Gns3模拟器配置Cisco端口安全

原理篇 ：區域網路安全的實作

Port security 端口安全、

端口安全是對接入行為的一中控制，一般情況下，一個交換機的端口連接配接一台主機，即一個端口就應該對一個mac位址，如果一個端口上出現了2個mac位址，我們可以通過端口安全來限制一個接口上最大容納多少mac位址以及聲明哪個主機的mac可以連接配接這個接口。

交換機可以對非法接入端口的處理方式有三種：

protect：當已經超過所允許學習的最大mac位址數時，交換機将繼續工作，但是會把來自新主機的資料幀丢棄，不發任何警告資訊。

restrict ：當發生安全違規時，交換機将繼續工作，非法的資料通信仍然可以繼續，但是回向控制台發告警資訊。

shutdown：是指關閉端口為err-disable狀态，除非管理者可以再全局配置模式下使用errdisable recovery将接口從錯誤狀态中恢複過來，也可以直接進入接口重新激活接口。

注意：因為安全違規造成端口被關閉後，管理者可以再全局配置模式下使用errdisable recovery 将接口從錯誤狀态中恢複過來，也可以直接進入接口重新激活接口。

靜态學習Mac：靜态方式，通過指令配置，存儲在mac位址表中，增加到交換機的running config中。

動态學習Mac：動态學習Mac位址，這些位址僅存放在Mac位址表中，交換機重新開機或接口shutdown時會被移除。

sticky方式學習Mac：可以動态或者是手動配置，存儲在mac位址表中，同時會增加到running config中，交換機重新開機時接口不需要動态的重新配置。

交換機的某個接口連接配接了一台電腦，這台電腦的主人是一個attacker，它可以用某些軟體

發了好多的幀，裡面包含了10000個mac位址，而交換機的mac位址表是有限的，可以通過show sdm prefer 可以檢視交換機的可接收的單點傳播mac位址才5000個，此時mac位址表滿了之後，不能再有新的幀進來了，其實mac位址表空間滿了和空的mac位址表沒什麼差別，空的時候來一個幀就會範洪，網絡帶寬都被占用了，此時你的交換機的CPU使用率會很高<通過show process cpu檢視>。此時你交換機就變成了hub了，那這種情況怎麼阻止呢？

指令：

interface f0/1

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security mac-address sticky

switchport port-security violation shutdown

交換機的端口安全屬于資料鍊路層安全政策，也是企業網絡接入控制方案中的一種，他可以有效的限制非法桌面計算機的接入，也可以有效的防禦mac位址泛洪***。主要的功能是：限制一個交換機實體端口的最大mac資料，設定合法的接入主機的mac位址，制定違反端口安全政策後的行為。需要注意的是在配置交換機的端口安全之前必須聲明端口的模式，比如：switchport mode access，端口安全不能被應用到動态協商的端口模式中。

看一下拓撲：

測試連通性

2950交換機的端口安全配置情況

switchport port-security

switchport port-security maximum 4

switchport port-security mac-address 0060.5cc6.aab4

intface f0/2

switchpport mode access

switchport port-security violation restrict

檢視show run 資訊 ，發現沒有f0/1的違規政策，隻有f0/2的違規政策

因為f0/1的違規政策是shutdwon,是預設的政策，是以在show run資訊中沒有展現，可以檢視show Port-security

這樣就可以檢視到了。

也可以通過以下方式檢視端口的安全配置

更改PC7的mac位址，檢視交換機f0/1的情況，接口進入down狀态，

提示f0/1接口已經down了，違規記錄為：1

在HUB上再連接配接一台pc ,配置iP位址，會發現PC8與其他主機的通信是沒有問題的，會向控制台發送違規記錄。