基本介紹
- 中文名:連線埠安全
- 外文名:Port Security
- 安全度:高
- 綁定:靜態綁定和動態綁定
- 參數:protect,restrict和shutdown
- 關閉連線埠:shutdown
動態綁定,靜態綁定,違規動作,
動態綁定
最簡單的形式,就是Port Security需要指向一個已經啟用的連線埠並輸入Port Security接口模式命令。
Switch)#config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
在此我們通過輸入最基本的命令來配置連線埠安全,接受了只答應一個MAC地址的默認設定,這就決定了只有第一個設備的MAC地址可以與這個連線埠通信;假如另一MAC地址試圖通過此連線埠通信,交換機會關閉此連線埠。下面談一下如何可以改變此設定。
當然應該根據實際情況來配置連線埠安全。此例中,實際上用戶還可以配置其它的連線埠安全命令:
switchport port-security maximum :可以使用這個選項答應多個MAC地址。例如,假如用戶有一個12連線埠的集線器連線到交換機的此連線埠,就需要12個MAC:switchport port-security maximum 12 /答應此連線埠通過的最大MAC地址數目為12。
switchport port-security violation [protect|restrict|shutdown]:此命令告訴交換機當連線埠上MAC地址數超過了最大數量之後交換機應該怎么做,一共三個參數:protect,restrict和shutdown,默認是關閉連線埠(shutdown)。我們可以選擇使用restrict來警告網路管理員,也可以選擇protect來答應通過安全連線埠通信並丟棄來自其它MAC地址的數據包。
switchport port-security mac-address :使用此選項來手動定義答應使用此連線埠的MAC地址而不是由連線埠動態地定義MAC地址。
當然,你可以在一系列連線埠上配置連線埠安全。下面舉一個例子:
Switch# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security
然而,假如在一個UPLINK連線埠上輸入此命令,用戶必須十分小心使用此選項,因為它指向不只一個設備,第二個設備一旦傳送一個數據包,整個連線埠就會關閉,這樣可就麻煩了。
Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
另外,在銳捷的設備上,連線埠安全無法做在連線埠鏡像的監控連線埠上。
靜態綁定
為了保障萬無一失,需要用到靜態綁定來指定客戶端的MAC,詳細配置如下:a) 配置靜態綁定
Switch# config termi
Switch(config)# mac-address-table static 0001.4246.a36c vlan 1 interface f0/2
//將MAC 地址為0001.4246.a36c 靜態綁定到vlan1 中的接口F0/2
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0001.4246.a36c STATIC Fa0/2
SW1# write
Destination filename [startup-config]?
Building configuration…
[OK]
SW1# reload
c) 啟動後,查看交換機的MAC 地址表
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0001.4246.a36c STATIC Fa0/2
1 00d0.58b6.24da STATIC Fa0/1
違規動作
當連線埠接收到未經允許的MAC地址流量時,交換機會執行違規動作。
保護(Protect):丟棄未允許的MAC地址流量,但不會創建日誌訊息。
限制(Restrict):丟棄未允許的MAC地址流量,創建日誌訊息並傳送SNMP Trap訊息
關閉(Shutdown):默認選項,將連線埠置於err-disabled狀態,創建日誌訊息並傳送SNMP Trap訊息,需要手動恢復或者使用errdisable recovery特性重新開啟該連線埠。