端口安全详述

文章来源:   作者:李琪琪     发布时间:2023-02-03 11:07    浏览量:

第一章 端口安全简介

端口安全(PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

第二章 端口安全原理描述

二.1. 安全MAC地址的分类

安全MAC地址分为:安全动态MAC、安全静态MAC与StickyMAC。

二.2. 安全动态MAC地址:

设备重启后表项会丢失,需要重新学习。

缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。

二.3. 安全静态MAC地址:

不会被老化,手动保存配置后重启设备不会丢失。

二.4. Sticky MAC地址:

不会被老化,手动保存配置后重启设备不会丢失。

二.5. 超过安全MAC地址限制数后的动作

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

Ø restrict:

丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。

Ø protect:

只丢弃源MAC地址不存在的报文,不上报告警。

Ø shutdown:

接口状态被置为error-down,并上报告警。

默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

第三章 端口安全应用场景

三.1. 端口安全经常使用在以下几种场景:

•应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。

•应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

三.2. 接入层使用场景:

用户PC1和PC3通过IPPhone接入SwitchA设备,用户PC2直接接入设备SwitchA,为了保证接入设备安全性,防止非法用户攻击,可以在接入设备SwitchA的接口上配置端口安全功能。

 

•如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。

•如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为StickyMAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。

•如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定。

三.3. 汇聚层使用场景

树状组网中,多个用户通过SwitchA和汇聚层设备Switch进行通信。为了保证汇聚设备的安全性,控制接入用户的数量,可以在汇聚设备配置端口安全功能,同时指定安全MAC地址的限制数。

 

第四章 交换机的端口安全

交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的,MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。

因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。


甘肃华科信息技术有限责任公司    版权所有    陇ICP备17001897-1号   甘公网安备 62010202001329 号