2009-11-10

在 Switch Port上鎖mac - port security

檢查
#sh port-security

設定鎖定
(config)#int f0/9
(config-if)#switchport port-security
(config-if)#switchport port-security mac-address sticky
(config-if)#switchport port-security violation restrict

取消鎖定
(config-if)#no switchport port-security dynamic interface f0/9
(config-if)#no switchport port-security dynamic

馬上生效(動作後只學到第1個mac)
#clear port-security sticky

--------------------參考資料---------------------------
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻擊。通過配置 Port Security 可以控制:
‧ 埠上最大可以通過的 MAC 位址數量
‧ 埠上學習或通過哪些 MAC 地址
‧ 對於超過規定數量的 MAC 處理進行處理

埠上學習或通過哪些 MAC 位址,可以通過靜態手工定義,也可以在交換機自動學習
交換機動態學習埠 MAC ,直到指定的 MAC 位址數量,交換機關機後重新學習。
目前較新的技術是 Sticky Port Security ,交換機將學到的 mac 位址寫到埠配置中,交換機重啟後配置仍然存在。

對於超過規定數量的 MAC 處理進行處理一般有三種方式(針對交換機型號會有所不同):
‧ Shutdown 。這種方式保護能力最強,但是對於一些情況可能會為管理帶來麻煩。
‧ Protect 。丟棄非法流量,不報警。
‧ Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升但是不影響交換機使用。推薦使用這種方式。

配置方式:只接受第一次接入該埠電腦的mac位址, 預設maxumum = 1
Switch#config terminal
Switch(config)#interface f0/9 進入需要配置的埠
Switch(config-if)#switchport mode access 設置為交換模式
Switch(config-if)#switchport port-security 打開埠安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//針對非法接入電腦,埠處理模式:
| protect: 丟棄資料包,不發警告
| restrict: 丟棄數據包,在console發警告
| shutdown: 關閉埠為err-disable狀態,除非管理員手工啟動,否則該埠失效
配置 port-security 最大 mac 數目為2,違背處理方式,恢復方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30

通過配置 sticky port-security學得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
-----------------------------------------------------
綁定某PORT只允許哪些MAC進出
Switch(config)#Mac access-list extended MAC20
Switch(config)#permit host 0011.5b18.a56f any
Switch(config)#permit any host 0011.5b18.a56f
Switch(config-if )#interface Fa0/2
Switch(config-if )#mac access-group MAC20 in
-----------------------------------------------------

ex,block some attacker mac xxxx.xxxx.xxxx
Ans: deny host xxxx.xxxx.xxxx any
permit any any



mac地址與ip地址綁定
基本原理:
在交換機內建立mac位址和ip位址對應的映射表。埠獲得的ip和mac位址將匹配該表,不符合則丟棄該埠發送的資料包。

實現方法:
Switch#config terminal
Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa

ex,
快速封鎖現存的某ip 192.168.1.120
arp 192.168.1.120 0000.0000.0000 arpa


配置MAC位址持續時間
1) 進入介面模式 interface 介面
2) 配置持續時間
switchport port-security aging time type [absolute | inactivity]
absolute模式:當持續時間過後,安全埠上的地址將被絕對刪除
inactivity模式:在持續時間內,沒有使用的埠將被刪

該配置的主要注意事項:
需要將網段內所有IP都建立MAC位址映射,沒有使用的IP位址可以與0000.0000.0000建立映射。
否則該綁定對於網段內沒有建立映射的IP位址無效。

2023 灌籃高手 SLAM Dunk

 2023 哩哩摳摳 昨天是難得的颱風假。 去看了二輪的灌籃高手。 電影院一堆的小朋友阿。 以下有小暴雷。 雖然我不算是非常的迷灌籃高手,但是還是很喜歡這部作品。 井上老師的畫風我也非常喜歡。 整部片是以良田的角度來看的。 以前我並不是很熟習良田這個角色,但是看到良田能重新站起來...