智传网优云课堂,专注分享IT技术
与IT技术爱好者一起共同学习进步

Cisco Port-Security端口安全配置教程

1.前言

本文适用于参加CCNA Security认证考试的考生,本文章介绍如何在思科交换机设备上启用端口安全策略,提高局域网接入的安全访问性。

2.Port Security介绍

交换机在转发数据包时,需要根据数据包的目标MAC地址来决定出口,因此,交换机会将MAC地址与相对应的接口记录在一张表中,以供转发数据包使用,这张表就是MAC地址表。在正常情况下,MAC地址表允许一个接口可以与多个MAC地址相对应,只要接口上有相应的MAC地址,那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址,一个接口允许多少个MAC地址与之相对应,这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限,交换机接口上的Port Security功能提供更多的安全保护。

Port Security可以控制交换机上特定的接口与特定的MAC地址的对应关系,也可以限制接口上最大的MAC地址数量。

具有Port Security功能的接口,被称为secure port,secure port接口上通过控制数据包的源MAC地址来控制流量,绝不会转发预先定义好的MAC地址之外的流量。准确地说,是secure port只转发合法的流量,对于违规的流量,是不放行的。区别是否违则,有
以下两种情况:

  1. 当接口上MAC地址数量达到最大允许数量后,还有更多的MAC要访问,就算违规。
  2. 一个secure port接口上的合法MAC在另外一个secure port接口上访问,也算违规。

被Port Security允许的MAC地址,就是合法的MAC地址,称为安全MAC地址(Secure MAC Addresses),secure port接口只放行源MAC为安全MAC地址的数据包。

要在secure port接口上定义安全MAC地址,有以下几种方法:

静态手工配置

  • 手工添加MAC地址与接口的对应关系,会保存在地址表和running configuration中。
  • 动态学习,将接口上动态学习到的MAC地址作为安全MAC地址,但此MAC地址只保存在MAC地址表中,交换机重启后将丢失。

3.Port Security配置指导

实验拓扑图

Cisco Security-Port Security Configuration-Diagram.png

Step1:基础配置,首先配置底层IP地址

  1. 配置R1/R2底层IP地址:
R1(config)#int f0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R2(config)#int f0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shutdown
  1. 查看当前路由器的MAC地址
    (1)查看R1的接口F0/0的MAC地址
    说明:R1的接口F0/0的MAC地址为0090.2176.2801

!CCNA Security Port Security Configuration-2-r1 show interface f00.png

(2)查看R2的接口F0/0的MAC地址
说明:R2的接口F0/0的MAC地址为0001.9693.0301

CCNA Security Port Security Configuration-3 r2 show interface f00.png

Step 2.配置交换机的port-security

  1. 配置SW的F0/1端口的Port Security
sw1(config)#int f0/1
sw1(config-if)#switchport mode access
sw1(config-if)#switchport port-security、、、启用端口安全
sw1(config-if)#switchport port-security maximum 1、、、定义最大学习mac地址数量为1
sw1(config-if)#switchport port-security mac-address 0090.2176.2801、、、定义静态MAC地址
Found duplicate mac-address 0090.2176.2801.
sw1(config-if)#switchport port-security violation shutdown 、、、定义违规动作为shutdown
sw1(config-if)#

说明:将接口静态配置成access后,再开启port-security,允许最大地址数量为1,默认也是为1,定义的最大地址数量值不能比已学到的MAC地址少,否则无效。手工静态指定的安全MAC地址为0090.2176.2801,在违规后采取动作shutdown。

  1. 查看F0/1的Port Security配置
sw1#show run
Building configuration...
Current configuration : 1168 bytes
!
interface FastEthernet0/1
switchport mode access
switchport port-security
!

