《配置端口安全性》.doc

1、配置端口安全性未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口，并执行信息收集或攻击。交换机可被配置为像集线器那样工作，这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此，攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。在部署交换机之前，应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效MAC地址的数量。如果为安全端口分配了安全MAC地址，那么当数据包的源地址不是已定义地址组中的地址时，端口不会转发这些数据包。如果将安全MAC地址的数量限制为一个，并为该端口只分配一个安全MAC地址，那么连接该端口的工作站将

2、确保获得端口的全部带宽，并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。如果端口已配置为安全端口，并且安全MAC地址的数量已达到最大值，那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时，则会发生安全违规。下面总结了这些要点。总地来说，在所有交换机端口上实施安全措施，可以实现以下目的。在端口上指定一组允许的有效MAC地址。在任一时刻只允许一个MAC地址访问端口。指定端口在检测到未经授权的MAC地址时自动关闭。配置端口安全性有很多方法。下面描述可在Cisco交换机上配置端口安全性的方法。静态安全MAC地址：静态MAC地址是使用switchport p

3、ort-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中，并添加到交换机的运行配置中。动态安全MAC地址：动态MAC地址是动态获取的，并且仅存储在地址表中。以此方式配置的MAC地址在交换机重新启动时将被移除。粘滞安全MAC地址：可以将端口配置为动态获得MAC地址，然后将这些MAC地址保存到运行配置中。粘滞安全MAC地址有以下特性。当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时，接口将所有动态安全MAC地址（包括那些在启用粘滞获取之前动态获

4、得的MAC地址）转换为粘滞安全MAC地址，并将所有粘滞安全MAC地址添加到运行配置。如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滞获取，则粘滞安全MAC地址仍作为地址表的一部分，但是已从运行配置中移除。已经被删除的地址可以作为动态地址被重新配置和添加到地址表。如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滞安全MAC地址时，这些地址将添加到地址表和运行配置中。 如果禁用端口安全性，则粘滞安全MAC地址仍保留在运行配置中。如果将粘滞安

5、全MAC地址保存在配置文件中，则当交换机重新启动或者接口关闭时，接口不需要重新获取这些地址。如果不保存粘滞安全地址，则它们将丢失。如果粘滞获取被禁用，粘滞安全MAC地址则被转换为动态安全地址，并被从运行配置中删除。如果禁用粘滞获取并输入switchport port-security mac-address sticky mac-address接口配置命令，则会出现错误消息，并且粘滞安全MAC地址不会添加到运行配置。当出现以下任一情况时，则会发生安全违规。地址表中添加了最大数量的安全MAC地址，有工作站试图访问接口，而该工作站的MAC地址未出现在该地址表中。在一个安全接口上获取或配置的地址出现

6、在同一个VLAN中的另一个安全接口上。根据出现违规时要采取的操作，可以将接口配置为3种违规模式之一。保护：当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，直至移除足够数量的安全MAC地址或增加允许的最大地址数。不会得到发生安全违规的通知。限制：当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，直至移除足够数量的安全MAC地址或增加允许的最大地址数。在此模式下，您会得到发生安全违规的通知。具体而言就是，将有SNMP陷阱发出、syslog消息记入日志，以及违规计数器的计数增加。关闭：在此模式下，端口安全违规将造成接口立即变为错误禁用（error

7、-disabled）状态，并关闭端口LED。该模式还会发送SNMP陷阱、将syslog消息记入日志，以及增加违规计数器的计数。当安全端口处于错误禁用状态时，先输入shutdown再输入no shutdown接口配置命令可使其脱离此状态。此模式为默认模式。各种安全违规模式的影响如表2-15所示。表2-15端口安全违规模式违 规 模 式转 发 流 量发出SNMP陷阱发出SYSLOG消息显示错误消息增加违规计数器计数关 闭 端 口保护否否否否否否限制否是是否是否关闭否是是否是是Cisco交换机上的端口都预先配置了默认设置，表2-16列出默认的端口安全配置。表2-16端口安全默认设置功 能默 认 设

8、置端口安全性在端口上禁用安全MAC地址的最大数量1违规模式关闭。当超过安全MAC地址的最大数量时，端口关闭，同时发出SNMP陷阱通知粘滞地址获取禁用表2-17中显示了在S1交换机的快速以太网F0/18端口上配置端口安全性所需要的Cisco IOS CLI命令。请注意该示例未指定违规模式。此示例中，违规模式设置为shutdown。表2-18中演示了如何在交换机S1的快速以太网端口0/18上启用粘滞端口安全性。如前所述，可以配置安全MAC地址的最大数量。本例中演示了用来将最大MAC地址数量设置为50的Cisco IOS命令语法。违规模式默认设置为shutdown。表2-17端口安全命令语法说 明命

9、 令进入全局配置模式S1# configure terminal指定要配置的物理接口的类型和编号（例如fastEthernet F0/18），并进入接口配置模式S1(config)#interface fastEthernet 0/18将接口模式设置为access。处于动态理想默认模式的接口不可配置为安全端口S1(config-if)#switchport mode access在接口上启用端口安全性S1(config-if)#switchport port-security返回特权执行模式S1# end表2-18配置粘滞地址的端口安全性命令语法说 明命 令进入全局配置模式S1#configu

10、re terminal指定要配置的物理接口的类型和编号S1(config)#interface fastEthernet 0/18将接口模式配置为accessS1(config-if)#switchport mode access在接口上启用端口安全性S1(config-if)#switchport port-security将安全地址的最大数量设置为50S1(config-if)#switchport port-security maxnum 50启用粘滞获取S1(config-if)#switchport port-security mac-address sticky返回特权执行模式S1

11、#end除了前面所述之外，还有其他一些有用的端口安全性设置。如需获得全部端口安全性配置选项的完整列表，可访问：/en/US/docs/switches/lan/ catalyst2950/software/release/12.1_19_ea1/configuration/guide/swtrafc.html#wp1038501。为交换机配置端口安全性之后，需要验证配置是否正确。需要检查每一个接口以确保端口安全性都已设置正确。还必须确保配置的静态MAC地址也都正确。要显示交换机或指定接口的端口安全性设置，可如例2-11所示那样使用 show port-security interface interface-id命令。例2-11 验证端口安全性输出显示以下内容。每个接口允许的安全MAC地址的最大数量。接口上现有的安全MAC地址的数量。已经发生