1.4　交换机端口安全

1.4.1　端口安全概述

交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两类：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定。

限制交换机端口的最大连接数可以控制交换机端口下连的主机数，以防止用户进行恶意的ARP欺骗。

交换机端口地址的绑定，可针对MAC地址、IP地址、IP+MAC地址进行灵活的绑定，从而实现对用户的严格控制。保证用户的安全接入和防止常见的内网的网络攻击。如：ARP欺骗，IP、MAC地址欺骗，IP地址攻击等。

1.常用的攻击

通常，在局域网内部，常常受到一些攻击，这些攻击包括：

（1）MAC攻击：每秒发送成千上万个随机源MAC的报文，在交换机的内部，大量广播包向所有端口转发，使MAC地址表空间很快就被不存在的源MAC地址占满，没有空间学习合法的MAC地址。

（2）ARP的攻击：攻击者不断向对方计算机发送有欺诈性质的ARP数据包，数据包内包含与当前设备重复的MAC地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：

①不断弹出“本机的×××段硬件地址与网络中的×××段地址冲突”的对话框。

②计算机不能正常上网，出现网络中断的症状。

由于这种攻击是利用ARP请求报文进行“欺骗”的，防火墙会误认为这是正常的请求数据包，不予拦截，所以普通的防火墙很难抵挡这种攻击。

（3）IP、MAC地址欺骗：攻击者用网络盗用别人的IP或MAC地址，进行网络攻击。

端口安全的目的就是防止局域网的内部攻击（如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等）对用户、网络设备造成破坏。

2.端口安全功能

所谓端口安全，是指通过限制允许访问交换机上某个端口的MAC地址以及IP地址（可选）来实现对该端口输入的严格控制。当为安全端口（打开了端口安全功能的端口）配置了安全地址后，除了源地址为这些安全地址之外，该端口将不转发其他任何报文。同时，可以将MAC地址和IP地址绑定起来作为安全地址，也可以通过限制端口上能包含的最大安全地址个数，如最大个数为1，使连接这个端口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。

交换机端口安全的基本功能包括：

（1）限制交换机端口的最大连接数。

（2）端口的安全地址绑定，如在端口上同时绑定IP和MAC地址，也可以防ARP欺骗；在端口上绑定MAC地址，并限定安全地址数为1，可以防止恶意DHCP请求。

3.安全违例的处理方式

在配置了端口安全功能后，在实际应用中，如果违反了端口安全，将产生一个安全违例，产生安全违例有3种处理方式：

（1）protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包，这也是默认配置。

（2）restrict：当违反端口安全时，将发送一个Trap通知。

（3）shutdown：当违反端口安全时，将关闭端口并发送一个Trap通知。

4.配置端口的一些限制

配置端口安全时有如下一些限制：

（1）一个安全端口不能是一个Aggregate Port，只能在一个Access接口上配置。

（2）一个安全端口不能是SPAN的目的端口。

（3）交换机最大连接数限制默认的处理方式是protect。

（4）端口安全和802.1x认证端口是互不兼容的，不能同时启用。

（5）安全地址是有优先级的，从低到高的顺序是：

①单MAC地址。

②单IP地址/MAC地址+IP地址（谁后设置谁生效）。

（6）单个端口上的最大安全地址个数为128个。

（7）在同一个端口上不能同时应用绑定IP的安全地址和安全ACL，这两种功能是互斥的。

（8）支持绑定IP地址的数量是有限制的。详细的参数见表1-7。