端口安全 | DHCP snooping

1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址，这就就只能是绑定的mac地址能够通过。

2、通过静态的端口绑定：将mac地址手工静态的绑定到相应的交换机的接口下。

sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1  //该接口属于vlan 1  

3、端口安全方式：

①设置端口安全的一些属性：

(config)#int f0/1   
(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC，默认是最多只能学习一个mac地址，可按需修改。
(config-if)#switchport port-security violation ?     //当违规时所执行的动作，一共有三个。
  protect   Security violation protect mode  // 丢弃、告警，告警日志通过syslog产生的
  restrict   Security violation restrict mode  //无声丢弃
  shutdown  Security violation shutdown mode  //默认的违规行为err-disable

②开启端口安全：

sw-3550(config)#int f0/1
sw-3550(config-if)#switchport mode access  //必须指定一个模式
sw-3550(config-if)#switchport port-security  //开启端口安全
sw-3550(config-if)#exit

③可以在端口安全下开启静态端口绑定：

端口安全下MAC地址绑定：配置这条命令先把端口关闭情况下配置
(config)#int f0/1
(config-if)#switchport port-security mac-address 0001.0001.0001
(config-if)#switchport port-security  //强制指定此接口连接的PC的MAC地址为0001.0001.0001，效果与手工静态绑定一致，就是多了一个违规后的动作。 

④可以把动态学习到的mac转为端口绑定地址，这个常用：

//把动态学习的MAC地址做一个静态映射，且没有老化时间概念，也就意味着这个接口以后只能连接特定PC，除非在交换机上面做相对应修改：
sw-3550(config)#in f0/1            
sw-3550(config-if)#switchport port-security mac-address sticky 
sw-3550(config-if)#switchport port-security 
sw-3550(config-if)#exit

 4、DHCP snooping：可以防御DHCP攻击，也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表，这个表中记录了每一个接口下pc的详细信息，包括mac地址、接口、所属vlan、IP地址等信息，然后交换机就根据这张扩展的mac地址变进行检查过滤。

5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态，该状态下会自动拒绝接收offer和DHCP  ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。

6、开启DHCP snooping后的工作机制：

①可以在接口下针对DHCP报文进行限速，防御黑客利用DHCP报文进行广播泛洪攻击。

②检查从PC收到的DHCP报文，如果PC发送的DHCP报文含有option 82的话则丢弃此报文，因为只有交换机采用权限在DHCP报文里面插入option 82选项（交换机还会在discover报文里面插入对应VLAN的gateway ip地址）。option82选项是交换机插入的，选项里面含有该接口所属vlan的网关IP地址。

③还能检测是否该pc恶意的替其他的pc退租。

DHCP snooping配置：

3550(config)#ip dhcp snooping  //全局开启
3550(config)#ip dhcp snooping vlan 100 //VLAN100启用

sw-3550(config)#int f0/2
sw-3550(config-if)#ip dhcp snooping trust  //将DHCP服务器的接口置为信任接口
sw-3550(config-if)#exit

//当时两个交换机时，需要处理option 82选项
sw-3550(config)#no ip dhcp snooping information option

//进行DHCP报文的限速，防止泛洪攻击
sw-3550(config)#int f0/6
sw-3550(config-if)#ip dhcp snooping limit rate 10
sw-3550(config-if)#exit

//基于源MAC和源IP地址的过滤
Ip dhcp snooping
Ip dhcp snooping vlan 10
ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表

Int f0/7
 Switchport port-security
 Ip verity source port-secuity
 Exit
//对从F0/7接口进入的报文，根据源IP地址和源MAC地址进行认证审查，是否满足扩展的CAM表

//说明：当网络中有DHCO服务器的时候，那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表，不需要手工写。

DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。

⑦DHCP snooping也可以用来防御arp攻击：原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。

配置：

ip dhcp snooping 
ip dhcp snooping vlan 10
ip arp inspextion vlan 10  //在vlan10里面使用扩展的mac表监控arp报文是否合法。
ip dhcp snooping limit 15  //限制arp包每秒发送的数量。