MAC地址与交换机端口绑定防黑客原理与方法详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
MAC地址与交换机端口绑定防黑客原理与方法详解
文章导读:在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址和交换机端口绑定,不过MAC和交换机端口快速绑定的具体实现的原理和步骤却少有文章。
在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址和交换机端口绑定,不过MAC和交换机端口快速绑定的具体实现的原理和步骤却少有文章。
寻修网在此先解释一下,我们通常说的MAC地址和交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让你设置一个端口只允许一台或几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既能手工设置,也能从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或禁用该端口等等。
一、首先必须明白两个概念:
可靠的MAC地址。设置时候有三种类型。
静态可靠的MAC地址:在交换机接口模式下手动设置,这个设置会被保存在交换机MAC 地址表和运行设置文件中,交换机重新启动后不丢失(当然是在保存设置完成后),具体命令如下:
Switch(config-if)#switchport port-security mac-address Mac地址
动态可靠的MAC地址:这种类型是交换机默认的类型。在这种类型下,交换机会动态学习MAC地址,不过这个设置只会保存在MAC地址表中,不会保存在运行设置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,能手动设置MAC地址和端口的绑定,也能让交换机自动学习来绑定,这个设置会被保存在MAC地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址能手动设置,不过CISCO官方不推荐这样做。具体命令如下:
Switch(config-if)#switchport port-security mac-address sticky
其实在上面这条命令设置后并且该端口得到MAC地址后,会自动生成一条设置命令
Switch(config-if)#switchport port-security mac-address sticky Mac地址
这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。
二、违反MAC安全采取的措施:
当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被设置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种:
1.保护模式(protect):丢弃数据包,不发警告。
2.限制模式(restrict):丢弃数据包,发警告,发出SNMP trap,同时被记录在syslog 日志里。
3.关闭模式(shutdown):这是交换机默认模式,在这种情况下端口即时变为err-disable状态,并且关掉端口灯,发出SNMP trap,同时被记录在syslog日志里,除非管理员手工激活,否则该端口失效。
具体命令如下:
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
下面这个表一就是具体的对比
Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error
message Shuts down port
protect No No No No No
restrict No Yes Yes No No
shutdown No Yes Yes No Yes
表一
设置端口安全时还要注意以下几个问题:
端口安全仅仅设置在静态Access端口;在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或被动态划给一个VLAN的端口上不能设置端口安全功能;不能基于每VLAN设置端口安全;交换机不支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时设置在同一端口上。
下面寻修网把上面的知识点连接起来谈谈实现设置步骤的全部命令。
1.静态可靠的MAC地址的命令步骤:
Switch#config terminal
Switch(config)#interface interface-id 进入需要设置的端口
Switch(config-if)#switchport mode Access 设置为交换模式
Switch(config-if)#switchport port-security 打开端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
上面这一条命令是可选的,也就是能不用设置,默认的是shutdown模式,不过在实际设置中寻修网推荐用restrict。
Switch(config-if)#switchport port-security maximum value
上面这一条命令也是可选的,也就是能不用设置,默认的maximum是个MAC地址,2950和3550交换机的这个最大值是132。
其实上面这几条命令在静态、黏性下都是相同的,
Switch(config-if)#switchport port-security mac-address MAC地址
上面这一条命令就说明是设置为静态可靠的MAC地址
2.动态可靠的MAC地址设置,因为是交换机默认的设置。
3.黏性可靠的MAC地址设置的命令步骤:
Switch#config terminal
Switch(config)#interface interface-id