1.端口安全简介
端口安全(PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
2端口安全原理描述
1.安全MAC地址的分类
安全MAC地址分为:安全动态MAC、安全静态MAC与StickyMAC。
2.安全动态MAC地址:
设备重启后表项会丢失,需要重新学习。
缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。
3.安全静态MAC地址:
不会被老化,手动保存配置后重启设备不会丢失。
4.Sticky MAC地址:
不会被老化,手动保存配置后重启设备不会丢失。
5.超过安全MAC地址限制数后的动作
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。
restrict:
丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect:
只丢弃源MAC地址不存在的报文,不上报告警。
shutdown:
接口状态被置为error-down,并上报告警。
默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。
3端口安全应用场景
端口安全经常使用在以下几种场景:
•应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
•应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
接入层使用场景:
用户PC1和PC3通过IPPhone接入SwitchA设备,用户PC2直接接入设备SwitchA,为了保证接入设备安全性,防止非法用户攻击,可以在接入设备SwitchA的接口上配置端口安全功能。
•如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。
•如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为StickyMAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
•如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定。
汇聚层使用场景
树状组网中,多个用户通过SwitchA和汇聚层设备Switch进行通信。为了保证汇聚设备的安全性,控制接入用户的数量,可以在汇聚设备配置端口安全功能,同时指定安全MAC地址的限制数。
5.交换机的端口安全
交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的,MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。
因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。
END
为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括:
华为认证思维导图(超细);
华为认证必备知识文档(pdf);
网工必备知识文档合集;
网工必备工具包;
网工必备实验包;
网工必备视频面试包。
……
资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~