《宽带接入技术》课件-（项目2-任务2-5）以太网接入技术-端口安全

项目二以太接入技术

交换机端口安全企业园区网络安全企业园区网端口安全第二层常见威胁MAC地址欺骗攻击MAC地址表溢出攻击（MAC地址泛洪）LAN风暴攻击DHCP欺骗攻击STP操纵攻击VLAN攻击MAC地址欺骗攻击MACAddress:AABBccAABBcc12AbDdMACAddress:AABBccAttackerPort1Port2MACAddress:12AbDd查看交换机的mac地址表：Dismac-addSwitchPort12MACAddress:AABBccAABBccSwitchPort12MACAddress:AABBccAttackerPort1Port2AABBcc12MAC地址以为AABBcc的设备已经改变位置到了端口2，我必须相应的调整我的MAC地址表。我已经改变了我的计算机的MAC地址以匹配服务器。注意：任何一个给定的源MAC地址不可能同时出现在两个以上的端口。MAC地址欺骗攻击第一步第二步第三步正常的泛洪状态MAC地址表溢出攻击（MAC地址泛洪）ABCDVLAN10VLAN10攻击者发送虚假的mac地址3/253/25MACX3/25MACY3/25MACZXYZfloodMACPortX3/25Y3/25C3/25这些虚假的mac填满了CAM表.HostC这个交换机泛洪帧攻击者就会看到B到D的数据VLAN101234MAC地址表溢出攻击（MAC地址泛洪）LAN风暴攻击同一个vlan里广播、组播和单播泛洪在所有端口这些广播能使CPU的利用率达到100%，降低网络性能BroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastBroadcastDHCP欺骗攻击和耗竭攻击1)攻击者在网段上激活一台DHCP服务器。2)客户端广播一条请求，要求获得DHCP配置信息。3)伪冒DHCP服务器在合法DHCP服务器响应之前先响应，分配由攻击者定义的IP配置信息。4)主机数据包被重定向至攻击者的地址，由此该客户端得到了错误DHCP地址的默认网关。DHCP耗竭攻击DHCP欺骗攻击通常在DHCP欺骗攻击之前会使用DHCP耗竭攻击，以便对合法DHCP服务器拒绝服务，使其更容易将虚假的DHCP服务器引入网络。可以采用DHCP侦听和端口安全功能缓解DHCP攻击。DHCP侦听（DHCPsnooping)允许将交换机的端口配置为可信或不可信。•可信端口可以发送DHCP请求和确认。•不可信端口只能转发DHCP请求。DHCP侦听使交换机能够建立映射客户端MAC地址、IP地址、VLAN和端口ID的DHCP绑定表。应使用ipdhcpsnooping命令。DHCP侦听五、交换机的端口安全交换机端口安全技术主要针对MAC地址欺骗攻击、MAC地址泛洪攻击和DHCP攻击五、交换机的端口安全1、端口安全地址

接口启用安全功能后，通过什么依据来限制用户接入？就是端口安全地址！！

安全地址表项有三种表示方式：1）让使用端口动态学习到的MAC（SecureDynamic）2）手工在接口下进行配置（SecureConfigured）3）stickyMACaddress（SecureSticky）五、交换机的端口安全2、惩罚1）何时启动惩罚？MAC地址数量达到最大安全地址数量某个已经配置的安全地址的违规2）惩罚的措施有哪些？RestrictProtectShutdown五、交换机的端口安全五、交换机的端口安全华为配置命令interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan10

port-securityenable

port-securityprotect-actionprotect

port-securitymax-mac-num2

port-securitymac-addresssticky

port-securitymac-addresssticky5489-983F-24E5vlan10InterfaceG0/0/1switchportmodeaccessswitchportport-securityswitchportport-securitymaximum1switchportport-securitymac-addressstickyswitchportport-securityviolationshutdownInterfaceG0/0/1switchportmodeaccessswitchportport-securityswitchportport-securitymaximum3