交換機 端口安全
-
問題的產生:
大家都熟悉,交換機的基本工作原理,以及mac地址標的形成過程。當交換機收到數據幀之後,會根據數據幀的源mac地址和接收該數據幀的接口形成映射。同時,當交換機接收到數據幀之後,將會根據mac地址表,將數據轉發或者洪泛。
根據這個基本的原理,對於交換機就產生了基本的安全防護問題。例如:
在這種情況下,如果PC0受到***,或者PC0 進行***,是的自己的mac地址不斷變化,並且不斷向外發送數據。交換機就會不斷讀取數據幀中的源mac地址字段,不斷地增加mac地址表映射,最終造成的結果可能是,mac 表映射不斷變化和翻滾,甚至導致內存佔滿,mac 表溢出。如果PC0 只是作爲數據接收方而言,如果PC0的地址在不斷變化,導致交換機收到數據之後,查找mac地址表失敗,最終只能洪泛數據。介於此,就需要對交換機資源、網絡數據通信安全進行相應的保護機制。其中的第一步就是,限定交換機某個接口上對於數據訪問的限制。 -
問題的基本解決思路
限定交換機某個接口上對於數據訪問的限制。可以分爲限定,交換機某個接口下,對於終端設備鏈接的數量,或者,將mac地址與交換機接口進行綁定,對於綁定的接口進行相應的信任操作,若出現違規現象,就採取相應的保護機制。 - 操作方法:
A. 在交換機接口激活端口安全:
B. 設定接口最大鏈接終端的數量,或者採取手工/動態地址綁定的方式:
手工綁定的方式,意味着,指定的mac地址對應的設備是被信任的;動態獲取的方式意味着,交換機重啓之時,會將指定接口收到的第一個mac地址與該接口綁定,這時,該mac地址對應的設備是被信任的。
C. 設置違規的懲罰機制 。
默認當原則被違反的時候,該接口執行shutdown操作,將自動進入down狀態。
表現爲err-disable。
protect:在違反原則的時候,不會將接口down,僅僅會把數據丟棄;
restrict:在違反原則的時候,不會將接口down,僅僅會把數據丟棄;同時將會向SNMP的服務器發送TRAP消息---表明在這個地方發生問題;
- 接口的恢復:
如果由於端口安全機制,導致接口進入err-disable狀態,想要恢復接口的使用,可以採取兩種方式:
A. 手工將接口shutdown,然後 no shutdown 將接口激活。
B. 可以設定自動恢復;