网络设备互联与配置 萧蔷之祸：端口安全概述 11.2 交换机端口安全.docVIP

11.2 交换机端口安全 随着威胁第3层网络安全的恶意行为日益增多，对网络内第3层设备采取的安全防护措施也日益严密。然而，作为传输网络内部数据流的交换机和路由器只有一种默认的工作模式，在没有对它们进行特殊配置的情况下，它们将转发所有的数据流。网络内这些辅助通信设备的安全配置通常很少，非常容易成为恶意攻击的目标。如果攻击从网络内部的第2层设备发起，网络的其它部分将很容易受到威胁，并且它们对这些恶意的攻击一无所知。因此，为了防范利用第2层交换机的常规运行方式发起的恶意攻击，第2层设备也必须采取安全措施。 在交换机上除了设置各种密码及使用SSH安全协议外，配置交换机端口安全是确保网络第2层安全的主要措施。本节将详细介绍交换端口安全的原理、方式及配置步骤。 11.2.1 端口安全概述 交换机的端口安全机制是工作在交换机二层端口上的一个安全特性，它是指交换机只允许一组特定的MAC地址或特定数量的MAC地址连接到交换机端口。交换机可以动态获悉这些MAC地址，也可以由管理员静态的在交换机上配置它们。图11-1描述了交换机的端口安全机制。 图11-1 交换机端口安全机制 交换机的一个端口上启用端口安全特性后，该端口将成为一个安全端口。当数据帧到达安全端口时，交换机将检查从该端口接收的帧中的源MAC地址字段值，并检查安全端口上配置的最大安全地址个数。如果端口上的安全地址数量没有超过配置的最大安全地址个数，交换机将在其安全地址表中核对帧的源MAC地址字段值：如果该帧的源MAC地址已经存在于交换机的安全地址表中，交换机将直接转发该数据帧；如果该帧的源MAC地址字段值不在交换机的安全地址表中，交换机将自动学习该MAC地址，将其加入到安全地址表中，并被标记为安全地址，接着转发数据帧。 交换机安全端口的安全地址表项既能通过交换机动态的自动学习，也可以由管理员手工静态的配置。如果只关心允许多少MAC地址，而不关心哪些MAC地址使用交换机端口，则可以使用动态的方法。值得注意的是，动态学习的MAC地址在一定时间后将过期，交换机将学习新的的地址，直至达到交换机端口配置的最大地址个数。如果静态地为交换机端口配置允许接入的MAC地址，则没有被指定的MAC地址都不能将帧发送到该端口。 交换机安全端口的配置条件是： 一个安全端口必须是一个Access端口，并且是一个连接终端设备的端口，而不是一个Trunk端口； 一个安全端口不能是一个聚合端口（Aggregate Port）； 一个安全端口不能是SPAN的目的端口。 交换机安全端口上最大安全地址的个数不能超过端口所能支持的最多安全地址数量。一般地，一个千兆端口上最多支持120个同时声明IP地址和MAC地址的安全地址。另外，由于安全地址和访问控制列表等功能共享系统硬件资源，因此，当在某个端口上使用了访问控制列表后，则该端口上所能设置的安全IP地址的个数将减少。 此外，安全端口上配置的安全地址格式应保持一致，即一个端口上的安全地址要么全部绑定IP地址，要么全部都不绑定IP地址。如果某个安全端口同时包含了这两种格式的安全地址，则不绑定IP地址的安全地址将失效，即绑定了IP地址的安全地址优先级更高。此时，如果要使端口上不绑定IP地址的安全地址生效，就必须删除安全端口上所有的绑定了IP地址的安全地址。 交换机安全端口配置生效后，当有不满足端口安全的数据帧到达时，即安全端口上有违例产生时，安全端口的处理模式包括以下三种： protect：当安全地址个数到达所配置的最大安全地址个数时，安全端口将丢弃未知名地址的包，即不是该安全端口的安全地址表中的任何一个，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃； restrict：当违例产生时，交换机不但丢弃接收到的源MAC地址不在安全地址表中的数据帧，而且将发送一个SNMP Trap报文； shutdown：当违例产生时，交换机将丢弃接收到的源MAC地址不在安全地址表中的数据帧，发送一个SNMP Trap报文，而且将端口关闭。 值得注意的是，如果某个安全端口shutdown了，则其所有动态学习的MAC地址都将会被移除。 11.2.2 配置端口安全 为交换机配置安全端口的步骤为： Step1：选择要配置安全端口，并启用该端口的安全功能 命令：Switch#configure terminal Switch(config)#interface interface-id Switch(config-if)#switchport port-security Switch(config-if)# Step2：为安全端口设置安全地址的最大个数 命令：Switch(config-if)#switchport port-security maximum number Switch