些情況可能會爲管理帶來麻煩，如某臺設備中了病毒，病毒間斷性僞造源 MAC 在網絡中發送報文。 
l        Protect 。丟棄非法流量，不報警。 
l        Restrict 。丟棄非法流量，報警，對比上面會是交換機 CPU 利用率上升但是不影響交換機的正常使用。推薦使用這種方式。 
1.4配置 
port-security 配置選項：
Switch(config-if)# switchport port-security ? 
aging Port-security aging commands 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 
配置 port-security 最大 mac 數目，違背處理方式，恢復方法
Cat4507(config)#int fastEthernet 3/48 
Cat4507 (config-if)#switchport port-security 
Cat4507 (config-if)#switchport port-security maximum 2 
Cat4507 (config-if)#switchport port-security violation shutdown 
Cat4507 (config)#errdisable recovery cause psecure-violation 
Cat4507 (config)#errdisable recovery interval 30 
通過配置 sticky port-security學得的MAC 
interface FastEthernet3/29 
switchport mode access 
switchport port-security 
switchport port-security maximum 5 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 000b.db1d.6ccd 
switchport port-security mac-address sticky 000b.db1d.6cce 
switchport port-security mac-address sticky 000d.6078.2d95 
switchport port-security mac-address sticky 000e.848e.ea01 
1.5使用 其它技術 防範MAC/CAM*** 
除了 Port Security 採用 DAI 技術也可以防範 MAC 地址欺騙。