二层交换网络的安全问题(端口安全,MAC地址绑定)

交换网络的安全问题

恶意设备
非法交换机，无线AP，集线器（连接到接入层设备）
连接发到了接入层交换机的Access功能接口
连接到了用户的操作的终端设备

交换网络的攻击类型

基于MAC地址的攻击
                MAC地址泛洪攻击
基于VLAN的攻击
                VLAN跳转攻击
欺骗攻击
                DHCP，ARP，MAC寻址欺骗
攻击交换设备
                CDP协议，管理协议

MAC地址泛洪攻击
MAC地址泛洪攻击会导致交换机的CAM表溢出。当交换机的CAM表溢出之后，交换机不会继续学习新的MAC地址，因此对于全部未知流量都会进行泛洪。
危害：
1.交换机转发数据流量的效率低下切数据流十分巨大，严重影响网络中正常用户的传输速度。
2.恶意设备可以截取到原本无法收到的数据帧，造成安全隐患。

MAC地址泛洪攻击过程：
1.交换机基于合法MAC地址表进行转发。
2.攻击者利用恶意软件伪造大量虚假的源MAC地址向交换机发送数据帧。
3.交换机的MAC地址表会被虚假的MAC地址填满，直至上限。
4.交换机无法基于MAC地址表进行转发，开始泛洪数据帧。

解决办法：
端口安全限制了MAC泛红攻击并关闭端口
设置SNMP陷阱

配置交换机端口安全的指导步骤
开启端口安全
设置MAC地址限制
设置允许的MAC地址
定义违法操作
配置地址过期时间

access端口才能够开启端口安全
config-if#switchport  port-security

设置端口允许的最大MAC地址数量
config-if#switchport  port-security  maximum  最大值

端口允许的MAC地址
config-if#switchport  port-security  mac-address  x.x.x.x/sticky（自动学习第一次插入的设备MAC地址）

定义违规操作
config-if#switchport  port-security  violation  shutdown/protect/restrict
shutdown：管理性关闭接口，进入err-disable状态
restrict：丢弃违法数据帧，同时生成警告信息
protect：丢弃违法数据帧

默认情况下绑定的合法MAC地址永远可以正常传输数据，可以设置绑定时间，过期解除
config-if#switchport  port-security  type  inactivity
config-if#switchport  port-security  aging  time  60

验证接口安全
#show  port-security

设置违反安全策略自动恢复时间
config-if#err-disable  recovery  case  security-violation
config-if#err-disable  recovery  interval  时间

游客，如果您要查看本帖隐藏内容请回复

thanks!!!!!!!!!1

好好 学习了 确实不错

没看完~~~~~~ 先顶，好同志

路过，支持一下啦

找到好贴不容易，我顶你了，谢了

好好 学习了 确实不错

帮帮顶顶！！

有道理。。。感谢攻城狮论坛

帮你顶下哈！！