Cisco端口安全

端口安全简介

 

  1. 什么是端口安全

 

交换机中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为安全MAC地址”),允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口与MAC地址绑定。

 

交换机在转发数据包时,需要根据数据包的目标MAC地址来决定出口,因此,交换机会将MAC地址与相对应的接口记录在一张表中,以供转发数据包使用,这张表就是MAC地址表。在正常情况下,MAC地址表允许一个接口可以与多个MAC地址相对应,只要接口上有相应的MAC地址,那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址,一个接口允许多少个MAC地址与之相对应,这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限,交换机接口上的Port Security功能提供更多的安全保护。

 

Port Security可以控制交换机上特定的接口与特定的MAC地址的对应关系,也可以限制接口上最大的MAC地址数量。

 

具有Port Security功能的接口,被称为secure portsecure port接口上通过控制数据包的源MAC地址来控制流量,绝不会转发预先定义好的MAC地址之外的流量。准确地说,是secure port只转发合法的流量,对于违规的流量,是不放行的。

 

  1. MAC与端口对应关系的实现方法

 

端口安全一共有三种方法实现MAC与端口的对应关系规则

 

  • 静态绑定

 

手工添加MAC地址与接口的对应关系(将接口与MAC地址绑定),并且会保存到MAC地址表和running-config

 

  • 动态绑定

 

将接口上动态学习到的MAC地址作为安全的MAC地址,保存在MAC地址表中,重启后丢失。

 

  • sticky(动态学习静态绑定)

 

结合了静态手工配置与动态学习MAC地址的优势,Sticky将动态学习到的MAC地址作为安全MAC地址,并且将结果保存到running configuration中(将MAC与接口进行绑定)。

 

实用举例:就拿现在的大多数高校来说,学生寝室的宽带连接大多数都是通过这种方式连接的。湖北省银河信息技术学院的寝室网络就是这样的。当我们从服务提供商那里得到账号后,在电脑上拨号连接,这个账户就会和寝室号绑定,当换宿舍时,需要给服务提供商打电话进行端口刷新,即解绑。

 

3.端口安全的违规动作

 

端口安全一共有三种的违规动作(就是违规后采取的策略)

 

  • Shutdown

 

(默认模式)将接口变成error-disabledshut down,并且接口LED灯会关闭,也会发SNMP  trap,并会记录syslog

 

  • Protect

 

只丢弃不允许MAC地址的流量,其它合法流量正常,但不会通知有流量违规了。

 

  • Restric

 

只丢弃不允许MAC地址的流量,其它合法流量正常,但会有通知,发送SNMP trap,并会记录syslog

 

注:怎样区别违规

 

  • 当接口上的MAC地址数达到最大允许数量后,还有更多的MAC要访问,就算违规。

  • 一个端口上已经绑定的合法MAC在另一个接口上进行访问,就算违规。

 

4.使用环境

 

在现实中使用端口安全对于保护网络安全有着重大意义。可以防止网络攻击(修改MAC地址与存在的一样,进行攻击);可以限制一次有多少PC可以接上来;可以限制客户端登录交换网络;对于sticky,则是结合了动态学习与静态绑定的MAC地址的优势,解决客户端多时的环境,比如网吧环境,要让多个MAC与端口进行绑定,一个一个绑定未免太麻烦,如果用动态的,则开机后就丢失了,还要重新学习,此时可能会有非法入侵者加入。而用sticky,重启后仍然有用,不会影响原来的效果。

 

实验:

 

一.实验目的

 

了解并掌握端口安全的三种动作;

理解端口安全的实施原理;

理解端口安全的实施意义;

参悟端口安全在现实中的使用;

 

二.实验拓扑

技术分享

实验环境介绍:IOU交换机和桥接云。打开IOU虚拟机,用网页连接上,在原有网络中添加一个网络云,IOU虚拟机Eth1网卡与云桥接,eth0网卡与本地网卡桥接,连接教室网络(获得多个实验体)。相当于教室网络与本机通过交换机连接,这样就可以实施端口安全了。

 

一.实验规划

IOU虚拟机的eth0网卡与本机用vmnet1连接,eth1直接与物理网卡桥接。网段自理。保证交换机能够自动获取到MAC地址(show mac address-table查看)。

 

二.实验解析

 

通过简单的实验要模拟出端口安全是怎样工作的。获取MAC地址后在e2/1上开启端口安全,查看默认的shutdown动作的结果端口down掉;然后修改允许的最大MAC数(多于现有的MAC),开启端口再次查看效果,端口不在down;然后改回允许的最大MAC数,修改违规动作,查看另外的两个动作的效果,并修改最大MAC数再次查看效果。

 

接着,通过实验静态绑定MACsticky这两种方法,观察效果,最后比较三者。

 

 

三.实验步骤

 

  1. shutdown动作

 

开启端口安全前查看获取的MAC地址

技术分享

已经有这么多的PC连接到交换机上了。

接下来在e2/1上开启端口安全(端口安全要应用在Access模式的端口上)

技术分享

                           

打开后立马出现下面的信息

*Apr 2303:46:44.215: %PM-4-ERR_DISABLE: psecure-violation error detected on Et2/1, putting Et2/1 in err-disable state    //提示端口违规关闭

SW1(config)#

*Apr 2303:46:44.215: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,caused by MAC address 00e0.4c71.5e28 on port Ethernet2/1.

