使用 Port Security feature 防范MAC/CAM攻击
2009-08-05 13:23
483 查看
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:
1 端口上最大可以通过的 MAC 地址数量
2 端口上学习或通过哪些 MAC 地址
3 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
1 Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
2 Protect 。丢弃非法流量,不报警。
3 Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.4配置
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置 port-security 最大 mac 数目,违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
1 端口上最大可以通过的 MAC 地址数量
2 端口上学习或通过哪些 MAC 地址
3 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
1 Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
2 Protect 。丢弃非法流量,不报警。
3 Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.4配置
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置 port-security 最大 mac 数目,违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
相关文章推荐
- 使用 Port Security feature 防范MAC/CAM攻击
- 关于switchport Port-security 使用遇到的一些问题
- Spring Security中<@security.authorize的使用
- 防范电池爆炸 如何正确使用本本电池 ZT
- android requestWindowFeature使用详解
- 使用WS-Security框架对信息进行加密与身份认证
- 使用动网论坛如何查杀和防范木马
- windows系统上使用VS编译器时对缓冲区溢出的防范措施
- webloigc 使用 spring-loaded 报错,java.lang.SecurityException: 无法定位登录配置
- MAC 使用 port 下载软件
- requestWindowFeature使用详解
- 使用WS-Security框架对信息进行加密与身份认证
- 关于Qt5 QSerialPort使用内存泄漏问题
- requestWindowFeature使用详解
- 使用PowerShell命令操纵Feature
- SSO单点登录Spring-Security+CAS+使用手册.doc
- requestWindowFeature使用详解
- spring security之httpSecurity使用示例
- requestWindowFeature使用详解
- Port Security Implementation