交換機(jī)安全 - MAC地址泛洪

MAC層*** – MAC地址泛洪

    常見的二層***或交換機(jī)***是MAC泛洪，***者使用大量無效的源MAC地址，這會(huì)導(dǎo)致交換機(jī)的CAM表溢出，由于交換機(jī)在MAC地址表中找不到目的MAC地址對(duì)應(yīng)的端口，從而導(dǎo)致交換機(jī)向其它所有端口定期泛洪數(shù)據(jù)幀、交換機(jī)不會(huì)再接收新的合法條目，這會(huì)影響到網(wǎng)絡(luò)中的所有用戶的傳輸速度。

    ***者可通過MAC泛洪實(shí)現(xiàn)DOS***，也可能會(huì)獲取全網(wǎng)的數(shù)據(jù)包。

    CAM表的容量依據(jù)交換機(jī)的型號(hào)有所不同，常用的Catalyst 接入層交換機(jī)為8192，可通過以下的命令查看。

    Switch #show mac-address-table count

    MAC地址的老化時(shí)間默認(rèn)為300秒，可通過如下命令查看

    Switch #show mac-address-table aging-time

***步驟

    1、 ***者以不同的源MAC地址發(fā)送多個(gè)數(shù)據(jù)包。

    2、 在短時(shí)間內(nèi)，交換機(jī)的CAM表被填滿，無法再接受新的條目。***的行為需要持續(xù)不斷，否則MAC地址老化后會(huì)清空CAM表。

    3、 交換機(jī)開始把它接收到的所有數(shù)據(jù)包，向所有端口泛洪。因此，***者可能在任何端口獲取網(wǎng)絡(luò)中的所有數(shù)據(jù)包。

防御措施

    在交換機(jī)端口上限定一個(gè)具體的MAC地址或限定MAC地址的數(shù)量?？梢宰尳粨Q機(jī)自動(dòng)學(xué)習(xí)，也可以手動(dòng)配置MAC地址。

    步驟1：?jiǎn)⒂枚丝诎踩?，注意，?dòng)態(tài)端口不能設(shè)置，需要將端口模式設(shè)置為Access.

      Switch#conf t

      Enter configuration commands, one per line. End with CNTL/Z.

      Switch(config)#int fa0/1

      Switch(config-if)#switchport mode access

      Switch(config-if)#switchport port-security

    步驟2：設(shè)置接口允許接入的最大MAC地址數(shù)量為4，默認(rèn)為1

      Switch(config-if)#switchport port-security maximum 4

    步驟3：指定該接口允許接入的具體MAC地址，該配置為可選項(xiàng)，如不指定，交換機(jī)端口會(huì)自動(dòng)學(xué)習(xí)任意4個(gè)MAC地址，并只為這4個(gè)MAC地址提供服務(wù)。

      Switch(config-if)#switchport port-security mac-address H.H.H

    步驟4：使靜態(tài)配置在端口上的安全地址老化。當(dāng)交換機(jī)端口啟用了端口安全后，默認(rèn)情況下，端口學(xué)到地MAC地址不會(huì)老化過期。

      Switch(config-if)#switchport port-security aging static

    步驟5：當(dāng)不允許的MAC地址嘗試接入時(shí)，定義該接口采取的行為。

      Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}

      Protect 保護(hù)：丟棄未授權(quán)地址發(fā)來的數(shù)據(jù)幀，但不會(huì)為這個(gè)違規(guī)行為創(chuàng)建日志消息。

      Restrict 限制：丟棄未授權(quán)地址發(fā)來的數(shù)據(jù)幀，創(chuàng)建日志消息并發(fā)送SNMP Trap消息。

     Shutdown 關(guān)閉：這是默認(rèn)的模式。交換機(jī)從一個(gè)端口收到未授權(quán)地址發(fā)來的數(shù)據(jù)幀后，就會(huì)把這個(gè)端口置為err-disabled狀態(tài)，記錄日志并發(fā)送SNMP Trap消息，必須要管理員手動(dòng)開啟或使用errdisable recovery特性來重新啟用該端口。

