交換機(jī)端口安全Port-Security超級(jí)詳解.doc

交換機(jī)端口安全Port-Security超級(jí)詳解交換安全】交換機(jī)端口安全Port-Security超級(jí)詳解一、Port-Security概述在部署園區(qū)網(wǎng)的時(shí)候，對(duì)于交換機(jī)，我們往往有如下幾種特殊的需求： 限制交換機(jī)每個(gè)端口下接入主機(jī)的數(shù)量（MAC地址數(shù)量） 限定交換機(jī)端口下所連接的主機(jī)（根據(jù)IP或MAC地址進(jìn)行過(guò)濾） 當(dāng)出現(xiàn)違例時(shí)間的時(shí)候能夠檢測(cè)到，并可采取懲罰措施上述需求，可通過(guò)交換機(jī)的Port-Security功能來(lái)實(shí)現(xiàn)：二、理解Port-Security1.Port-Security安全地址：secure MAC address在接口上激活Port-Security后，該接口就具有了一定的安全功能，例如能夠限制接口（所連接的）的最大MAC數(shù)量，從而限制接入的主機(jī)用戶；或者限定接口所連接的特定MAC，從而實(shí)現(xiàn)接入用戶的限制。那么要執(zhí)行過(guò)濾或者限制動(dòng)作，就需要有依據(jù)，這個(gè)依據(jù)就是安全地址 secure MAC address。安全地址表項(xiàng)可以通過(guò)讓使用端口動(dòng)態(tài)學(xué)習(xí)到的MAC（SecureDynamic），或者是手工在接口下進(jìn)行配置（SecureConfigured），以及sticy MAC address（SecureSticky） 三種方式進(jìn)行配置。當(dāng)我們將接口允許的MAC地址數(shù)量設(shè)置為1并且為接口設(shè)置一個(gè)安全地址，那么這個(gè)接口將只為該MAC所屬的PC服務(wù)，也就是源為該MAC的數(shù)據(jù)幀能夠進(jìn)入該接口。2.當(dāng)以下情況發(fā)生時(shí)，激活懲罰（violation）：當(dāng)一個(gè)激活了Port-Security的接口上，MAC地址數(shù)量已經(jīng)達(dá)到了配置的最大安全地址數(shù)量，并且又收到了一個(gè)新的數(shù)據(jù)幀，而這個(gè)數(shù)據(jù)幀的源MAC并不在這些安全地址中，那么啟動(dòng)懲罰措施當(dāng)在一個(gè)Port-Security接口上配置了某個(gè)安全地址，而這個(gè)安全地址的MAC又企圖在同VLAN的另一個(gè)Port-Security接口上接入時(shí)，啟動(dòng)懲罰措施當(dāng)設(shè)置了Port-Security接口的最大允許MAC的數(shù)量后，接口關(guān)聯(lián)的安全地址表項(xiàng)可以通過(guò)如下方式獲取： 在接口下使用switchport port-security mac-address 來(lái)配置靜態(tài)安全地址表項(xiàng) 使用接口動(dòng)態(tài)學(xué)習(xí)到的MAC來(lái)構(gòu)成安全地址表項(xiàng) 一部分靜態(tài)配置，一部分動(dòng)態(tài)學(xué)習(xí)當(dāng)接口出現(xiàn)up/down，則所有動(dòng)態(tài)學(xué)習(xí)的MAC安全地址表項(xiàng)將清空。而靜態(tài)配置的安全地址表項(xiàng)依然保留。3.Port-Security與Sticky MAC地址上面我們說(shuō)了，通過(guò)接口動(dòng)態(tài)學(xué)習(xí)的MAC地址構(gòu)成的安全地址表項(xiàng)，在接口出現(xiàn)up/down后，將會(huì)丟失這些通過(guò)動(dòng)態(tài)學(xué)習(xí)到的MAC構(gòu)成的安全地址表項(xiàng)，但是所有的接口都用switchport port-security mac-address手工來(lái)配置，工作量又太大。因此這個(gè)sticky mac地址，可以讓我們將這些動(dòng)態(tài)學(xué)習(xí)到的MAC變成“粘滯狀態(tài)”，可以簡(jiǎn)單的理解為，我先動(dòng)態(tài)的學(xué)，學(xué)到之后我再將你粘起來(lái)，形成一條”靜態(tài)“ （實(shí)際上是SecureSticky）的表項(xiàng)。在up/down現(xiàn)象出現(xiàn)后仍能保存。而在使用wr后，這些sticky安全地址將被寫入start-up config，即使設(shè)備重啟也不會(huì)被丟失。三、默認(rèn)的Port-Security配置 Port-Security 默認(rèn)關(guān)閉 默認(rèn)最大允許的安全MAC地址數(shù)量 1 懲罰模式 shutdown（進(jìn)入err-disable狀態(tài)），同時(shí)發(fā)送一個(gè)SNMP trap四、Port-Security的部署注意事項(xiàng)1.Port-Security配置步驟a) 在接口上激活Port-SecurityPort-Security開(kāi)啟后，相關(guān)參數(shù)都有默認(rèn)配置，需關(guān)注b) 配置每個(gè)接口的安全地址（Secure MAC Address）可通過(guò)交換機(jī)動(dòng)態(tài)學(xué)習(xí)、手工配置、以及stciky等方式創(chuàng)建安全地址c) 配置Port-Security懲罰機(jī)制默認(rèn)為shutdown，可選的還有protect、restrictd) （可選）配置安全地址老化時(shí)間2.關(guān)于被懲罰后進(jìn)入err-disable的恢復(fù)：如果一個(gè)psec端口由于被懲罰進(jìn)入了err-disable，可以使用如下方法來(lái)恢復(fù)接口的狀態(tài)： 使用全局配置命令：err-disable recovery psecure-violation 手工將特定的端口shutdown再noshutdown3.清除接口上動(dòng)態(tài)學(xué)習(xí)到的安全地址表項(xiàng) 使用clear port-security dynamic命令，將清除所有port-security接口上通過(guò)動(dòng)態(tài)學(xué)習(xí)到的安全地址表項(xiàng) 使用clear port-security sticky 命令，將清除所有sticky安全地址表項(xiàng) 使用clear port-security configured命令，將清除所有手工配置的安全地址表項(xiàng) 使用clear port-security all命令，將清除所有安全地址表項(xiàng) 使用show port-security address來(lái)查看每個(gè)port-security接口下的安全地址表項(xiàng)4.關(guān)于sticky安全地址Sticky安全地址，是允許我們將Port-Security接口通過(guò)動(dòng)態(tài)學(xué)習(xí)到的MAC地址變成“粘滯”的安全地址，從而不會(huì)由于接口的up/down丟失。然而如果我們希望在設(shè)備重啟之后，這個(gè)sticky的安全地址表項(xiàng)仍然存在，那么就需要wr一下。將配置寫入start-up config文件。Sticky安全地址也是一個(gè)簡(jiǎn)化我們管理員操作的一個(gè)很好的工具，畢竟現(xiàn)在不用再一條條的手工去綁了。5.port-security支持private vlan6.port-security支持802.1Q tunnel接口7.port-security不支持SPAN的目的接口8.port-security不支持etherchannel的port-channel接口9.在CISCO IOS 12.2(33)SXH 以及后續(xù)的版本，我們可以將port-security及802.1X部署在同一個(gè)接口上。而在此之前的軟件版本： 如果你試圖在一個(gè)port-security接口上激活8021.X則會(huì)報(bào)錯(cuò)，并且802.1X功能無(wú)法開(kāi)啟 如果你試圖在一個(gè)802.1X接口上激活port-security則也會(huì)報(bào)錯(cuò)，并且port-security特性無(wú)法開(kāi)啟10.Port-Security支持nonegotiating trunk 接口Port-Security 支持在如下配置的trunk上激活switchportswitchport trunk encapsulation ?switchport mode truknswitchport nonegotiate If you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamically learned in the access VLAN to sticky or static secure addresses on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port. If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the access port. Port security removes all addresses learned on VLANs other than the native VLAN.11.Flex links和Port-Security互不兼容五、Port-security的配置1.激活Port-Security（在access接口上）Switch(config)# interface fast0/1Switch(config-if)# switchportSwitch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10Switch(config-if)# switchport port-security接口的Port-Security特性一旦激活后，默認(rèn)的最大安全地址個(gè)數(shù)為1，也就是說(shuō)，在不進(jìn)行手工配置安全地址的情況下，這個(gè)接口將使用其動(dòng)態(tài)學(xué)習(xí)到的MAC作為安全地址，并且，這個(gè)接口相當(dāng)于被該MAC（所屬的設(shè)備）獨(dú)占。而且默認(rèn)的violation是shutdownSW1#show port-security interface f0/1Port Security : EnabledPort Status : Secure-up !接口目前的狀態(tài)是up的Violation Mode : Shutdown !違例后的懲罰措施，默認(rèn)為shutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1 !最大安全地址個(gè)數(shù)，默認(rèn)為1Total MAC Addresses : 0Configured MAC Addresses : 0 !手工靜態(tài)配置的安全MAC地址，這里沒(méi)配Sticky MAC Addresses : 0 !sticky的安全地址，這里沒(méi)有Last Source Address:Vlan : 00b0.1111.2222:10 !最近的一個(gè)安全地址+vlanSecurity Violation Count : 0 !該接口歷史上出現(xiàn)過(guò)的違例次數(shù)這個(gè)時(shí)候，如果另一臺(tái)PC接入到這個(gè)端口上，那么該port-security接口將會(huì)收到一個(gè)新的、非安全地址表項(xiàng)中的MAC地址的數(shù)據(jù)幀，于是觸發(fā)的違例動(dòng)作，給接口將被err-disable掉。同時(shí)產(chǎn)生一個(gè)snmp trap消息，另外，接口下，Security Violation Count將會(huì)加12.激活Port-Security（在trunk接口上）3. Port-Security violation懲罰措施默認(rèn)的violation是shutdown。如果是protect，那么懲罰就會(huì)溫柔些，對(duì)于非法的數(shù)據(jù)幀（例如數(shù)據(jù)幀的源MAC不在安全地址表項(xiàng)中的、且安全地址已經(jīng)達(dá)到最大數(shù)），這些非法數(shù)據(jù)將僅僅被丟棄，合法數(shù)據(jù)照常轉(zhuǎn)發(fā)，同時(shí)不會(huì)觸發(fā)一個(gè)syslog消息，另外接口下的“Security Violation Count”也不會(huì)加1。而如果是restrict，那么非法數(shù)據(jù)被丟棄，同時(shí)觸發(fā)一個(gè)syslog消息，再者，Security Violation Count加1，合法的數(shù)據(jù)照常轉(zhuǎn)發(fā)。4. 配置Port Security Rate Limiter（注意，在6509交換機(jī)，truncated switching模式下不支持該功能）在交換機(jī)接口上開(kāi)啟Port-Security是會(huì)耗費(fèi)資源的，Port-Security會(huì)檢測(cè)每一個(gè)進(jìn)入接口的數(shù)據(jù)幀，以判斷流量是否合法，或者是否存在違例行為。當(dāng)一個(gè)安全接口設(shè)置的violation為shutdown的時(shí)候，該接口在違例后觸發(fā)懲罰機(jī)制，進(jìn)入err-diasble狀態(tài)，這樣可以有效的方式有效的防止交換機(jī)由于處理違例事件導(dǎo)致交換機(jī)的CPU利用率過(guò)高。然而protect和restict的懲罰措施，則不會(huì)將端口關(guān)閉，端口依然可用，那么這就可能導(dǎo)致在違例事件發(fā)生的情況下交換機(jī)的CPU利用率飆高（例如大量的非法數(shù)據(jù)涌入）。因此當(dāng)使用protect和restrict這兩種違例懲罰措施事，可以通過(guò)Port-Secuirty rate limiter來(lái)防止CPU飆高。Switch(config)# mls rate-limite layer2 port-security rate_in_pps burst_size關(guān)于rate_in_pps參數(shù)： 范圍是10- 1000000 沒(méi)有默認(rèn)值 值設(shè)置的越低，對(duì)CPU的保護(hù)程度就越高，這個(gè)值對(duì)懲罰措施發(fā)生前、后都生效，當(dāng)然這個(gè)值也不能設(shè)置的過(guò)低，至少要保障合法流量被處理吧。一般低于1000就差不多。關(guān)于burst-size參數(shù)： 范圍是1-255 默認(rèn)是10，這個(gè)默認(rèn)值一般就夠用了。5. 配置Port-Security 最大允許的安全地址數(shù)量最大安全地址數(shù)量，不同的軟件平臺(tái)允許的上限值有所不同，但是默認(rèn)都是1。在trunk口上，前面說(shuō)了，也是可以激活port-security的，而在trunk口上配置最大安全地址數(shù)量，可以基于接口配置（對(duì)所有VLAN生效），也可以基于VLAN進(jìn)行配置。如下：switchport port-security maximum 1switchport port-security maximum 1 vlan 10,20,30 !可以關(guān)聯(lián)多個(gè)VLAN6. 在port-security接口上手工配置安全地址l 上述配置中，最大安全地址數(shù)設(shè)置為3，然后使用手工配置了一個(gè)安全地址，那么剩下2個(gè)，交換機(jī)可以通過(guò)動(dòng)態(tài)學(xué)習(xí)的方式來(lái)構(gòu)建安全地址。l 在trunk接口上手工配置安全地址，可關(guān)聯(lián)vlan關(guān)鍵字。如果在trunk接口上手工配置安全地址，沒(méi)有關(guān)聯(lián)vlan關(guān)鍵字，那么該安全地址將被關(guān)聯(lián)到trunk的native vlan上7. 在port-security接口上使用sticky MAC地址我們知道，構(gòu)成安全地址表項(xiàng)的方式有好幾種，其中一種是使用switchport port-security mac 來(lái)手工配置，但是這種方式耗時(shí)耗力，更需要去PC上抄MAC，工作成本比較高。而另一種構(gòu)成安全地址的方式是讓交換機(jī)使用動(dòng)態(tài)學(xué)習(xí)到的MAC，然而這些安全地址在接口一旦up/down后，將丟失，更別說(shuō)重啟設(shè)備了。因此可以使用sticky mac的方式，這種方式激活后，交換機(jī)將動(dòng)態(tài)學(xué)習(xí)到的MAC“粘起來(lái)”，具體的動(dòng)作很簡(jiǎn)單，就是在動(dòng)態(tài)學(xué)習(xí)到MAC（例如一個(gè)00b0.1111.2222）后，如果我激活了sticiky MAC address，則在接口下自動(dòng)產(chǎn)生一條命令：interface FastEthernet0/1switchport access vlan 10switchport mode accessswitchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 00b0.1111.2222 ！自動(dòng)產(chǎn)生這樣形成的安全地址表項(xiàng)（是SecureSticky的），即使在接口翻動(dòng)，也不會(huì)丟失。在者如果wr保存配置，命令寫入config.text，那么設(shè)備即使重啟，安全地址也不會(huì)丟失。當(dāng)在接口上激活了port-security mac-address sticky，那么： 該接口上所有通過(guò)動(dòng)態(tài)學(xué)習(xí)到的MAC，將被轉(zhuǎn)成sticky mac address從而形成安全地址 接口上的靜態(tài)手工配置的安全地址不會(huì)被轉(zhuǎn)成sticky mac address 通過(guò)voice vlan動(dòng)態(tài)學(xué)習(xí)到的安全地址不會(huì)被轉(zhuǎn)成sticky mac address 命令配置后，新學(xué)習(xí)到的MAC地址，也是sticky的當(dāng)此時(shí)又敲入no port-secuirty mac-address sticiky ，則所有的sticky安全地址條目都變成動(dòng)態(tài)的安全地址條目（SecureDynamic）8. 配置安全地址老化時(shí)間配置的命令比較簡(jiǎn)單：Switch(config-if)# switchport port-security aging type absolute | inactivity配置老化時(shí)間的類型，如果選擇absolute，也就是絕對(duì)時(shí)間，需要搭配aging time命令設(shè)定