说明:因为默认允许的最大地址数量为1,所以不显示出来。

  1. 配置SW1的F0/2端口的Port Security
sw1(config)#int f0/2
sw1(config-if)#switchport mode access
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 2
sw1(config-if)#switchport port-security mac-address stick
sw1(config-if)#switchport port-security violation shutdown

说明:将接口静态配置成access后,再开启port-security,允许最大地址数量为2,指定安全MAC地址的方式为sticky,在违规后采取动作shutdown。

  1. 查看SW2的F0/2的Port Security配置
sw1#show run
Building configuration...
Current configuration : 1360 bytes
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 0001.9693.0301
sw1(config-if)#switchport port-security violation shutdown

说明:因为指定安全MAC地址的方式为sticky,所以此接口连接的R2上的MAC地址0001.9693.0301已经被载入配置中。

3.测试port-security

  1. 测试R1以合法MAC地址访问R2

CCNA Security Port Security Configuration-4-r1 ping.png

说明:因为R1以源MAC:0090.2176.2801访问R2,交换机的接口F0/1认为0090.2176.2801是安全MAC,所以R1访问R2成功。

  1. 测试交换机的F0/1上的port-security违规
R1(config)#int f0/0
R1(config-if)#mac-address 0090.2176.2802

说明:因为交换机的F0/1允许的最大MAC地址数量为1,而R1已经有了一个MAC地址,在接口上修改R1的F0/0接口的MAC地址为0090.2176.2802,因为0090.2176.2802与原本的MAC地址0090.2176.2801不一致,所以交换机将会收到第二个MAC地址,就会触发违规操作。

  1. 查看交换机上port-security违规后的现象
    再去使用R1去Ping R2的10.1.1.2:

CCNA Security Port Security Configuration-5 r1 ping.png

查看交换机的端口状态:

CCNA Security Port Security Configuration-6 sw log.png

说明:当交换机的port-security违规后,会出现以上log提示,并且查看交换机的接口为err-disabled状态,并且被shutdown。

CCNA Security Port Security Configuration-7 sw show interface f01.png

同时查看拓扑图上的链路状态:

CCNA Security Port Security Configuration-8 link status.png

R1到sw1之间的链路已经被down掉了。

  1. 测试交换机上port-security另一种违规
R2(config)#int f0/0
R2(config-if)#mac-address 0090.2176.2801

说明:将R1的MAC地址0090.2176.2801添加到R2的接口上,因为一个secure port接口上的合法MAC在另外一个secure port接口上访问,也算违规。

  1. 查看交换机上port-security违规后的现象

说明:可以看见,当一个secure port接口上的MAC地址在另外一个secure port接口出现后,就算违规,而违规动作是对出现重复地址的接口实施的,是为了防止攻击。

Step 4.配置Port Security MAC地址老化时间(附:PKT无法实现)

  1. 配置Port Security MAC地址老化时间
sw1(config)#int f0/1
sw1(config-if)#switchport port-security aging time 1
sw1(config-if)#switchport port-security aging type inactivity

说明:配置Port Security MAC地址老化时间为1分钟,并且相应MAC在1分钟没有流量的情况下被删除。但此配置只对接口下动态学习到的MAC地址生效。

  1. 配置手工静态指定的MAC地址的老化时间
sw1(config)#int f0/1
sw1(config-if)#switchport port-security aging static

说明:配置手工静态指定的MAC地址在1分钟没有流量的情况下被删除。

4.总结

一个secure port接口上可以允许的MAC地址数量是系统可支持的最大MAC地址数量。对于违规的流量,可以采取以下四个可执行的动作

  • Protect:只丢弃不允许MAC地址的流量,其它合法流量正常,但不会通知有流量违规了。
  • Restrict:只丢弃不允许MAC地址的流量,其它合法流量正常,但会有通知,发送SNMP trap,并会记录syslog。
  • Shutdown:(默认模式) 将接口变成error-disabled并shut down,并且接口LED灯会关闭,也会发SNMP trap,并会记录syslog。
  • Shutdown vlan:相应VLAN变成error-disabled ,但接口不会关,也会发SNMP trap,并会记录syslog。

Port Security配置注意事项

  • 当一个secure port接口上的MAC地址在另外一个secure port接口出现后,就算违规,而违规动作是对出现重复地址的接口实施的,是为了防止攻击。
  • 当接口被error-disabled后,要恢复,请在接口上使用命令:shutdown 后no shutdown。
  • 默认接口上Port Security是关闭的,Port Security默认只允许1个安全MAC地址。
  • 只能在静态access接口和静态trunk接口上配Port Security,不能在dynamic接口上配。
  • Port Security接口不能是SPAN的目标接口,不能在EtherChannel中。
赞(1)
未经允许不得转载:IT认证轻松考 » Cisco Port-Security端口安全配置教程
分享到: 更多 (0)

学习QQ群:581420468

关注微信公众号自助视频学习

评论 抢沙发

评论前必须登录!