*Apr 2303:46:45.219: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1, changed state to down   //端口down

SW1(config)#

*Apr 2303:46:46.219: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to down

说明:提示e2/1端口down

 

查看端口状态以验证

技术分享

如图:e2/1关闭了。

Show查看端口规则

技术分享

如上图:提示冲突1次。端口安全的默认规则就是shutdown状态,只允许一个mac通过(当然可以更改MaximumMAC addresses),当违反规则时,端口的动作是shutdownerror-disabled),即端口关闭。

恢复要在端口上使用命令shutdownno shutdown

 

更改允许的最大mac

SW1(config)#intere2/1

SW1(config-if)#switchportport-security maximum 100

SW1(config-if)#shut

SW1(config-if)#noshut

*Apr 2304:26:45.347: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:26:46.355: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

 

查看

技术分享

如图:此时端口是正常的,因为允许最大接入mac数远大于现已接入的mac数,没有违反规则。

 

2.protect动作

 

把允许的最大mac数改回,然后继续实验

SW1(config)#intere2/1

SW1(config-if)#switchportport-security maximum 5

注:修改最大MAC时要关闭端口,让端口学到的MAC表清空。修改后再重新开启端口。

 

修改违规动作为protect

SW1(config)#intere2/1

SW1(config-if)#switchportport-security violation protect

 

查看

技术分享

查看已经连接上的MAC

技术分享

然后开启端口,验证效果

SW1(config-if)#shut

SW1(config-if)#noshut

*Apr 2304:48:17.883: %LINK-5-CHANGED: Interface Ethernet2/1, changed state to administrativelydown

*Apr 2304:48:18.883: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to down

*Apr 2304:48:21.755: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:48:22.755: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

此时冲突已经产生,但是不会提示,默认只允许5PC连接,多出的mac的流量全部丢弃,如下:

技术分享

然后再看连接上来的MAC

技术分享

只有5MAC,使用的策略生效了。

说明:只有5MAC地址,也就是说现在只允许5个客户端连接上来,其余的都丢弃。

 

3.restric动作

 

shutdown端口并修改违规动作为restric

SW1(config-if)#shut

*Apr 23 04:54:41.919:%LINK-5-CHANGED: Interface Ethernet2/1, changed state to administratively down

*Apr 2304:54:42.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to down

SW1(config-if)#switchport port-security violation restrict

 

然后打开端口看效果

SW1(config-if)#noshut

SW1(config-if)#

*Apr 2304:56:00.571: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:56:01.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

*Apr 23 04:56:09.531:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c78.f166 on port Ethernet2/1.

SW1(config-if)#        

*Apr 23 04:56:28.043:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c71.b401 on port Ethernet2/1.

SW1(config-if)#

*Apr 23 04:56:33.327:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c78.f166 on port Ethernet2/1.

 

当违反restric规则后弹出日志提醒。

MAC地址表

技术分享

如上图,还是只有5MAC地址,即,只允许其中的5MAC地址连接到交换机,违反规则的都丢弃了,但是会弹出日志提醒(实际上与Protect一样,只不过Protect不弹日志提醒);

 

4.静态绑定MAC

 

上面的是动态学习的mac地址,下面我们来介绍如何静态的绑定MAC地址,进行特殊用户特殊照顾(只简单介绍命令的使用)。

先看下MAC地址表,中挑选一个mac地址进行静态绑定

技术分享

SW1(config-if)#switchportport-security mac-address 00e0.4c71.497a

 

5.动态学习静态绑定

 

结合动态学习mac,然后静态绑定的优势,减轻静态绑定的负担。

就以现在学到的5MAC为例,在接口下执行下面的命令:

SW1(config-if)#switchportport-security mac-address sticky

然后看配置

技术分享

自动执行了绑定命令,这就是动态的学习,静态的绑定的优势,只需一跳命令,解决了静态进行一个一个MAC绑定的繁琐。

 

六、实验总结

 

  1.端口安全一共有三种违规动作:shutdown(端口关闭)、protect(允许MAX-MAC数的MAC

其余丢弃)、restric(允许MAX-MAC数的MAC,其余丢弃,并弹窗提醒 );

  2.端口安全的MAC地址与端口的对应关系可通过三种方法实现:静态绑定、动态学习、sticky(动态学习,静态的绑定)。


本文出自 “freeit_gyh” 博客,请务必保留此出处http://freeitgyh.blog.51cto.com/7297595/1651078

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。