1、埠安全用于防止mac地址的欺騙、mac地址泛洪攻擊,主要思想就是在交換機的埠下通過手工或者自動系結mac地址,這就就只能是系結的mac地址能夠通過,
2、通過靜態的埠系結:將mac地址手工靜態的系結到相應的交換機的介面下,
sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1 //該介面屬于vlan 1
3、埠安全方式:
①設定埠安全的一些屬性:
(config)#int f0/1 (config-if)#switchport port-security maximum 1 可以允許此介面學習1個MAC,默認是最多只能學習一個mac地址,可按需修改, (config-if)#switchport port-security violation ? //當違規時所執行的動作,一共有三個, protect Security violation protect mode // 丟棄、告警,告警日志通過syslog產生的 restrict Security violation restrict mode //無聲丟棄 shutdown Security violation shutdown mode //默認的違規行為err-disable
②開啟埠安全:
sw-3550(config)#int f0/1 sw-3550(config-if)#switchport mode access //必須指定一個模式 sw-3550(config-if)#switchport port-security //開啟埠安全 sw-3550(config-if)#exit
③可以在埠安全下開啟靜態埠系結:
埠安全下MAC地址系結:配置這條命令先把埠關閉情況下配置 (config)#int f0/1 (config-if)#switchport port-security mac-address 0001.0001.0001 (config-if)#switchport port-security //強制指定此介面連接的PC的MAC地址為0001.0001.0001,效果與手工靜態系結一致,就是多了一個違規后的動作,
④可以把動態學習到的mac轉為埠系結地址,這個常用:
//把動態學習的MAC地址做一個靜態映射,且沒有老化時間概念,也就意味著這個介面以后只能連接特定PC,除非在交換機上面做相對應修改: sw-3550(config)#in f0/1 sw-3550(config-if)#switchport port-security mac-address sticky sw-3550(config-if)#switchport port-security sw-3550(config-if)#exit
4、DHCP snooping:可以防御DHCP攻擊,也可以防止埠欺騙、攻擊、mac泛洪等攻擊,主要思想就是DHCP snooping會生成一張擴展的mac表,這個表中記錄了每一個介面下pc的詳細資訊,包括mac地址、介面、所屬vlan、IP地址等資訊,然后交換機就根據這張擴展的mac地址變進行檢查過濾,
5、開啟DHCP snooping之后交換機的所有介面就默認置為untrust狀態,該狀態下會自動拒絕接收offer和DHCP ACK報文,這樣攻擊者就無法冒充DHCP服務器進行欺騙攻擊了,將我們合法的DHCP服務器介面手動的置為trust狀態即可,
6、開啟DHCP snooping后的作業機制:
①可以在介面下針對DHCP報文進行限速,防御黑客利用DHCP報文進行廣播泛洪攻擊,
②檢查從PC收到的DHCP報文,如果PC發送的DHCP報文含有option 82的話則丟棄此報文,因為只有交換機采用權限在DHCP報文里面插入option 82選項(交換機還會在discover報文里面插入對應VLAN的gateway ip地址),option82選項是交換機插入的,選項里面含有該介面所屬vlan的網關IP地址,
③還能檢測是否該pc惡意的替其他的pc退租,
DHCP snooping配置:
3550(config)#ip dhcp snooping //全域開啟 3550(config)#ip dhcp snooping vlan 100 //VLAN100啟用 sw-3550(config)#int f0/2 sw-3550(config-if)#ip dhcp snooping trust //將DHCP服務器的介面置為信任介面 sw-3550(config-if)#exit //當時兩個交換機時,需要處理option 82選項 sw-3550(config)#no ip dhcp snooping information option //進行DHCP報文的限速,防止泛洪攻擊 sw-3550(config)#int f0/6 sw-3550(config-if)#ip dhcp snooping limit rate 10 sw-3550(config-if)#exit //基于源MAC和源IP地址的過濾 Ip dhcp snooping Ip dhcp snooping vlan 10 ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工寫的一條擴展的mac表 Int f0/7 Switchport port-security Ip verity source port-secuity Exit //對從F0/7介面進入的報文,根據源IP地址和源MAC地址進行認證審查,是否滿足擴展的CAM表 //說明:當網路中有DHCO服務器的時候,那么開啟DHCP snooping的交換機就會自動的生成一張擴展的mac表,不需要手工寫,
DHCP snooping用來做埠安全、防止埠攻擊、泛洪攻擊的本質就是利用mac擴展表,
⑦DHCP snooping也可以用來防御arp攻擊:原理就是限制arp在一定時間內的數量以及根據mac擴展表過濾非法的arp包,
配置:
ip dhcp snooping ip dhcp snooping vlan 10 ip arp inspextion vlan 10 //在vlan10里面使用擴展的mac表監控arp報文是否合法, ip dhcp snooping limit 15 //限制arp包每秒發送的數量,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/503399.html
標籤:其他