cisco交换机MAC/CAW***防范

  一．前言
本文所提到的***和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可归纳为两个途径：人为实施；病毒或蠕虫。人为实施一般是指使用一些***的工具对网络进行扫描和嗅探，获取管理账户和相关密码，在网络上中安插***，从而进行进一步窃取机密文件。***和欺骗过程每每比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自***或者病毒及蠕虫的***和每每会偏离***和欺骗自己的目的，现象有时很是直接，会带来网络流量加大、设备 CPU 利用率太高、二层生成树环路直至网络瘫痪。
目前这类***和欺骗工具已经很是成熟和易用，而目前企业在部署这方面的防范还存在不少不足，有不少工做要作。思科针对这类***已有较为成熟的解决方案，主要基于下面的几个关键的技术： 
　　Port Security feature 
　　DHCP Snooping 
　　Dynamic ARP Inspection (DAI) 
　　IP Source Guard 
下面部分主要针对目前很是典型的二层***和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而实现防止在交换环境中实施“中间人”***、 MAC/CAM ***、 DHCP ***、地址欺骗等，更具意义的是经过上面技术的部署能够简化地址管理，直接跟踪用户 IP 和对应的交换机端口；防止 IP 地址冲突。同时对于大多数对二层网络形成很大危害的具备地址扫描、欺骗等特征的病毒能够有效的报警和隔离。
二．实例
1 MAC/CAM***的防范 
1.1 MAC/CAM***的原理和危害 
交换机主动学习客户端的 MAC 地址，并创建和维护端口和 MAC 地址的对应表以此创建交换路径，这个表就是一般咱们所说的 CAM 表。 CAM 表的大小是固定的，不一样的交换机的 CAM 表大小不一样。 MAC/CAM ***是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理经过交换机的报文，这时***者能够利用各类嗅探***获取网络信息。 CAM 表满了后，流量以洪泛方式发送到全部接口，也就表明 TRUNK 接口上的流量也会发给全部接口和邻接交换机，会形成交换机负载过大，网络缓慢和丢包甚至瘫痪。
1.2典型的病毒利用MAC/CAM***案例 
曾经对网络照成很是大威胁的 SQL 蠕虫病毒就利用组播目标地址，构造假目标 MAC 来填满交换机 CAM 表。其特征以下图所示： 
[img,523,474]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp2.files/dsfsa1.jpg[/img]
1.3使用 Port Security feature 防范MAC/CAM*** 
思科 Port Security feature 能够防止 MAC 和 MAC/CAM ***。经过配置 Port Security 能够控制： 
l        端口上最大能够经过的 MAC 地址数量 
l         端口上学习或经过哪些 MAC 地址 
l        对于超过规定数量的 MAC 处理进行违背处理 
端口上学习或经过哪些 MAC 地址，能够经过静态手工定义，也能够在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后从新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。 
对于超过规定数量的 MAC 处理进行处理通常有三种方式（针对交换机型号会有所不一样）： 
l        Shutdown 。这种方式保护能力最强，可是对于一些状况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。 
l        Protect 。丢弃非法流量，不报警。 
l        Restrict 。丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升可是不影响交换机的正常使用。推荐使用这种方式。 
1.4配置 
port-security 配置选项：
Switch(config-if)# switchport port-security ? 
aging Port-security aging commands 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 
配置 port-security 最大 mac 数目，违背处理方式，恢复方法
Cat4507(config)#int fastEthernet 3/48 
Cat4507 (config-if)#switchport port-security 
Cat4507 (config-if)#switchport port-security maximum 2 
Cat4507 (config-if)#switchport port-security violation shutdown 
Cat4507 (config)#errdisable recovery cause psecure-violation 
Cat4507 (config)#errdisable recovery interval 30 
经过配置 sticky port-security学得的MAC 
interface FastEthernet3/29 
switchport mode access 
switchport port-security 
switchport port-security maximum 5 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 000b.db1d.6ccd 
switchport port-security mac-address sticky 000b.db1d.6cce 
switchport port-security mac-address sticky 000d.6078.2d95 
switchport port-security mac-address sticky 000e.848e.ea01 
1.5使用 其它技术 防范MAC/CAM*** 
除了 Port Security 采用 DAI 技术也能够防范 MAC 地址欺骗。