檢查端口安全配置

    管理員可使用命令“Show port-security”來查看哪些端口啟用了端口安全特性。

    加入Interface參數(shù)查看特定接口的輸出信息：

    還可以使用address變量參數(shù)來查看MAC地址表的安全信息。注意：剩余時(shí)間（Remaining Age）一項(xiàng)沒有信息，因?yàn)楫?dāng)交換機(jī)端口啟用了端口安全后，默認(rèn)情況下，端口學(xué)到地MAC地址不會(huì)老化過期。該項(xiàng)只有在為接口配置了過期時(shí)間后才會(huì)顯示出來，相關(guān)命令為：switchport port-security aging time 300

    可以使用以下命令查看端口當(dāng)前連接的MAC地址信息：

使用粘性MAC地址的端口安全

    前面我們講的端口安全可以通過限制每個(gè)交換機(jī)端口只允許設(shè)置數(shù)量的MAC地址，來緩解MAC地址欺騙***。但這并沒有指定具體的MAC地址。

    最嚴(yán)格的端口安全實(shí)施方案是在每個(gè)端口上，只允許指定的MAC地址接入。當(dāng)然這樣會(huì)帶來很多接入問題，管理員的工作負(fù)擔(dān)也需要考慮。但粘性MAC地址特性能夠很好地解決這一問題。

    當(dāng)使用粘性MAC地址時(shí)，交換機(jī)端口會(huì)自動(dòng)學(xué)習(xí)MAC地址，它既可以限制交換機(jī)端口，使其只接受單個(gè)具體的MAC地址，又無需管理員收集所有合法設(shè)備的MAC地址，再手動(dòng)關(guān)聯(lián)到交換機(jī)端口上，有效地減輕了管理員工作負(fù)擔(dān)。

    命令：Switch(config-if)#switchport port-security mac-address sticky

    原理：使用粘性MAC地址時(shí)，交換機(jī)端口自動(dòng)學(xué)習(xí)MAC地址，然后記住這個(gè)MAC地址并將其以靜態(tài)條目的形式存入運(yùn)行配置（Running configuration）中，并把這個(gè)MAC地址當(dāng)作端口安全特性允許接入的唯一MAC地址。如果交換機(jī)重啟用，需要重新學(xué)習(xí)MAC地址。

    注意：

    1、接口會(huì)把所有動(dòng)態(tài)安全MAC地址，轉(zhuǎn)換為粘性安全MAC地址，包括在粘性學(xué)習(xí)特性啟用前，動(dòng)態(tài)學(xué)習(xí)到的地址。

    2、交會(huì)機(jī)把粘性安全MAC地址添加到運(yùn)行配置中，并不會(huì)添加到啟動(dòng)配置中，除非管理員將運(yùn)行配置復(fù)制到啟動(dòng)配置中。如果存入了啟動(dòng)配置中，重新交換機(jī)后無需重新學(xué)習(xí)MAC地址。

    3、該命令不能用于語音VLAN接口。

    下圖所示，Type項(xiàng)由原來的“SecureDynamic”變?yōu)椤癝ecureSticky”.

    下圖所示，交換機(jī)端口學(xué)習(xí)到的MAC地址以靜態(tài)條目形式存入到了運(yùn)行配置中。

在必要的端口上阻塞單播泛洪

    默認(rèn)情況下，交換機(jī)若不知道所收數(shù)據(jù)包的目的MAC地址，它就會(huì)向接收端口所屬VLAN中的所有端口進(jìn)行泛洪。

    但有一些端口不需要泛洪。如端口手動(dòng)配置了MAC地址，或啟用端口安全的端口上，配置了安全MAC地址或?qū)W習(xí)到了足夠的MAC地址。從而減少不必要的流量。

    既可以限制未知目的MAC地址的單播泛洪，也可以限制未知目的MAC地址的組播泛洪。

    語法：