1、项目一项目一 以太接入技术以太接入技术任务任务2-4 2-4 交换机端口安全交换机端口安全02 02 交换机的端口安全交换机的端口安全二层网络的安全问题二层网络的安全问题MACMAC地址欺骗攻击地址欺骗攻击MACMAC地址泛洪攻击地址泛洪攻击DHCPDHCP欺骗攻击欺骗攻击VLANVLAN跳转攻击跳转攻击TelnetTelnet攻击攻击MACMAC地址欺骗攻击地址欺骗攻击MAC Address:AABBcc伪造A主机的MAC地址:AABBcc攻击者攻击者1 1 2 2 MAC Address:12AbDdAABBcc12AbDd12A 3 3 S1 S1 MAC Address:AABBcc攻
2、击者攻击者AABBcc121 12 2AABBcc12交换机以为AABBcc的设备已经改变位置到了端口2,我必须相应的调整我的MAC地址表。MAC Address:12AbDdMAC Address:12AbDdAABBccAABBcc我已经改变了我的计算机的MAC地址以匹配服务器。MACMAC地址欺骗攻击地址欺骗攻击A AC C第一步第一步第二步第二步第三步第三步正常的泛洪状态正常的泛洪状态MACMAC地址泛洪攻击地址泛洪攻击交换机的交换机的CAMCAM容量是有限的!容量是有限的!ABCDVLAN 10VLAN 103/253/25 MAC X 3/25 MAC X 3/25 MAC Y 3
3、/25 MAC Y 3/25 MAC Z3/25 MAC ZXYZXYZfloodfloodMAC PortMAC PortX 3/25X 3/25Y 3/25Y 3/25C 3/25C 3/25攻击者攻击者这个交换机泛洪帧VLAN 10攻击者发送虚假的mac地址1这些虚假的mac填满了CAM表.23攻击者就会看到B到D的数据4MACMAC地址泛洪攻击地址泛洪攻击非法非法DHCPDHCP服务器服务器DHCPDHCP客户端客户端DHCPDHCP服务器服务器交换机未启用交换机未启用DHCPDHCP侦听功能侦听功能非法非法DHCPDHCP响应响应报文报文启用交换机的启用交换机的 DHCPDHCP侦听
4、功能侦听功能DHCPDHCP欺骗攻击欺骗攻击01 二层网络的安全问题交换机端口安全交换机端口安全交换机的Port-Security功能一、端口一、端口安全地址安全地址 接口启用安全功能后,通过什么依据来限制用户接入?就是就是端口安全地址端口安全地址!安全地址表项有三种表示方式:1、让使用端口动态学习到的MAC(SecureDynamic)2、手工在接口下进行配置(SecureConfigured)3、sticky MAC address(SecureSticky)交换机端口安全交换机端口安全二、二、惩罚惩罚1 1、何时启动惩罚?、何时启动惩罚?(1 1)MACMAC地址数量达到最大安全地址数量
5、地址数量达到最大安全地址数量(2 2)某个已经配置的安全地址的违规)某个已经配置的安全地址的违规2 2、惩罚的措施有哪些?、惩罚的措施有哪些?(1 1)P Protectrotect(2 2)R Restrictestrict(3 3)S Shutdownhutdown交换机端口安全交换机端口安全四、配置命令四、配置命令1 1、开启端口安全、开启端口安全switch(config-if)#switchport mode accessswitch(config-if)#switchport mode accessswitch(config-if)#switchport port-security
6、switch(config-if)#switchport port-security2 2、设置最大安全地址数目设置最大安全地址数目switch(config-if)#switchport port-security maximum numberswitch(config-if)#switchport port-security maximum number3 3、设置安全地址获取方式、设置安全地址获取方式 switch(config-if)#switchport port-security mac-address switch(config-if)#switchport port-security mac-address?4 4、设置违规响应动作设置违规响应动作switch(config-if)#switchport port-security violation?switch(config-if)#switchport port-security violation?交换机端口安全交换机端口安全THANKS
