了解 Cisco 交换机上的安全功能,并遇到了ip verify source port-security在接口上启用时使用选项 82 和 DHCP 的要求。
这与单独使用端口安全或 ip 源保护有何不同,为什么需要选项 82 才能使其工作?
这可能与上述问题有关,但我也想知道在使用这些功能时 MAC 地址表何时更新为 MAC 地址?
为什么在使用“ip verify source port-security”时 DHCP 需要选项 82?
网络工程
思科-ios
端口安全
ip-source-guard
2021-07-05 08:19:55
1个回答
这与单独使用端口安全或 ip 源保护有何不同,为什么需要选项 82 才能使其工作?
当您使用 ip verify source port-security 命令将 MAC 地址源过滤添加到 IP 源防护时,在获得 DHCP 租用之前不会学习客户端 MAC 地址。在此之前,除 DHCP 之外的所有非 IP 流量也将被阻止。
由于交换机在获得租约后才知道客户端的 MAC 地址,这就导致了一个问题,交换机如何知道从服务器到客户端的返回 DHCP 流量从哪里发送?由 DHCP 选项 82 插入的信息将此信息提供给交换机。但是,您确实需要确保您的 DHCP 服务器也支持选项 82。
这可能与上述问题有关,但我也想知道在使用这些功能时 MAC 地址表何时更新为 MAC 地址?
这与前面的问题非常相关,所以让我们来看看几种不同的处理方式。
让我们先看看端口安全会发生什么。请记住,端口安全的工作原理是查看流量的源 MAC 地址并根据接口配置决定如何处理它。
例如,让我们以三个 PC 客户端设备(PC1 - 0001.0001.0001、PC2 - 0002.0002.0002、PC3 - 0003.0003.0003)和在运行 12.2(44)SE5 的 3560G 上配置一个仅启用安全端口的交换机接口:
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 60
switchport port-security violation restrict
switchport port-security mac-address 0001.0001.0001 vlan access
PC1 首先连接到端口,它被授予访问权限并允许所有流量(L2 和 L3),因为它具有静态端口安全配置。PC1 的MAC 地址由交换机学习并插入到MAC 地址表中。
然后我们断开 PC1 并连接 PC2。PC2 被授予访问权限并且所有流量(L2 和 L3)都被允许,因为此接口上的端口安全允许两个 MAC 地址。一个是为PC1静态配置的,但不存在其他静态配置,所以PC2的MAC地址是动态配置的。PC2的MAC地址也被交换机学习并插入到MAC地址表中。
我们现在断开 PC2 并立即连接 PC3。因为我们配置了 60 分钟的老化时间,所以接口将保留 PC2 的 MAC 地址,直到 60 分钟过去。因此,PC3没有获得访问权限,并且所有流量都被丢弃(L2 和 L3),因为接口已经配置了两个 MAC 地址(一个静态用于 PC1,一个用于 PC2 动态)。PC3 的 MAC 地址不会被交换机学习,也不会被插入到 MAC 地址表中,因为它的所有流量都被丢弃了(因此没有流量可以从中学习源 MAC 地址)。
在第二个示例中,让我们使用相同的 PC,假设 DHCP 侦听配置正确,并且仅在接口上启用了 IP 源保护,如下所示:
ip verify source
当您连接任何 PC(PC1、PC2 或 PC3)时,PC 的 MAC 地址会被交换机学习并插入到 MAC 地址表中。当 PC 从 DHCP 服务器获知其 IP 地址或交换机上配置了静态 IP 绑定时,它们是添加到 IP 源绑定表的条目(包含 PC 的 MAC 地址、分配的 IP 地址、租用时间,如果适用、VLAN 和接口)。如果源 IP 地址与 IP 源绑定表中的信息匹配,则允许 L2 流量和 L3 流量。
最后,让我们看一个结合使用这两种功能的示例。我们将再次使用相同的三台 PC,并在交换机接口上配置以下内容:
switchport port-security
switchport port-security violation restrict
ip verify source port-security
源保护现在将在允许流量进入接口之前验证源 MAC 地址和源 IP 地址。自然我们不想静态配置每个客户端,那么交换机如何允许客户端设备动态地允许它们发送流量呢?
好吧,丢弃所有流量的一个例外是接口将只允许来自新连接的客户端的 DHCP 流量。一旦客户端从 DHCP 服务器获得租约,DHCP 侦听绑定表就会更新,同时也会更新 IP 源绑定表。源保护然后现在同时拥有 MAC 和 IP 地址来验证任何其他类型的流量。
但是,即使允许 DHCP 流量触发交换机学习 MAC 地址也会创建一个可被利用的小攻击向量。受感染的设备可能会针对多个 MAC 地址或目标 MAC 地址发送 DHCP 流量,以使交换机错误地更新 MAC 地址表。因此,尽管存在允许 DHCP 流量的例外情况,但在客户端传输并被交换机接受的非 DHCP 数据帧/数据包之前,交换机仍不会获知 MAC 地址。
所以这现在让我们回到第一个问题以及为什么在 DHCP 交换中插入选项 82 是必要的。