1、埠安全用於防止mac地址的欺騙、mac地址泛洪攻擊。主要思想就是在交換機的埠下通過手工或者自動繫結mac地址,這就就只能是繫結的mac地址能夠通過。
2、通過靜態的埠繫結:將mac地址手工靜態的繫結到相應的交換機的介面下。
sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1 //該介面屬於vlan 1
3、埠安全方式:
①設定埠安全的一些屬性:
(config)#int f0/1 (config-if)#switchport port-security maximum 1 可以允許此介面學習1個MAC,預設是最多隻能學習一個mac地址,可按需修改。 (config-if)#switchport port-security violation ? //當違規時所執行的動作,一共有三個。 protect Security violation protect mode // 丟棄、告警,告警紀錄檔通過syslog產生的 restrict Security violation restrict mode //無聲丟棄 shutdown Security violation shutdown mode //預設的違規行為err-disable
②開啟埠安全:
sw-3550(config)#int f0/1 sw-3550(config-if)#switchport mode access //必須指定一個模式 sw-3550(config-if)#switchport port-security //開啟埠安全 sw-3550(config-if)#exit
③可以在埠安全下開啟靜態埠繫結:
埠安全下MAC地址繫結:設定這條命令先把埠關閉情況下設定 (config)#int f0/1 (config-if)#switchport port-security mac-address 0001.0001.0001 (config-if)#switchport port-security //強制指定此介面連線的PC的MAC地址為0001.0001.0001,效果與手工靜態繫結一致,就是多了一個違規後的動作。
④可以把動態學習到的mac轉為埠繫結地址,這個常用:
//把動態學習的MAC地址做一個靜態對映,且沒有老化時間概念,也就意味著這個介面以後只能連線特定PC,除非在交換機上面做相對應修改: sw-3550(config)#in f0/1 sw-3550(config-if)#switchport port-security mac-address sticky sw-3550(config-if)#switchport port-security sw-3550(config-if)#exit
4、DHCP snooping:可以防禦DHCP攻擊,也可以防止埠欺騙、攻擊、mac泛洪等攻擊。主要思想就是DHCP snooping會生成一張擴充套件的mac表,這個表中記錄了每一個介面下pc的詳細資訊,包括mac地址、介面、所屬vlan、IP地址等資訊,然後交換機就根據這張擴充套件的mac地址變進行檢查過濾。
5、開啟DHCP snooping之後交換機的所有介面就預設定為untrust狀態,該狀態下會自動拒絕接收offer和DHCP ACK報文。這樣攻擊者就無法冒充DHCP伺服器進行欺騙攻擊了。將我們合法的DHCP伺服器介面手動的置為trust狀態即可。
6、開啟DHCP snooping後的工作機制:
①可以在介面下針對DHCP報文進行限速,防禦駭客利用DHCP報文進行廣播泛洪攻擊。
②檢查從PC收到的DHCP報文,如果PC傳送的DHCP報文含有option 82的話則丟棄此報文,因為只有交換機採用許可權在DHCP報文裡面插入option 82選項(交換機還會在discover報文裡面插入對應VLAN的gateway ip地址)。option82選項是交換機插入的,選項裡面含有該介面所屬vlan的閘道器IP地址。
③還能檢測是否該pc惡意的替其他的pc退租。
DHCP snooping設定:
3550(config)#ip dhcp snooping //全域性開啟 3550(config)#ip dhcp snooping vlan 100 //VLAN100啟用 sw-3550(config)#int f0/2 sw-3550(config-if)#ip dhcp snooping trust //將DHCP伺服器的介面置為信任介面 sw-3550(config-if)#exit //當時兩個交換機時,需要處理option 82選項 sw-3550(config)#no ip dhcp snooping information option //進行DHCP報文的限速,防止泛洪攻擊 sw-3550(config)#int f0/6 sw-3550(config-if)#ip dhcp snooping limit rate 10 sw-3550(config-if)#exit //基於源MAC和源IP地址的過濾 Ip dhcp snooping Ip dhcp snooping vlan 10 ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工寫的一條擴充套件的mac表 Int f0/7 Switchport port-security Ip verity source port-secuity Exit //對從F0/7介面進入的報文,根據源IP地址和源MAC地址進行認證審查,是否滿足擴充套件的CAM表 //說明:當網路中有DHCO伺服器的時候,那麼開啟DHCP snooping的交換機就會自動的生成一張擴充套件的mac表,不需要手工寫。
DHCP snooping用來做埠安全、防止埠攻擊、泛洪攻擊的本質就是利用mac擴充套件表。
⑦DHCP snooping也可以用來防禦arp攻擊:原理就是限制arp在一定時間內的數量以及根據mac擴充套件表過濾非法的arp包。
設定:
ip dhcp snooping ip dhcp snooping vlan 10 ip arp inspextion vlan 10 //在vlan10裡面使用擴充套件的mac表監控arp報文是否合法。 ip dhcp snooping limit 15 //限制arp包每秒傳送的數量。