交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。

交换机端口安全的配置。

【背景描述】

1、什么是ARP？

ARP 协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC 地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

2、ARP协议的工作原理

正常情况下，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

PC 1

IP: 192.168.0.100 MAC : 00-C0-9F-86-C2-5C

PC1 ARP 表 00-50-18-21-C0-E1 192.168.0.1

§ PC1 Ping PC2

PC1与PC2的通信过程

3、常见的ARP攻击类型

ARP 请求(目标: FF:FF:FF:FF:FF:FF)

ARP应答(目标: PC1的MAC)

ICMP 请求

ICMP 应答

PC 3

PC 2

IP: 192.168.0.1 MAC : 00-50-18-21-C0-E1

PC2 ARP 表

192.168.0.100 00-C0-9F-86-C2-5C

PC 4

PC 5

MAC : 00-50-18-21-C0-E1

MAC : AA-BB-CC-DD-EE-FF

交换机的IP-MAC-PORT绑定可以很好地解决ARP欺骗行为，保护网络的安全。【实

验拓扑】

【实验设备】D-Link 二层交换机1 台，测试PC2 台，网线若干。【实验步骤】

初始阶段，绑定的数目为零。

开始的时候测试PC连接在交换机的第一个端口，此时与路由器通信正常。

将此计算机从第一端口移至1-8端口的任一端口，它与路由器的通信仍然正常，因为我们已经将192.168.1.11&00-16-d3-b8-70-08 这个地址对绑定到了1-8端口。将此计算机连接到9-16端口的任一端口，此时它与路由器的通信中断，因为我们没有在9-16端口上绑定192.168.1.11&00-16-d3-b8-70-08 。

此时将测试计算机连接到交换机的1-8端口任意一口，然后将此计算机的IP地址修改为192.168.1.12，然后测试与路由器的通信。

虽然仍然连接在1-8端口中，但是由于修改了此计算机的IP地址，也已经被交换机所阻止其通信。如果修改了计算机的MAC地址，结果也是同样的。

要想使此交换机可以在1-16端口中正常通信，可以修改此ip-mac地址对所绑定的端口为1-16。

在交换机上配置了IMP功能以后，交换机会检查每个数据包的源IP地址和MAC， 对于没有在交换机内记录的IP和MAC地址的计算机所发出的数据包都会被交换机所阻止，这也从根源上杜绝了ARP病毒的攻击。IMP功能也有效地防止了内部网络某些人出于某些目的擅自修改自己计算机的IP、MAC地址或者交换机端口号的行为。从而保障了网络的安全。

注：在未启用IMP功能的交换机端口上所连接的计算机则不受以上规则的限制。

端口安全：配置每个端口能够学习到的最大MAC地址数

DGS-3200-16:4#config port_security ports max_learning_addr 1 Command: config pmax_learning_addr 1 Success.

ort_security ports

1-8 admin_state enable

1-8 admin_state enable

端口隔离：端口隔离允许进一步把VLAN分成更小的端口组从而帮助减少VLAN上的流量。

语法config traffic_segmentation forward_list [null | ] 描述config traffic_segmentation 命令用于在交换机上配置端口隔离。参数 −指定要配置端口隔离的端口或端口范围。forward_list −指定将从上述端口列表中的指定端口接收转发帧的端口范围。

null −没有指定端口。 −为转发表指定一个端口范围。该列表必须位于之前指定为端口隔离的同一台交换机上(即在上述指定流量分割之后）。

例：配置1-8端口只能与连接在16端口的路由器通信，1-8端口之间则不能互通。 DGS-3200-16:4#config traffic_segmentation 1-8 forward_list 16Command: config traffic_segmentation 1-8 forward_list 16 Success.

安全引擎网络上的恶意主机将通过数据包泛洪（ARP风暴）或其它方法对交换机进行周期性攻

击。这些攻击可能会增加CPU的利用率以致于超过它本身的能力。为了缓解这个问题需要把安全引擎功能添加到交换机的软件中。安全引擎能在交换机受到攻击时通过最小化交换机的负载来帮助交换机实现全面操作，使其能在有限带宽的网络中转发基本数据包。当交换机（a）接收到太多需要处理的数据包或（b）使用太多的内存，它将进入Exhausted模式。当处于这种模式，交换机在一定的时间间隔内只能接收一小部分ARP和IP广播数据包。每五秒钟交换机将查看在交换机上是否有太多的数据包泛洪。如果超过阀值上限，交换机将在五秒内限制和接收一小部分入仓ARP和IP广播数据包。待到下一个五秒检测间隔时，交换机将重新检测数据包的入仓数据流。如果泛洪终止，交换机将重新开始接收所有的数据包。然而，如果检测显示交换机上有太多的数据包泛洪在继续，它将花上之前停止时间的两倍来接收一小部分ARP和IP广播数据包。限制入舱ARP和IP广播数据包所用的两倍时间将持续，直到达到最大时间320秒，并从这点开始的每次停顿都将是320秒直到恢复为正常的入舱数据流为止。

# SAFEGUARD_ENGINE DES-3800:admin#config safeguard_engine state enable cpu_utilization rising 50falling 30 trap log enable Command: config safeguard_engine state enable cpu_utilization rising 50 falling30 trap log enable Success. DES-3800:admin#

state [enable | disable] – 选择防护引擎功能的运行状态为启用或禁用。cpu_utilization – 选择此选项基于以下定值来触发防护引擎功能为启用：

• rising -用户可以设置一个增加CPU使用率的百分比一旦CPU• falling -用户可以设置一个降低CPU使用率的百分比一旦使用率上升到该百分比，防

CPU使用率下降到这个百分trap_log [enable | disable] – 选择一旦防护引擎被一个高的CPU使用率激活后限制