端口安全(Port-Security)
1、 Cisco29系列交換機可以做基於2層的端口安全,即mac地址與端口進行綁定。
2、 Cisco3550以上交換機均可做基於2層和3層的端口安全,即mac地址與端口綁定以及mac地址與ip地址綁定。
3、以cisco3550交換機爲例
做mac地址與端口綁定的可以實現兩種應用:
a、設定一端口只接受第一次連接該端口的計算機mac地址,當該端口第一次獲得某計算機mac地址後,其他計算機接入到此端口所發送的數據包則認爲非法,做丟棄處理。
b、設定一端口只接受某一特定計算機mac地址,其他計算機均無法接入到此端口。
4、破解方法:網上前輩所講的破解方法有很多,主要是通過更改新接入計算機網卡的mac地址來實現,但本人認爲,此方法實際應用中基本沒有什麼作用,原 因很簡單,如果不是網管,其他一般人員平時根本不可能去注意合法計算機的mac地址,一般情況也無法進入合法計算機去獲得mac地址,除非其本身就是該局 域網的用戶。
b、設定一端口只接受某一特定計算機mac地址,其他計算機均無法接入到此端口。
4、破解方法:網上前輩所講的破解方法有很多,主要是通過更改新接入計算機網卡的mac地址來實現,但本人認爲,此方法實際應用中基本沒有什麼作用,原 因很簡單,如果不是網管,其他一般人員平時根本不可能去注意合法計算機的mac地址,一般情況也無法進入合法計算機去獲得mac地址,除非其本身就是該局 域網的用戶。
5、實現方法:
針對第3條的兩種應用,分別不同的實現方法
a、 接受第一次接入該端口計算機的mac地址:
Switch#config terminal
Switch(config)#interface interface-id 進入需要配置的端口
Switch(config-if)#switchport mode access 設置爲交換模式
Switch(config-if)#switchport port-security 打開端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//針對非法接入計算機,端口處理模式{丟棄數據包,不發警告 | 丟棄數據包,在console發警告 | 關閉端口爲err-disable狀態,除非管理員手工激活,否則該端口失效。
b、 接受某特定計算機mac地址:
Switch#config terminal
Switch(config)#interface interface-id
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//以上步驟與a同
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging static //打開靜態映射
Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX
//爲端口輸入特定的允許通過的mac地址
mac地址與ip地址綁定基本原理:
在交換機內建立mac地址和ip地址對應的映射表。端口獲得的ip和mac地址將匹配該表,不符合則丟棄該端口發送的數據包。
實現方法:
Switch#config terminal
Switch(config)#arp 1.1.1 .1 0001.0001.1111 arpa
該配置的主要注意事項:需要將網段內所有IP都建立MAC地址映射,沒有使用的IP地址可以與0000.0000.0000建立映射。否則該綁定對於網段內沒有建立映射的IP地址無效。
最常用的對端口安全的理解就是可根據MAC地址來做對網絡流量的控制和管理,比如MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數量,或者 在具體的端口不允許某些MAC地址的幀流量通過。稍微引申下端口安全,就是可以根據802.1X來控制網絡的訪問流量。
首先談一下MAC地址與端口綁定,以及根據MAC地址允許流量的配置。
1.MAC地址與端口綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時,交換機相應的端口將down掉。當給端口指定MAC地址時,端口模式必須爲access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79 -C1
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F
/配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1
3550-1(config-if)#switchport port-security maximum 1
/限制此端口允許通過的MAC地址數爲1。
3550-1(config-if)#switchport port-security violation shutdown
3550-1(config-if)#switchport port-security violation shutdown
/當發現與上述配置不符時,端口down掉。
2.通過MAC地址來限制端口流量,此配置允許一接口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目爲100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目爲100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79 -C1 vlan 2 drop
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F
/在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79 -C1 vlan 2 int f0/1
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F
/在相應的接口丟棄流量。
你可以配置接口的三種違規模式:
·protect:
·protect:
當mac地址的數量達到了這個端口所最大允許的數量,帶有未知的源地址的包就會被丟棄,直到刪除了足夠數量的mac地址,來降下最大數值之後纔會不丟棄。
·restrict:
一個限制數據和並引起"安全違規"計數器的增加的端口安全違規動作。
·shutdown:
一個導致接口馬上shutdown,並且發送SNMP陷阱的端口安全違規動作。當一個安全端口處在error-disable狀態,你要恢復正常必須得 敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手動的shut再no shut端口。這個是端口安全違規的默認動作。
默認的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默認設置:關閉的。
特性:最大安全mac地址數目 默認設置:1
特性:違規模式 默認配置:shutdown,這端口在最大安全mac地址數量達到的時候會shutdown,併發snmp陷阱。
以下是端口安全在接口下的配置-
特性:port-sercurity 默認設置:關閉的。
特性:最大安全mac地址數目 默認設置:1
特性:違規模式 默認配置:shutdown,這端口在最大安全mac地址數量達到的時候會shutdown,併發snmp陷阱。
配置嚮導:
下面是配置端口安全的嚮導-
·安全端口不能在動態的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之後。
·安全端口不能是一個被保護的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能屬於GEC或FEC的組。
·安全端口不能屬於802.1x端口。如果你在安全端口試圖開啓802.1x,就會有報錯信息,而且802.1x也關了。如果你試圖改變開啓了802.1x的端口爲安全端口,錯誤信息就會出現,安全性設置不會改變。
·安全端口不能在動態的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之後。
·安全端口不能是一個被保護的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能屬於GEC或FEC的組。
·安全端口不能屬於802.1x端口。如果你在安全端口試圖開啓802.1x,就會有報錯信息,而且802.1x也關了。如果你試圖改變開啓了802.1x的端口爲安全端口,錯誤信息就會出現,安全性設置不會改變。
配置案例:
1.在f0/12上最大mac地址數目爲5的端口安全,違規動作爲默認。
switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
2.如何配置f0/12安全mac地址
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12
3.配置端口安全超時時間兩小時。
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120
switch(config)#swi port-sec aging time 120
4.端口安全超時時間2分鐘,給配置了安全地址的接口,類型爲inactivity aging:
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static
show port-security interface f0/12可以看狀態.
其他show
show port-security 看哪些接口啓用了端口安全.
show port-security address 看安全端口mac地址綁定關係.
show port-security 看哪些接口啓用了端口安全.
show port-security address 看安全端口mac地址綁定關係.