网络互联技术与实践第7章：使用三层交换机实现VLAN间路由研究.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 7.2.4 交换机接入安全 （3）配置指定端口授权访问的主机MAC地址 授权访问主机的MAC地址的指定方法有三种如下方式： ① 手工静态配置制定 switch(config-if)#switchport mac-address mac_address ② 让交换机动态学习 默认情况下，交换机会自动学习插入到端口的主机或网络设备的MAC地址。 ③ 配置动态粘滞MAC 地址 动态粘滞MAC 地址方式支持动态学习或手工静态指定，其配置命令为： switch(config-if)#switchport port-security mac-address sticky {mac_address} 1.端口安全 7.2.4 交换机接入安全 （4）安全违规模式 当出现以下任一情况时，则会发生安全违规： ① 地址表中添加了最大数量的安全MAC地址，有工作站试图访问接口，而该工作站的MAC地址未出现在该地址表中。 ② 在一个安全接口上获取或配置的地址出现在同一个VLAN中的另一个安全接口上。 配置命令为： switch(config-if)#switchport port-security violation [protect|restrict|shutdown] 1.端口安全 7.2.4 交换机接入安全 （5）端口绑定 端口安全实现了MAC地址与端口的绑定。如要实现将合法用户的IP地址、MAC地址和端口三者绑定。对同一个MAC地址，系统只允许进行一次绑定操作。 Cisco的低端或较早型号的交换机可能不支持。端口绑定命令为： switch(config)#arp ip-address mac-address arpa interface-type mod/num 1.端口安全 7.2.4 交换机接入安全 （1）DHCP探测 Cisco Catalyst 交换机可以使用DHCP探测功能，帮助防范这种攻击。DHCP探测被启用时，交换机端口被分为可信和不可信的。合法的DHCP服务器位于可信端口上，而其他所有主机 不可信端口上。 交换机拦截来自不可信端口的所有DHCP请求，然后向整个VLAN泛洪。任何来自不可信端口的DHCP应答都将被丢弃，因为他们肯定来自伪造的DHCP服务器。同时相应的交换机端口将自动关闭，进入errdisable状态。 2.防范欺骗攻击 7.2.4 交换机接入安全 第一步：启用dhcp探测 switch (config)#ip dhcp snooping 第二步：指定要实现DHCP探测的VLAN switch (config)#ip dhcp snooping vlan vlan-id [vlan-id] 第三步：配置端口信任 默认情况下，所有交换机端口都被视为不可信的，因此不期望或允许DHCP应答。switch (config)#interface type mod/num switch (config-if)#ip dhcp snooping trust 对于不可信端口，可以限制DHCP请求的分组速率。 switch (config-if)#ip dhcp snooping rate rate 其中：rate的取值范围为1-2048 DHCP分组／秒。 第四步：显示DHCP探测的状态 switch#show ip dhcp snooping 2.防范欺骗攻击 7.2.4 交换机接入安全 （2）源IP地址防护 Cisco Catalyst 交换机能够使用源IP地址防护来检测并挫败地址伪造攻击，即使攻击是在伪造地址所属的子网中发起的。第2层交换机通常会获悉并存储MAC地址，交换机必须采取某种方式查阅MAC地址，并确定与之相关联的IP地址。 源IP地址防护通过使用DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作。如果配置并启用了DHCP欺骗，交换机就将获得使用DHPC的主机的MAC地址和IP地址。 2.防范欺骗攻击 7.2.4 交换机接入安全 第一步：地址获取 要配置源IP地址防护，首先需要配置并启用DHCP欺骗。 对于不使用DHCP的主机，需要配置静态的源IP地址绑定： switch (config)#ip source binding mac-address vlan vlan-id ip-address interface type mod/num 第二步：启用源IP地址防护 switch (config)#interface type mod/num switch (config-if)#i