端口安全 | DHCP snooping
1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过。
2、通过静态的端口绑定:将mac地址手工静态的绑定到相应的交换机的接口下。
sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1 //该接口属于vlan 1
3、端口安全方式:
①设置端口安全的一些属性:
(config)#int f0/1 (config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC,默认是最多只能学习一个mac地址,可按需修改。 (config-if)#switchport port-security violation ? //当违规时所执行的动作,一共有三个。 protect Security violation protect mode // 丢弃、告警,告警日志通过syslog产生的 restrict Security violation restrict mode //无声丢弃 shutdown Security violation shutdown mode //默认的违规行为err-disable
②开启端口安全:
sw-3550(config)#int f0/1 sw-3550(config-if)#switchport mode access //必须指定一个模式 sw-3550(config-if)#switchport port-security //开启端口安全 sw-3550(config-if)#exit
③可以在端口安全下开启静态端口绑定:
端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置 (config)#int f0/1 (config-if)#switchport port-security mac-address 0001.0001.0001 (config-if)#switchport port-security //强制指定此接口连接的PC的MAC地址为0001.0001.0001,效果与手工静态绑定一致,就是多了一个违规后的动作。
④可以把动态学习到的mac转为端口绑定地址,这个常用:
//把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改: sw-3550(config)#in f0/1 sw-3550(config-if)#switchport port-security mac-address sticky sw-3550(config-if)#switchport port-security sw-3550(config-if)#exit
4、DHCP snooping:可以防御DHCP攻击,也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表,这个表中记录了每一个接口下pc的详细信息,包括mac地址、接口、所属vlan、IP地址等信息,然后交换机就根据这张扩展的mac地址变进行检查过滤。
5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态,该状态下会自动拒绝接收offer和DHCP ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。
6、开启DHCP snooping后的工作机制:
①可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击。
②检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82的话则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)。option82选项是交换机插入的,选项里面含有该接口所属vlan的网关IP地址。
③还能检测是否该pc恶意的替其他的pc退租。
DHCP snooping配置:
3550(config)#ip dhcp snooping //全局开启 3550(config)#ip dhcp snooping vlan 100 //VLAN100启用 sw-3550(config)#int f0/2 sw-3550(config-if)#ip dhcp snooping trust //将DHCP服务器的接口置为信任接口 sw-3550(config-if)#exit //当时两个交换机时,需要处理option 82选项 sw-3550(config)#no ip dhcp snooping information option //进行DHCP报文的限速,防止泛洪攻击 sw-3550(config)#int f0/6 sw-3550(config-if)#ip dhcp snooping limit rate 10 sw-3550(config-if)#exit //基于源MAC和源IP地址的过滤 Ip dhcp snooping Ip dhcp snooping vlan 10 ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表 Int f0/7 Switchport port-security Ip verity source port-secuity Exit //对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM表 //说明:当网络中有DHCO服务器的时候,那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表,不需要手工写。
DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。
⑦DHCP snooping也可以用来防御arp攻击:原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。
配置:
ip dhcp snooping ip dhcp snooping vlan 10 ip arp inspextion vlan 10 //在vlan10里面使用扩展的mac表监控arp报文是否合法。 ip dhcp snooping limit 15 //限制arp包每秒发送的数量。