实验目的: 掌握交换机的端口安全功能,控制用户的安全接入
实验背景: 公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用、冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,公司要求对网络进行严格的控制,为此需要在交换机做适当配置
安全技术实现方式:
1:Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定
2:Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定
技术原理:
1: 端口安全:可根据MAC地址来对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量
2:Cisco交换机端口默认处于可取模式(指当检测到其他交换机连接时,端口倾向于中继连接),因此要保证交换机端口安全功能的正常工作,必须先将端口模式修改为接入端口或中继端口(3层交换机上须指定封装类型)
3:安全地址表项配置:交换机内有mac-address-table表,表示端口与MAC地址的对应关系,当设备接入时,交换机可学习到设备的MAC地址,并加入该表中
| 动态MAC地址 |
交换机主动学习MAC地址,当端口状态改变时,将重新学习并更新MAC地址表 |
| 静态MAC地址 |
人为将”端口与MAC地址“进行绑定,并加入表中,该端口不再主动学习 |
| 粘性MAC地址 |
首次主动学习MAC地址并绑定,当端口状态再次改变时,该端口不再主动学习 |
4:当端口接收到未经允许的MAC地址流量时,交换机会执行以下违规动作:
| 保护(Protect) |
丢弃未允许的MAC地址流量,但不会创建日志消息 |
| 限制(Restrict) |
丢弃未允许的MAC地址流量,创建日志消息并发送SNMP Trap消息
|
| 关闭(Shutdown) |
默认选项,将端口置于err-disabled状态,创建日志消息并发送SNMP Trap消息。若要重新开启该端口,需要"先关闭再打开"端口或使用errdisable recovery命令。后者在模拟器上无法使用 |
启用粘性MAC地址,自动绑定接入的MAC地址 的配置 :
en
conf t
int range f0/1-2 ------启用粘性MAC地址,自动绑定接入的MAC地址
switchport port-security sticky
--------ping测试,结果链路均通
--------然后互换PC2和PC3在交换机上的端口,ping测试,结果链路均不通 end
show mac-address-table -------查看端口MAC地址绑定配置
clear port-security sticky --------清除所有已绑定的粘性MAC地址
举例:
以cisco3550交换机为例,做mac地址与端口绑定的可以实现两种应用:
1:设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理
2:设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口
破解方法:
网上讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但是本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户
实现方法:
1:接受第一次接入该端口计算机的mac地址:
conf t
int f0/x --------进入需要配置的端口
switchport mode access --------设置为交换模式
switchport port-security ---------打开端口安全模式
switchport port-security violation {protect | restrict | shutdown } --------针对非法接入计算机,端口处理模式{丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效
2:接受某特定计算机mac地址:
conf t
int f0/x
switchport mode access
switchport port-security
switchport port-security violation {protect | restrict | shutdown }
--------以上步骤与1相同
switchport port-security mac-address sticky
switchport port-security aging static ---------打开静态映射
Switch(config-if)#switchport port-security mac-address sticky x
--------为端口输入特定的允许通过的mac地址
3:mac地址与ip地址绑定基本原理:
在交换机内建立mac地址和ip地址对应的映射表。端口获得的ip和mac地址将匹配该表,不符合则丢弃该端口发送的数据包
实现方法:
conf t
arp 1.1.1.1 0001.0001.1111 arpa
该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效
以上知识点总结参考博客:
1:https://blog.csdn.net/weixin_33806509/article/details/89806740
2:https://blog.51cto.com/microdq/1950186
特别注意:
1:不同层设备,交换机与PC机之间用直通线;
2:同层设备,交换机与交换机(包括二,三层交换机)之间用交叉线
实例:
S1的F0/3端口更换计算机到相应接口以后,变成关掉状态:
S1:
Switch>en
Switch#conf t
Switch(config)#host s1
s1(config)#int f0/2
s1(config-if)#switchport mode access------配置端口为接入类型
s1(config-if)#switchport port-security------启用安全模式
s1(config-if)#switchport port-security maximum 1-----1-3072,指该端口所接计算机台数
s1(config-if)#switchport port-security mac-address 0002.1603.297C
s1(config-if)#switchport port-security violation restrict
s1(config-if)#int f0/3
s1(config-if)#switchport mode access
s1(config-if)#switchport port-security
s1(config-if)#switchport port-security maximum 1
s1(config-if)#switchport port-security mac-address 0090.2B99.E596
s1(config-if)#switchport port-security violation shutdown-------若发现违规动作,处理方式为关闭端口
s1(config-if)#end
s1#show port-security-------查看端口安全配置
en
conf t
host s1
int f0/2
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address 0002.1603.297C
switchport port-security violation restrict
int f0/3
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address 0090.2B99.E596
switchport port-security violation shutdown
end
show port-security
