第七章 端口安全_思科实验

太阁网络

7.1 思科实验：

主要此处的PC1是用Router模拟，改了个图标。

先看一下SW1的E0/1接口的2层信息，默认管理模式为dynamic auto或者 dynamic desirable，下图中显示我的是 dynamic desirable，这种情况下就算接口工作在access状态，Port security也是不可启用的，所以先把接口管理模式设置为access。

把接口管理状态改为access

现在我们再看一下，接口的管理模式。发现已经改为access模式。

小操作：

我们先不开启port security，先到router上，no shutdown 在开启，先让switch学习到一个MAC地址信息，来测试一下这个接口当被黑客攻击的时候switchMAC地址表信息是怎样。

让router不停更换MAC地址，来让switch不停学习。为了模拟真实写  我们在交换机创建一个vlan ，把接口划到vlan中去。

创建vlan100，把e0/0接口划分到vlan100中。

在SW1上面查看一下mac地址，发现已经有了vlan100的地址，接口为E0/1

去R1上面看一下mac地址，看看是不是交换机上面这个。下图mac地址和上图一致。

R1的接口MAC地址为aabb.cc00.5000

Router 源MAC地址是不可以改的，但是不修改MAC地址情况下能够让router通过这个接口发送帧的时候来改变源MAC地址，这个是可以的，我们修改下。

R1(config)#int e0/0                                           进入接口               

R1(config-if)#mac-address 1234.1234.1234                      设置MAC

现在就是设置了一个管理型的MAC地址，再来看下R1的MAC地址。

Bia的地址依旧是本身的地址，就是说 router ROM中源MAC没有改变，但是在发送数据的时候会使用 1234.1234.1234，在去ping广播，之后查看 SWITCH MAC地址。

现在是同一vlan和接口学习2个MAC地址，不停的修改MAC让switch不停学习，最终MAC地址表会学习慢 ，导致正常的PC不能学习，收到流量就会泛红。我们现在把这个接口MAC地址信息去掉

R1(config)#int e0/0                    

R1(config-if)#no mac-address 1234.1234.1234

现在在switch上把e0/0接口关闭，让MAC地址还原。接着在接口上启用快速端口，开启

int e0/0

Shutdown

spanning-tree portfast

no shutdown

在switch接口上开启 port security ，记得先开access，

SW1(config)#int e0/0

SW1(config-if)#switchport port-security                       开启

SW1(config-if)#switchport port-security violation shutdown    设置shutdown

SW1(config-if)#switchport port-security maximum 1            最大白名单

开启之后 查看接口的port security信息

上图信息：

port security ：enabled       开启状态

Port staus ：               是Secure-up 表示该接口被保护 接口是UP

Violation Mode：          惩罚的行为是shutdown

aximum MAC Addresses      允许最大学习MAC地址是一个

Total MAC Addresses        当前已经学习到一个，是aabb.cc00.1000:10 这个地址 所属于vlan100

下面在R1上对switch发起攻击  把MAC地址修改

修改完MAC，发现switch就会报告日志,说这个接口出现了一个问题，SW1已经把这个接口改为err-disable state状态，因为学习到一个黑名单地址，这个地址是1234.1234.1234

查看接口状态，现在e0/0 变为err-disable state状态

再查看接口port security，该接口已经被惩罚处理，shutdown关闭。

再看port-security ,显示在Et0/0接口学习到一个白名单地址后，又学习到一个黑名单地址。目前接口状态已经被关闭

被处罚关闭的接口如何开启？（手工开启，因为现在本身接口物理属于开启状态，只是逻辑被关闭，所以需要在接口下先配置关闭，然后再开启。）

现在这个接口状态是UP，port security学习到白名单地址（刚才的伪mac地址），交换机接口特性：接口关闭以后，该接口的MAC地址表项就会没有，然后再开启以后，获取的mac地址为合法地址（1234.1234.1234.1234），把这个地址加入到了合法白名单。

上图可以看到端口保护已经开启，为secure-up状态。最大MAC地址还是1个，现在有一个MAC地址是1234.1234.1234(伪地址)

再下图中可以看到我们当前学习到的地址为1234.1234.1234 学习方式是securedynamic 动态学习到的，动态学习的缺点，只要接口shutdown之后，学习到的地址会消失。

接下来不希望消失怎么办。

SW1(config-if)#switchport port-security mac-address sticky    开启粘滞MAC地址特性

下面在查看接口，状态变是，为securesticky

再show run 看下该接口

show run int e0/0

会发现多出上图这条命令，这个命令是它自动生成的，因为我通过这个接口学习到白名单地址，我就会把白名单地址记录在接口上。

把这个接口shutdown之后  

会发现这个地址依旧还在

接下来，把PC1的mac地址还原回去

然后把SW1的接口UP。测试一下是否会做一个处罚行为

已经做了处罚行为。

开启SW接口之后，马上进入err-disable状态，因为我记录的1234.1234.1234这个地址还在，而现在PC1发送的帧源MAC地址变了，SW就认为这是黑名单地址，对于黑名单地址，SW1 就要对接口做一个惩罚

针对上面有两种方式解决。

自动恢复

SW1(config)#errdisable recovery cause psecure-violation     通过什么样的原因导致接口接口errdisable我允许你自动恢复，我们是通过psecure-violation原因。

SW1(config)#errdisable recovery interval 30                我们修改为自动恢复需要30S

手动恢复，更改mac地址。

手动恢复，先把SW1的接口shutdown，再关闭mac粘滞特性

关闭之后当前白名单地址就消失了，因为状态改为了自动模式，自动模式下接口关闭，地址自动消失

下面需要手工键入MAC地址，键入之前一定把接口shutdown，查看R1MAC 为bia aabb.cc00.5000

在SW1接口下键入aabb.cc00.5000地址，开启mac粘滞特性

查看port-sec地址，发现类型又变了，secureconfigured 告诉你这个地址是手工配置上去的

接下来把SW1的接口UP就可以使用了。

如果router再换一个mac地址，那么switch 接口就会进入errdisable状态，和粘滞特性一样   除非把MAC地址命令删除掉，不然不管你接口是down 还是up，MAC地址信息会一直存在。

实验完成！以上实验为了让你们体验一下开启port-sec后，针对mac变化做什么处理。

——·扫描下方微信二维码，回复“实验手册”。即可领取资料或为你答疑解惑。·——