cisco交換機MAC/CAW***防範

  一．前言
本文所提到的***和欺騙行爲主要針對鏈路層和網絡層。在網絡實際環境中，其來源可歸納爲兩個途徑：人爲實施；病毒或蠕蟲。人爲實施一般是指使用一些***的工具對網絡進行掃描和嗅探，獲取管理賬戶和相關密碼，在網絡上中安插***，從而進行進一步竊取機密文件。***和欺騙過程每每比較隱蔽和安靜，但對於信息安全要求高的企業危害是極大的。而來自***或者病毒及蠕蟲的***和每每會偏離***和欺騙自己的目的，現象有時很是直接，會帶來網絡流量加大、設備 CPU 利用率太高、二層生成樹環路直至網絡癱瘓。
目前這類***和欺騙工具已經很是成熟和易用，而目前企業在部署這方面的防範還存在不少不足，有不少工做要作。思科針對這類***已有較爲成熟的解決方案，主要基於下面的幾個關鍵的技術： 
　　Port Security feature 
　　DHCP Snooping 
　　Dynamic ARP Inspection (DAI) 
　　IP Source Guard 
下面部分主要針對目前很是典型的二層***和欺騙說明如何在思科交換機上組合運用和部署上述技術，從而實現防止在交換環境中實施「中間人」***、 MAC/CAM ***、 DHCP ***、地址欺騙等，更具意義的是經過上面技術的部署能夠簡化地址管理，直接跟蹤用戶 IP 和對應的交換機端口；防止 IP 地址衝突。同時對於大多數對二層網絡形成很大危害的具備地址掃描、欺騙等特徵的病毒能夠有效的報警和隔離。
二．實例
1 MAC/CAM***的防範 
1.1 MAC/CAM***的原理和危害 
交換機主動學習客戶端的 MAC 地址，並創建和維護端口和 MAC 地址的對應表以此創建交換路徑，這個表就是一般咱們所說的 CAM 表。 CAM 表的大小是固定的，不一樣的交換機的 CAM 表大小不一樣。 MAC/CAM ***是指利用工具產生欺騙 MAC ，快速填滿 CAM 表，交換機 CAM 表被填滿後，交換機以廣播方式處理經過交換機的報文，這時***者能夠利用各類嗅探***獲取網絡信息。 CAM 表滿了後，流量以洪泛方式發送到全部接口，也就表明 TRUNK 接口上的流量也會發給全部接口和鄰接交換機，會形成交換機負載過大，網絡緩慢和丟包甚至癱瘓。
1.2典型的病毒利用MAC/CAM***案例 
曾經對網絡照成很是大威脅的 SQL 蠕蟲病毒就利用組播目標地址，構造假目標 MAC 來填滿交換機 CAM 表。其特徵以下圖所示： 
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3使用 Port Security feature 防範MAC/CAM*** 
思科 Port Security feature 能夠防止 MAC 和 MAC/CAM ***。經過配置 Port Security 能夠控制： 
l        端口上最大能夠經過的 MAC 地址數量 
l         端口上學習或經過哪些 MAC 地址 
l        對於超過規定數量的 MAC 處理進行違背處理 
端口上學習或經過哪些 MAC 地址，能夠經過靜態手工定義，也能夠在交換機自動學習。交換機動態學習端口 MAC ，直到指定的 MAC 地址數量，交換機關機後從新學習。目前較新的技術是 Sticky Port Security ，交換機將學到的 mac 地址寫到端口配置中，交換機重啓後配置仍然存在。 
對於超過規定數量的 MAC 處理進行處理通常有三種方式（針對交換機型號會有所不一樣）： 
l        Shutdown 。這種方式保護能力最強，可是對於一些狀況可能會爲管理帶來麻煩，如某臺設備中了病毒，病毒間斷性僞造源 MAC 在網絡中發送報文。 
l        Protect 。丟棄非法流量，不報警。 
l        Restrict 。丟棄非法流量，報警，對比上面會是交換機 CPU 利用率上升可是不影響交換機的正常使用。推薦使用這種方式。 
1.4配置 
port-security 配置選項：
Switch(config-if)# switchport port-security ? 
aging Port-security aging commands 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 
配置 port-security 最大 mac 數目，違背處理方式，恢復方法
Cat4507(config)#int fastEthernet 3/48 
Cat4507 (config-if)#switchport port-security 
Cat4507 (config-if)#switchport port-security maximum 2 
Cat4507 (config-if)#switchport port-security violation shutdown 
Cat4507 (config)#errdisable recovery cause psecure-violation 
Cat4507 (config)#errdisable recovery interval 30 
經過配置 sticky port-security學得的MAC 
interface FastEthernet3/29 
switchport mode access 
switchport port-security 
switchport port-security maximum 5 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 000b.db1d.6ccd 
switchport port-security mac-address sticky 000b.db1d.6cce 
switchport port-security mac-address sticky 000d.6078.2d95 
switchport port-security mac-address sticky 000e.848e.ea01 
1.5使用 其它技術 防範MAC/CAM*** 
除了 Port Security 採用 DAI 技術也能夠防範 MAC 地址欺騙。