近日对公司内网接入MAC做了一次清查,原本只想用来做arp攻击或病毒的地址薄,但由于公司内还有一些2950没有使用,故依次换上做交换机接入安全.
一.先将2950换上原来的傻瓜交换机.因为大部分傻瓜交换机都是在vlan端口下的,所以为方便管理,2950的vlan1 IP都设置成上级端口所在vlan ,也可以与上级端口起Trunk,下面依然可以再划Vlan.
二,开始在二层交换机上收集MAC地址
cisco2950#show mac address-table
cisco2950#show mac address-table vlan 60 \\在众多的MAC地址上找出自已想要绑定的
cisco2950#show mac address-table inter fa 0/1 \\找出具体在某个端口的MAC,下联交换机的话会有多个
cisco3560#show ip arp XXX.XXX.XXX \\在三层交换上找出该MAC地址对应的IP地址,方便员工更换电脑后更改MAC绑定.如果公司内部使用DHCP,此部作用不大.
三,将收集好的MAC地址绑定至端口
cisco2950(config)# interface inter fa 0/1
cisco2950(config-if)# switchport mode access \\ port-securtiy必须是access口
cisco2950(config-if)# switchport port-security \\首先启用port-securtiy
cisco2950(config-if)# switchport port-security maximum 5 \\设置允许最大MAC地址数
cisco2950(config-if)# switchport port-security mac-address sticky \\设置MAC地址粘贴
cisco2950(config-if)# swtichport port-security violation restrict \\设置违规策略
这里需要说明的是,用switchport port-security mac-address sticky xxx.xxx.xxx 和使用switchport port-security mac-address xxx.xxx.xxx 的效果是一样的,但不同的是设置了switchport port-security mac-address sticky 后交换机会自动学习第一次PC接入交换机时的MAC地址,交换机会在该端口下自动增加switchport port-security mac-address sticky xxx.xxx.xxx 命令,即是交换机动态绑定的MAC地址,但是是永久保存的(重启之前),设置了MAC地址老化时间也不会自动删除,copy run stat 后该命令不会消失,当端口下PC更换时也只需no switchport port-security mac-address sticky xxx.xxx.xxx 手工删掉MAC地址的绑定让交换机重新学习即可.
违规策略有三种,protect丢弃非法流量,不报警restrict丢弃非法流量,报警shutdown关闭端口,很明白聪明人都会选择restrict.同时也会增加交换机负担,但具个人经验而言一台2918 自动绑了几十个MAC,每Vlan生成树,下连接了七台交换机,CPU使用率也只有5%
四,查看端口安全的效果
Xingzhenglou# show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
40 0001.6cc6.96a2 STATIC Fa0/14
40 0005.5d61.53a4 STATIC Fa0/2
40 0005.5d61.766f STATIC Fa0/1
40 0005.5d66.8457 STATIC Fa0/14
40 0005.5d66.9039 STATIC Fa0/14
Type 一档变成了static,虽然本交换机是static但上联交换机对这个MAC地是dynamic,原因很简单,因为上联交换机没有绑定^ ^不过即然下联的绑了,上联交换机也没有必要做多余的重复绑定.
Xingzhenglou#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 9 9 0 Restrict
Fa0/2 6 6 0 Restrict
Fa0/3 1 1 0 Restrict
Fa0/5 17 14 0 Restrict
Fa0/11 1 0 0 Restrict
port-security所绑定的MAC地址数,fa0/1 fa0/2 的绑定都达到了最大MAC数,fa0/5还可以允许通过3个MAC.
Xingzhenglou#show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
40 0005.5d61.766f SecureSticky Fa0/1 -
40 0005.5d87.f1b3 SecureSticky Fa0/1 -
40 000f.ea20.2c20 SecureSticky Fa0/1 -
40 0014.2a55.bf5d SecureSticky Fa0/1 -
40 0014.7843.7597 SecureSticky Fa0/1 -
40 001d.7dcd.0038 SecureSticky Fa0/1 -
40 001f.d061.9b27 SecureSticky Fa0/1 -
40 0040.af7c.e5b8 SecureSticky Fa0/1 -
40 00c0.9f14.7416 SecureSticky Fa0/1 -
40 0005.5d61.53a4 SecureSticky Fa0/2 -
40 0005.5d6a.666b SecureSticky Fa0/2 -
40 0005.5de3.36a6 SecureSticky Fa0/2 -
40 000b.2f04.8345 SecureSticky Fa0/2 -
40 0040.0515.13f3 SecureSticky Fa0/2 -
40 0040.0541.9487 SecureSticky Fa0/2 -
40 6cf0.49ab.70bb SecureConfigured Fa0/3 -
30 0000.7477.4c60 SecureSticky Fa0/5 -
查看具体所绑定的MAC地址数,type一档显示了是怎样的绑定方式.其中fa0/3是通过switchport port-security mac-address xxx.xxx.xxx的方式绑定的.其它都是sticky自动学习到的.
通过port-security绑定MAC地址做接入层的交换机安全就搞定了,但这些只是防止二层的非法用户接入和MAC地址泛洪攻击,并不能防止arp 欺骗等三层的攻击.
但在网上查找相关资料时发现交换机只对单播的源MAC地址流量进行过滤,本人也没有对这个做实验,因为已经超出自身能力范围了,如有不正确之处,尽请指正!