交換機(jī)接入安全端口安全默認(rèn)，MAC動(dòng)態(tài)學(xué)習(xí)，允許任何用戶接入。MAC表MACAVLAN1F0/1MACBVLAN1F0/2MACCVLAN1F0/3MACDVLAN1F0/4當(dāng)未授權(quán)用戶E接入端口F0/1，則交換機(jī)會(huì)自動(dòng)刷新MAC表，并允許E接入，則E便可以訪問(wèn)網(wǎng)絡(luò)資源?？梢酝ㄟ^(guò)多種方式來(lái)限制E對(duì)網(wǎng)絡(luò)的訪問(wèn)，其中一種便是端口安全。實(shí)驗(yàn)：端口安全1.在接入層交換機(jī)S29上，對(duì)于端口F0/1,2.,3,4只允許主機(jī)ABCD接入，違背關(guān)閉端口.S29（config）#intf0/1#swhost啟用快速端口#swport-security啟用端口安全#swport-securityagingstatic學(xué)習(xí)靜態(tài)#swport-securitymaximun1關(guān)聯(lián)一個(gè)MAC（默認(rèn)）#swport-securitymac-address000c.1111.111a靜態(tài)綁定#swport-securityviolationshutdown違背關(guān)閉S29(config)#intf0/2#swhost啟用快速端口#swport-security啟用端口安全#swport-securityagingstatic學(xué)習(xí)靜態(tài)#swport-securitymaximun1關(guān)聯(lián)一個(gè)MAC（默認(rèn)）#swport-securitymac-address000c.1111.111b靜態(tài)綁定#swport-securityviolationshutdown違背關(guān)閉注：端口F0/3和F0/4的配置同上.2,在交換機(jī)S3560上，在F0/1端口只允許主機(jī)ABC接入，其它禁止，違背受限.S3560（config）#intf0/1#swhost啟用快速端口（也可用Trunk）#swport-security啟用端口安全#swport-securityagingstatic學(xué)習(xí)靜態(tài)#swport-securitymaximun3關(guān)聯(lián)3個(gè)MAC(默認(rèn)1個(gè))#swport-securitymac-address000c.1111.111a靜態(tài)綁定#swport-securitymac-address000c.1111.111b#swport-securitymac-address000c.1111.111c#swport-securityviolationrestric違背受限Protect違背保護(hù)3.錯(cuò)誤禁用的恢復(fù)手工恢復(fù)先shutdown,后noshutdown自動(dòng)恢復(fù)S(config)#errdisablerecoverycausepsecurity-violation重新啟用的原因#errdisablerecoveryinterval30恢復(fù)時(shí)間間隔注：1.啟用端口安全時(shí)，只能工作在access或trunk模式.(默認(rèn)dynamaicauto)配置時(shí)，應(yīng)先將端口關(guān)閉.802.1X認(rèn)證.服務(wù)器建立帳號(hào)：A123AB123BC123CD123D.主機(jī)開啟802.1X認(rèn)證.在交換機(jī)上啟用802.1X認(rèn)證.CCNP301頁(yè)分析：主機(jī)訪問(wèn)網(wǎng)絡(luò)，先發(fā)送802.1X認(rèn)證消息給交換機(jī)，交換機(jī)將認(rèn)證消息發(fā)送到服務(wù)器認(rèn)證.認(rèn)證通過(guò)交換機(jī)將端口置為授權(quán)狀態(tài)，可以轉(zhuǎn)發(fā)常規(guī)流量未通過(guò)未授權(quán)狀態(tài)，不能轉(zhuǎn)發(fā)常規(guī)流量實(shí)驗(yàn)：Aaanew-modelRadius-serverhost172.16.1.1key123Aaaauthenticationdot1xdefaultgroupradiusDot1xsystem-auth-controlIntf0/15SwhostDot1xport-controlauto防范欺騙攻擊一.DHCP監(jiān)聽I(yíng)P設(shè)置：靜態(tài)自動(dòng)獲取(DHCP)DHCPIP地址子網(wǎng)掩碼網(wǎng)關(guān)DNS分析：DHCP基于廣播，同一網(wǎng)絡(luò)中的所有主機(jī)都可以收到.