在ciscocatalyst第3层固定配置交换机第2层安全.pdfVIP

在Cisco Catalyst第3层固定配置交换机第2层安全 功能配置示例 目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 配置 网络图 端口安全性 DHCP 监听 动态 ARP 检查 IP 源防护 验证 故障排除 相关信息 简介 本文档为可在 Cisco Catalyst 第 3 层固定配置交换机上实施的某些第 2 层安全功能，如端口安全、 DHCP 监听、动态地址解析协议 (ARP) 检测和 IP 源防护，提供示例配置。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于 12.2(25)SEC2 版本的 Cisco Catalyst 3750 系列交换机。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置也可用于以下硬件： Cisco Catalyst 3550 系列交换机 Cisco Catalyst 3560 系列交换机 Cisco Catalyst 3560-E 系列交换机 Cisco Catalyst 3750-E 系列交换机 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 与路由器类似，第 2 层和第 3 层交换机也有各自的网络安全需求。与路由器一样，交换机同样容易 遭受许多第 3 层攻击。但总体说来，交换机和 OSI 参考模型第 2 层受到的网络攻击的表现形式并不 相同。这些新发展包括： 内容可寻址内存 (CAM) 表溢出内容可寻址内存 (CAM) 表的大小有限。如果在其他条目过期之 前，在 CAM 表中输入足够的条目，CAM 表将会填满，以致无法接受新条目。通常，网络入侵 者会向交换机发送大量无效源媒体访问控制 (MAC) 地址，直到 CAM 表被填满。如果出现这种 情况，由于无法在 CAM 表中找到特定 MAC 地址的端口号，交换机的所有端口都会充斥着传入 流量。交换机实际上是在起类似于集线器的作用。如果入侵者无法维持无效源 MAC 地址泛洪 ，交换机最终会使 CAM 表中较旧的 MAC 地址条目超时，并重新开始正常运行。由于 CAM 表 溢出仅泛洪本地 VLAN 中的流量，因此入侵者只能查看其连接的本地 VLAN 中的流量。在交换 机上配置端口安全可以防范 CAM 表溢出攻击。特定交换机端口上的 MAC 地址规范或可由交换 机端口识别的 MAC 地址数量规范可采用此选项。如果在端口上检测到无效 MAC 地址，交换机 会阻止恶意 MAC 地址或关闭端口。在生产环境中，交换机端口上的 MAC 地址规范是一种非常 难以管理的解决方案。相对而言，限制交换机端口上的 MAC 地址数量更易于管理。一种在管 理上更具可扩展性的解决方案，是在交换机上实施动态端口安全。要实施动态端口安全，请指 定可识别的 MAC 地址的最大数量。 媒体访问控制 (MAC) 地址伪装媒体访问控制 (MAC) 伪装攻击是指试图使用另一主机的已知 MAC 地址，欺骗目标交换机将发送给远程主机的帧转发给网络攻击者。使用另一主机的源以太 网地址传送单个帧时，网络攻击者会覆盖 CAM 表条目，导致交换机将发送给该主机的数据包 转发给网络攻击者。在该主机发送流量之前，它不会收到任何流量。主机送出流量时，会再次 重写 CAM 表条目，使之返回到原始端口。请使用端口安全功能防范 MAC 伪装攻击。使用端口 安全功能可指定连接到特定端口的系统的 MAC 地址。使用此功能还可指定发生端口安全违规 时应采取的操作。 地址解析协议 (ARP) 伪装ARP 用于在相同子网的主机所在的局域网段中将 IP 编址映射为 MAC 地址。通常，主机会送出一个广播 ARP 请求，查找特定 IP 地址的另一主机的 MAC 地址，而 地址与请求相匹配的主机则会进行 ARP 响应。然后，发出请求的主机会缓存此 ARP 响应。同 时，ARP 协议会提供另一配置，以便主机执行未经请求的 ARP 回复。未经请求的 ARP 回复称 为无故 ARP (GARP)。GARP 可能会被攻击者恶意利用，用于伪装成 LAN 段上的 IP 地址。在 “中间人”攻击中，攻击者通常利用此 GARP 在两台主机，或某个默认网关的所有来回流量之间 伪装身份。伪造