交換機安全 - MAC地址泛洪
MAC層*** – MAC地址泛洪
常見的二層***或交換機***是MAC泛洪����,***者使用大量無效的源MAC地址�,這會導致交換機的CAM表溢出�,由于交換機在MAC地址表中找不到目的MAC地址對應的端口���,從而導致交換機向其它所有端口定期泛洪數據幀�����、交換機不會再接收新的合法條目���,這會影響到網絡中的所有用戶的傳輸速度�。
***者可通過MAC泛洪實現DOS***�,也可能會獲取全網的數據包��。
CAM表的容量依據交換機的型號有所不同��,常用的Catalyst 接入層交換機為8192��,可通過以下的命令查看�。
Switch #show mac-address-table count
MAC地址的老化時間默認為300秒����,可通過如下命令查看
Switch #show mac-address-table aging-time
***步驟
1���、 ***者以不同的源MAC地址發送多個數據包���。
2�、 在短時間內��,交換機的CAM表被填滿�����,無法再接受新的條目��。***的行為需要持續不斷���,否則MAC地址老化后會清空CAM表�����。
3����、 交換機開始把它接收到的所有數據包���,向所有端口泛洪����。因此�,***者可能在任何端口獲取網絡中的所有數據包��。
防御措施
在交換機端口上限定一個具體的MAC地址或限定MAC地址的數量����?����?梢宰尳粨Q機自動學習����,也可以手動配置MAC地址���。
步驟1:啟用端口安全����,注意�����,動態端口不能設置���,需要將端口模式設置為Access.
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
步驟2:設置接口允許接入的最大MAC地址數量為4�,默認為1
Switch(config-if)#switchport port-security maximum 4
步驟3:指定該接口允許接入的具體MAC地址��,該配置為可選項�,如不指定����,交換機端口會自動學習任意4個MAC地址����,并只為這4個MAC地址提供服務��。
Switch(config-if)#switchport port-security mac-address H.H.H
步驟4:使靜態配置在端口上的安全地址老化�。當交換機端口啟用了端口安全后�����,默認情況下�,端口學到地MAC地址不會老化過期�。
Switch(config-if)#switchport port-security aging static
步驟5:當不允許的MAC地址嘗試接入時���,定義該接口采取的行為��。
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}
Protect 保護:丟棄未授權地址發來的數據幀�,但不會為這個違規行為創建日志消息�����。
Restrict 限制:丟棄未授權地址發來的數據幀���,創建日志消息并發送SNMP Trap消息���。
Shutdown 關閉:這是默認的模式���。交換機從一個端口收到未授權地址發來的數據幀后���,就會把這個端口置為err-disabled狀態��,記錄日志并發送SNMP Trap消息���,必須要管理員手動開啟或使用errdisable recovery特性來重新啟用該端口����。
檢查端口安全配置
管理員可使用命令“Show port-security”來查看哪些端口啟用了端口安全特性����。
加入Interface參數查看特定接口的輸出信息:
還可以使用address變量參數來查看MAC地址表的安全信息���。注意:剩余時間(Remaining Age)一項沒有信息�,因為當交換機端口啟用了端口安全后��,默認情況下�����,端口學到地MAC地址不會老化過期�����。該項只有在為接口配置了過期時間后才會顯示出來���,相關命令為:switchport port-security aging time 300
可以使用以下命令查看端口當前連接的MAC地址信息:
使用粘性MAC地址的端口安全
前面我們講的端口安全可以通過限制每個交換機端口只允許設置數量的MAC地址�����,來緩解MAC地址欺騙***�。但這并沒有指定具體的MAC地址�����。
最嚴格的端口安全實施方案是在每個端口上����,只允許指定的MAC地址接入��。當然這樣會帶來很多接入問題��,管理員的工作負擔也需要考慮��。但粘性MAC地址特性能夠很好地解決這一問題�����。
當使用粘性MAC地址時�,交換機端口會自動學習MAC地址����,它既可以限制交換機端口�,使其只接受單個具體的MAC地址����,又無需管理員收集所有合法設備的MAC地址���,再手動關聯到交換機端口上�,有效地減輕了管理員工作負擔���。
命令:Switch(config-if)#switchport port-security mac-address sticky
原理:使用粘性MAC地址時���,交換機端口自動學習MAC地址���,然后記住這個MAC地址并將其以靜態條目的形式存入運行配置(Running configuration)中����,并把這個MAC地址當作端口安全特性允許接入的唯一MAC地址�����。如果交換機重啟用�,需要重新學習MAC地址�。
注意:
1��、接口會把所有動態安全MAC地址�,轉換為粘性安全MAC地址�,包括在粘性學習特性啟用前�����,動態學習到的地址���。
2���、交會機把粘性安全MAC地址添加到運行配置中��,并不會添加到啟動配置中����,除非管理員將運行配置復制到啟動配置中����。如果存入了啟動配置中�,重新交換機后無需重新學習MAC地址��。
3�、該命令不能用于語音VLAN接口����。
下圖所示�,Type項由原來的“SecureDynamic”變為“SecureSticky”.
下圖所示�,交換機端口學習到的MAC地址以靜態條目形式存入到了運行配置中��。
在必要的端口上阻塞單播泛洪
默認情況下���,交換機若不知道所收數據包的目的MAC地址�,它就會向接收端口所屬VLAN中的所有端口進行泛洪���。
但有一些端口不需要泛洪��。如端口手動配置了MAC地址��,或啟用端口安全的端口上�,配置了安全MAC地址或學習到了足夠的MAC地址����。從而減少不必要的流量�����。
既可以限制未知目的MAC地址的單播泛洪��,也可以限制未知目的MAC地址的組播泛洪���。
語法:
