配置端口安全性

1、配置端口安全性未提供端口安全性的交換機(jī)將讓攻擊者連接到系統(tǒng)上未使用的已啟用端口，并執(zhí)行信息收集或攻擊。交換機(jī)可被配置為像集線器那樣工作，這意味著連接到交換機(jī)的每一臺系統(tǒng)都有可能查看通過交換機(jī)流向與交換機(jī)相連的所有系統(tǒng)的所有網(wǎng)絡(luò)流量。因此，攻擊者可以收集含有用戶名、密碼或網(wǎng)絡(luò)上的系統(tǒng)配置信息的流量。在部署交換機(jī)之前，應(yīng)保護(hù)所有交換機(jī)端口或接口。端口安全性限制端口上所允許的有效MAC地址的數(shù)量。如果為安全端口分配了安全MAC地址，那么當(dāng)數(shù)據(jù)包的源地址不是已定義地址組中的地址時，端口不會轉(zhuǎn)發(fā)這些數(shù)據(jù)包。如果將安全MAC地址的數(shù)量限制為一個，并為該端口只分配一個安全MAC地址，那么連接該端口的工作站將

2、確保獲得端口的全部帶寬，并且只有地址為該特定安全MAC地址的工作站才能成功連接到該交換機(jī)端口。如果端口已配置為安全端口，并且安全MAC地址的數(shù)量已達(dá)到最大值，那么當(dāng)嘗試訪問該端口的工作站的MAC地址不同于任何已確定的安全MAC地址時，則會發(fā)生安全違規(guī)。下面總結(jié)了這些要點?？偟貋碚f，在所有交換機(jī)端口上實施安全措施，可以實現(xiàn)以下目的。在端口上指定一組允許的有效MAC地址。在任一時刻只允許一個MAC地址訪問端口。指定端口在檢測到未經(jīng)授權(quán)的MAC地址時自動關(guān)閉。配置端口安全性有很多方法。下面描述可在Cisco交換機(jī)上配置端口安全性的方法。靜態(tài)安全MAC地址：靜態(tài)MAC地址是使用switchport p

3、ort-security mac-address mac-address接口配置命令手動配置的。以此方法配置的MAC地址存儲在地址表中，并添加到交換機(jī)的運行配置中。動態(tài)安全MAC地址：動態(tài)MAC地址是動態(tài)獲取的，并且僅存儲在地址表中。以此方式配置的MAC地址在交換機(jī)重新啟動時將被移除。粘滯安全MAC地址：可以將端口配置為動態(tài)獲得MAC地址，然后將這些MAC地址保存到運行配置中。粘滯安全MAC地址有以下特性。當(dāng)使用switchport port-security mac-address sticky接口配置命令在接口上啟用粘滯獲取時，接口將所有動態(tài)安全MAC地址（包括那些在啟用粘滯獲取之前動態(tài)獲

4、得的MAC地址）轉(zhuǎn)換為粘滯安全MAC地址，并將所有粘滯安全MAC地址添加到運行配置。如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滯獲取，則粘滯安全MAC地址仍作為地址表的一部分，但是已從運行配置中移除。已經(jīng)被刪除的地址可以作為動態(tài)地址被重新配置和添加到地址表。如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滯安全MAC地址時，這些地址將添加到地址表和運行配置中。 如果禁用端口安全性，則粘滯安全MAC地址仍保留在運行配置中。如果將粘滯安

5、全MAC地址保存在配置文件中，則當(dāng)交換機(jī)重新啟動或者接口關(guān)閉時，接口不需要重新獲取這些地址。如果不保存粘滯安全地址，則它們將丟失。如果粘滯獲取被禁用，粘滯安全MAC地址則被轉(zhuǎn)換為動態(tài)安全地址，并被從運行配置中刪除。如果禁用粘滯獲取并輸入switchport port-security mac-address sticky mac-address接口配置命令，則會出現(xiàn)錯誤消息，并且粘滯安全MAC地址不會添加到運行配置。當(dāng)出現(xiàn)以下任一情況時，則會發(fā)生安全違規(guī)。地址表中添加了最大數(shù)量的安全MAC地址，有工作站試圖訪問接口，而該工作站的MAC地址未出現(xiàn)在該地址表中。在一個安全接口上獲取或配置的地址出現(xiàn)

6、在同一個VLAN中的另一個安全接口上。根據(jù)出現(xiàn)違規(guī)時要采取的操作，可以將接口配置為3種違規(guī)模式之一。保護(hù)：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的限制時，帶有未知源地址的數(shù)據(jù)包將被丟棄，直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)。不會得到發(fā)生安全違規(guī)的通知。限制：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的限制時，帶有未知源地址的數(shù)據(jù)包將被丟棄，直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)。在此模式下，您會得到發(fā)生安全違規(guī)的通知。具體而言就是，將有SNMP陷阱發(fā)出、syslog消息記入日志，以及違規(guī)計數(shù)器的計數(shù)增加。關(guān)閉：在此模式下，端口安全違規(guī)將造成接口立即變?yōu)殄e誤禁用（error

7、-disabled）狀態(tài)，并關(guān)閉端口LED。該模式還會發(fā)送SNMP陷阱、將syslog消息記入日志，以及增加違規(guī)計數(shù)器的計數(shù)。當(dāng)安全端口處于錯誤禁用狀態(tài)時，先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態(tài)。此模式為默認(rèn)模式。各種安全違規(guī)模式的影響如表2-15所示。表2-15端口安全違規(guī)模式違 規(guī) 模 式轉(zhuǎn) 發(fā) 流 量發(fā)出SNMP陷阱發(fā)出SYSLOG消息顯示錯誤消息增加違規(guī)計數(shù)器計數(shù)關(guān) 閉 端 口保護(hù)否否否否否否限制否是是否是否關(guān)閉否是是否是是Cisco交換機(jī)上的端口都預(yù)先配置了默認(rèn)設(shè)置，表2-16列出默認(rèn)的端口安全配置。表2-16端口安全默認(rèn)設(shè)置功 能默 認(rèn) 設(shè)

8、置端口安全性在端口上禁用安全MAC地址的最大數(shù)量1違規(guī)模式關(guān)閉。當(dāng)超過安全MAC地址的最大數(shù)量時，端口關(guān)閉，同時發(fā)出SNMP陷阱通知粘滯地址獲取禁用表2-17中顯示了在S1交換機(jī)的快速以太網(wǎng)F0/18端口上配置端口安全性所需要的Cisco IOS CLI命令。請注意該示例未指定違規(guī)模式。此示例中，違規(guī)模式設(shè)置為shutdown。表2-18中演示了如何在交換機(jī)S1的快速以太網(wǎng)端口0/18上啟用粘滯端口安全性。如前所述，可以配置安全MAC地址的最大數(shù)量。本例中演示了用來將最大MAC地址數(shù)量設(shè)置為50的Cisco IOS命令語法。違規(guī)模式默認(rèn)設(shè)置為shutdown。表2-17端口安全命令語法說 明命

9、 令進(jìn)入全局配置模式S1# configure terminal指定要配置的物理接口的類型和編號（例如fastEthernet F0/18），并進(jìn)入接口配置模式S1(config)#interface fastEthernet 0/18將接口模式設(shè)置為access。處于動態(tài)理想默認(rèn)模式的接口不可配置為安全端口S1(config-if)#switchport mode access在接口上啟用端口安全性S1(config-if)#switchport port-security返回特權(quán)執(zhí)行模式S1# end表2-18配置粘滯地址的端口安全性命令語法說 明命 令進(jìn)入全局配置模式S1#configu

10、re terminal指定要配置的物理接口的類型和編號S1(config)#interface fastEthernet 0/18將接口模式配置為accessS1(config-if)#switchport mode access在接口上啟用端口安全性S1(config-if)#switchport port-security將安全地址的最大數(shù)量設(shè)置為50S1(config-if)#switchport port-security maxnum 50啟用粘滯獲取S1(config-if)#switchport port-security mac-address sticky返回特權(quán)執(zhí)行模式S1

11、#end除了前面所述之外，還有其他一些有用的端口安全性設(shè)置。如需獲得全部端口安全性配置選項的完整列表，可訪問： catalyst2950/software/release/12.1_19_ea1/configuration/guide/swtrafc.html#wp1038501。為交換機(jī)配置端口安全性之后，需要驗證配置是否正確。需要檢查每一個接口以確保端口安全性都已設(shè)置正確。還必須確保配置的靜態(tài)MAC地址也都正確。要顯示交換機(jī)或指定接口的端口安全性設(shè)置，可如例2-11所示那樣使用 show port-security interface interface-id命令。例2-11 驗證端口安全性輸出顯示以下內(nèi)容。每個接口