课件：网络设备调试04交换机端口安全.pptx

DHCP服务器欺骗与服务器欺骗与 DHCP地址耗尽地址耗尽 DHCP服务器欺骗服务器欺骗 即客户端将自己配置为即客户端将自己配置为DHCP服务器，分派虚假的服务器，分派虚假的 IP地址及其信息或者直接响应地址及其信息或者直接响应DHCP请求请求 DHCP地址耗尽地址耗尽 即客户端不断的冒充新客户发送即客户端不断的冒充新客户发送DHCP请求，请求请求，请求 服务器分派服务器分派 IP地址，这样很快耗尽地址，这样很快耗尽DHCP配置的配置的 IP 地址池，其他计算机无法使用地址池，其他计算机无法使用 IP地址欺骗地址欺骗 客户端使用自己配置的客户端使用自己配置的IP地址冒充其他客户端或网络地址冒充其他客户端或网络 管理员，对其他用户、设备、服务器等进行非法操作管理员，对其他用户、设备、服务器等进行非法操作 IP地址欺骗主要是利用自行配置地址欺骗主要是利用自行配置IP地址实现的地址实现的 启用交换机端口安全特性启用交换机端口安全特性 启用端口安全的接口不能是动态协商启用端口安全的接口不能是动态协商(dynamic)模式模式 ，必须配置接口为接入或干道模式，必须配置接口为接入或干道模式 配置允许访问网络的配置允许访问网络的MAC地址地址 配置接口允许的最大活跃地址数量配置接口允许的最大活跃地址数量 配置静态绑定的配置静态绑定的 MAC地址地址 配置老化时间配置老化时间 如果同一端口主机经常变化，而旧如果同一端口主机经常变化，而旧MAC地址一直保地址一直保 留，这可能导致新连接到端口的客户无法正常通讯留，这可能导致新连接到端口的客户无法正常通讯 配置交换机接口老化时间，让交换机删除一段时间配置交换机接口老化时间，让交换机删除一段时间 内没有流量的内没有流量的 MAC地址地址 time参数范围是参数范围是 11440分钟，默认为分钟，默认为 0表示不删表示不删 除除 absolute参数为老化时间到期后，删除所有参数为老化时间到期后，删除所有MAC 地址并重新学习地址并重新学习 inactivity参数为与端口连接的客户端一段时间（参数为与端口连接的客户端一段时间（ 老化时间）没有流量，就将其老化时间）没有流量，就将其MAC地址从地址表地址从地址表 中删除中删除 配置配置 MAC地址违规后的策略地址违规后的策略 MAC地址违规地址违规 最大安全数目的最大安全数目的 MAC地址表之外的一个新的地址表之外的一个新的MAC 地址访问该端口地址访问该端口 一个配置为其他接口安全一个配置为其他接口安全MAC地址的地址的 MAC地址试地址试 图访问这个端口图访问这个端口 当出现违规情况时，有三种处理方式当出现违规情况时，有三种处理方式 shutdown：端口成为：端口成为 err-disable状态，相当于关闭状态，相当于关闭 端口，默认处理方式端口，默认处理方式 protect：将违规的：将违规的 MAC地址的分组丢弃，但端口地址的分组丢弃，但端口 处于处于 UP状态。交换机不记录违规分组状态。交换机不记录违规分组 restrict：将违规的：将违规的 MAC地址的分组丢弃，但端口地址的分组丢弃，但端口 处于处于 UP状态。交换机记录违规分组状态。交换机记录违规分组 DHCP监听（监听（ DHCP Snooping） 保证客户端能够从正确的保证客户端能够从正确的DHCP服务器获得服务器获得 IP地址地址 避免避免 DHCP服务器欺骗和服务器欺骗和 DHCP地址耗尽地址耗尽 限制客户端发送限制客户端发送 DHCP请求的速度，从而减缓请求的速度，从而减缓DHCP 资源耗尽攻击资源耗尽攻击 DHCP监听将交换机端口分为两种监听将交换机端口分为两种 非信任端口非信任端口 连接终端设备的端口，该端口客户端只能发送连接终端设备的端口，该端口客户端只能发送 DHCP请求报文，而丢弃来自该端口的其他所有请求报文，而丢弃来自该端口的其他所有 DHCP报文（报文（ DHCP offer等）等） 信任端口信任端口 连接合法的连接合法的 DHCP服务器或者汇聚接口，能够转服务器或者汇聚接口，能够转 发和接收所有发和接收所有 DHCP报文报文 DHCP监听应用实例监听应用实例 动态动态 ARP检测（检测（ Dynamic ARP inspection，DAI） DAI是一种与是一种与 DHCP监听和监听和 IP源防护相结合的安全特源防护相结合的安全特 性性 根据根据 DHCP监听绑定表以及监听绑定表以及 IP源防护中静态源防护中静态 IP源绑定源绑定 表的内