惡意用戶D發(fā)送偽造的DHCP應(yīng)答1.非法的IP地址導(dǎo)致用戶不能聯(lián)網(wǎng)2.合法的IP地址，但將網(wǎng)關(guān)設(shè)為自己D中間人攻擊導(dǎo)致用戶將訪問(wèn)外網(wǎng)的流量發(fā)送到D，然后D將重要信息進(jìn)行過(guò)濾，如上網(wǎng)帳號(hào)、郵箱帳號(hào)、電子銀行帳號(hào)等。DHCP監(jiān)聽.防止偽造的DHCP應(yīng)答可信應(yīng)答通過(guò)不可信應(yīng)答被丟棄注：?jiǎn)⒂肈HCP監(jiān)聽后，所有端口被視為不可信，應(yīng)將連接DHCP服務(wù)器的端口設(shè)為可信的。.可以限制用戶發(fā)送DHCP請(qǐng)求的速率，防止DHCP請(qǐng)求病毒泛洪攻擊可以建立一個(gè)DHCP綁定表，用于防止IP欺騙。MACIP租用期限對(duì)應(yīng)端口A192.168.1.18F0/1B192.168.1.28F0/2C192.168.1.38F0/3D192.168.1.48F0/4分析教材CCNP302頁(yè)實(shí)驗(yàn)：DHCP監(jiān)聽#shipdhcpsnoopingbinding源IP地址防護(hù)(防止IP欺騙)惡意用戶攻擊服務(wù)器、交換機(jī)、路由器等設(shè)備，為防止被日志記錄，追查到自己偽造IP地址其它用戶不存在的用戶防范：?jiǎn)⒂肐P源防護(hù)，收到包，檢查IP和MAC與端口的對(duì)應(yīng)關(guān)系是否合法?？梢越柚贒HCP監(jiān)聽綁定表，也可以手工設(shè)置綁定表。1.借助DHCP監(jiān)聽綁定表。CCNP教材304例：用戶A(192.168.1.1)假冒用戶D(192.168.1.4)的IP攻擊服務(wù)器。從端口F0/1發(fā)給交換機(jī)：MAC網(wǎng)關(guān)MACA192.168.1.4192.168.10.1攻擊報(bào)文F0/1MACA192.168.1.1F0/1IP或MAC與端口的對(duì)應(yīng)關(guān)系與DHCP監(jiān)聽綁定表內(nèi)容不同。偽造，丟棄。2.手工綁定S3560(config)#ipsourcebinding000c.1212.121avlan1192.168.1.1intf0/1MACVLANIP接口注：(1)無(wú)論采用DHCP還是靜態(tài)IP,都必須啟用ipdhcpsnooping.(2)如果同時(shí)希望防止MAC欺騙，則必須啟用端口安全swport-security.實(shí)驗(yàn)：防止IP欺騙.動(dòng)態(tài)ARP檢測(cè)DAI.防止ARP欺騙。分析教材CCNP306用戶上網(wǎng)，ARP網(wǎng)關(guān)的MAC.

.A廣播查詢"1.254你的MAC是多少，請(qǐng)回答".所有主機(jī)都能收到，但正常只能網(wǎng)關(guān)回答："1.254的MAC是MACE0"主機(jī)D,ARP病毒搶先回答：1.254MACD3.主機(jī)A在二層將用MACD封裝.最終，主機(jī)A訪問(wèn)外網(wǎng)的所有流量都將被轉(zhuǎn)發(fā)到D.中間人攻擊D可以對(duì)重要信息進(jìn)行過(guò)濾，如上網(wǎng)帳號(hào)、郵箱帳號(hào)、電子銀行帳號(hào)等。注：與DHCP欺騙的區(qū)別DHCP欺騙假冒網(wǎng)關(guān)IPARP欺騙假冒網(wǎng)關(guān)MAC解決辦法：（一）殺毒，ARP防火墻（二）手工ARP綁定啟動(dòng)項(xiàng)arp.batArp-s192.168.1.25400-0c-01-12-12-2fArp-s192.168.1.200-0c-01-12-12-12Arp-s192.168.1.300-0c-01-12-12-13也可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn).（三）動(dòng)態(tài)ARP檢查.1.采用DHCP綁