連線埠安全

連線埠安全(Port Security),從基本原理上講,Port Security特性會通過MAC地址表記錄連線到交換機連線埠的乙太網MAC地址(即網卡號),並只允許某個MAC地址通過本連線埠通信。其他MAC地址傳送的數據包通過此連線埠時,連線埠安全特性會阻止它。使用連線埠安全特性可以防止未經允許的設備訪問網路,並增強安全性。另外,連線埠安全特性也可用於防止MAC地址泛洪造成MAC地址表填滿。

配置連線埠安全是相對比較簡單的。

基本介紹

  • 中文名:連線埠安全
  • 外文名:Port Security
  • 安全度:高
  • 綁定:靜態綁定和動態綁定
  • 參數:protect,restrict和shutdown
  • 關閉連線埠:shutdown
動態綁定,靜態綁定,違規動作,

動態綁定

最簡單的形式,就是Port Security需要指向一個已經啟用的連線埠並輸入Port Security接口模式命令。
Switch)#config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
在此我們通過輸入最基本的命令來配置連線埠安全,接受了只答應一個MAC地址的默認設定,這就決定了只有第一個設備的MAC地址可以與這個連線埠通信;假如另一MAC地址試圖通過此連線埠通信,交換機會關閉此連線埠。下面談一下如何可以改變此設定。
當然應該根據實際情況來配置連線埠安全。此例中,實際上用戶還可以配置其它的連線埠安全命令:
switchport port-security maximum :可以使用這個選項答應多個MAC地址。例如,假如用戶有一個12連線埠的集線器連線到交換機的此連線埠,就需要12個MAC:switchport port-security maximum 12 /答應此連線埠通過的最大MAC地址數目為12。
switchport port-security violation [protect|restrict|shutdown]:此命令告訴交換機當連線埠上MAC地址數超過了最大數量之後交換機應該怎么做,一共三個參數:protect,restrict和shutdown,默認是關閉連線埠(shutdown)。我們可以選擇使用restrict來警告網路管理員,也可以選擇protect來答應通過安全連線埠通信並丟棄來自其它MAC地址的數據包
switchport port-security mac-address :使用此選項來手動定義答應使用此連線埠的MAC地址而不是由連線埠動態地定義MAC地址。
當然,你可以在一系列連線埠上配置連線埠安全。下面舉一個例子:
Switch# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security
然而,假如在一個UPLINK連線埠上輸入此命令,用戶必須十分小心使用此選項,因為它指向不只一個設備,第二個設備一旦傳送一個數據包,整個連線埠就會關閉,這樣可就麻煩了。
一旦你配置了連線埠安全而此連線埠上的乙太網設備又發出了數據,交換機會記錄下MAC地址而且通過使用這個地址來保障連線埠安全。要查看交換機上連線埠安全狀態,可以使用show port security address 和show port-security interface命令。舉例說明如下:
Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
另外,在銳捷的設備上,連線埠安全無法做在連線埠鏡像的監控連線埠上。

靜態綁定

動態綁定的時候我們發現有一個缺點就是,第一個接入交換機的MAC地址會被綁定動態綁定到設備里。
為了保障萬無一失,需要用到靜態綁定來指定客戶端的MAC,詳細配置如下:a) 配置靜態綁定
連線埠安全
Switch# config termi
Switch(config)# mac-address-table static 0001.4246.a36c vlan 1 interface f0/2
//將MAC 地址為0001.4246.a36c 靜態綁定到vlan1 中的接口F0/2
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0001.4246.a36c STATIC Fa0/2
b) 靜態指定的MAC 地址,交換機重新啟動後不會從MAC 表中丟失,動態學習到MAC地址交換機重新啟動後會丟失將交換機重新啟動驗證靜態綁定MAC
SW1# write
Destination filename [startup-config]?
Building configuration…
[OK]
SW1# reload
c) 啟動後,查看交換機的MAC 地址表
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0001.4246.a36c STATIC Fa0/2
1 00d0.58b6.24da STATIC Fa0/1

違規動作

當連線埠接收到未經允許的MAC地址流量時,交換機會執行違規動作。
保護(Protect):丟棄未允許的MAC地址流量,但不會創建日誌訊息。
限制(Restrict):丟棄未允許的MAC地址流量,創建日誌訊息並傳送SNMP Trap訊息
關閉(Shutdown):默認選項,將連線埠置於err-disabled狀態,創建日誌訊息並傳送SNMP Trap訊息,需要手動恢復或者使用errdisable recovery特性重新開啟該連線埠。

相關詞條

熱門詞條

聯絡我們