交換機端口安全總結(jié)
最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理����,比如MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數(shù)量�����,或者在具體的端口不允許某些MAC地址的幀流量通過�。稍微引申下端口安全,就是可以根據(jù)802.1X來控制網(wǎng)絡(luò)的訪問流量���。
首先談一下MAC地址與端口綁定�,以及根據(jù)MAC地址允許流量的配置�。
1.MAC地址與端口綁定,當發(fā)現(xiàn)主機的MAC地址與交換機上指定的MAC地址不同時 �,交換機相應(yīng)的端口將down掉。當給端口指定MAC地址時�����,端口模式必須為access或者Trunk狀態(tài)。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式�。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址�。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許通過的MAC地址數(shù)為1。
3550-1(config-if)#switchport port-security violation shutdown /當發(fā)現(xiàn)與上述配置不符時���,端口down掉����。
2.通過MAC地址來限制端口流量��,此配置允許一TRUNK口最多通過100個MAC地址�,超過100時,但來自新的主機的數(shù)據(jù)幀將丟失���。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK����。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數(shù)目為100�����。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數(shù)目超過100時,交換機繼續(xù)工作�����,但來自新的主機的數(shù)據(jù)幀將丟失����。
上面的配置根據(jù)MAC地址來允許流量,下面的配置則是根據(jù)MAC地址來拒絕流量�。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對于多播流量則無效�。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應(yīng)的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應(yīng)的接口丟棄流量����。
理解端口安全:
當你給一個端口配置了最大安全mac地址數(shù)量,安全地址是以一下方式包括在一個地址表中的:
·你可以配置所有的mac地址使用 switchport port-security mac-address
·你也可以允許動態(tài)配置安全mac地址�,使用已連接的設(shè)備的mac地址。
·你可以配置一個地址的數(shù)目且允許保持動態(tài)配置�����。
注意:如果這個端口shutdown了�,所有的動態(tài)學的mac地址都會被移除。
一旦達到配置的最大的mac地址的數(shù)量�����,地址們就會被存在一個地址表中。設(shè)置最大mac地址數(shù)量為1����,并且配置連接到設(shè)備的地址確保這個設(shè)備獨占這個端口的帶寬。
當以下情況發(fā)生時就是一個安全違規(guī):
·最大安全數(shù)目mac地址表外的一個mac地址試圖訪問這個端口����。
·一個mac地址被配置為其他的接口的安全mac地址的站點試圖訪問這個端口�����。
你可以配置接口的三種違規(guī)模式����,這三種模式基于違規(guī)發(fā)生后的動作:
·protect-當mac地址的數(shù)量達到了這個端口所最大允許的數(shù)量,帶有未知的源地址的包就會被丟棄����,直到刪除了足夠數(shù)量的mac地址,來降下最大數(shù)值之后才會不丟棄��。
·restrict-一個限制數(shù)據(jù)和并引起"安全違規(guī)"計數(shù)器的增加的端口安全違規(guī)動作��。
·shutdown-一個導(dǎo)致接口馬上shutdown,并且發(fā)送SNMP陷阱的端口安全違規(guī)動作����。當一個安全端口處在error-disable狀態(tài),你要恢復(fù)正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令���,或者你可以手動的shut再no shut端口�。這個是端口安全違規(guī)的默認動作����。
默認的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默認設(shè)置:關(guān)閉的。
特性:最大安全mac地址數(shù)目 默認設(shè)置:1
特性:違規(guī)模式 默認配置:shutdown���,這端口在最大安全mac地址數(shù)量達到的時候會shutdown���,并發(fā)snmp陷阱。
下面是配置端口安全的向?qū)?
·安全端口不能在動態(tài)的access口或者trunk口上做�����,換言之���,敲port-secure之前必須的是switch mode acc之后�。
·安全端口不能是一個被保護的口。
·安全端口不能是SPAN的目的地址���。
·安全端口不能屬于GEC或FEC的組����。
·安全端口不能屬于802.1x端口�����。如果你在安全端口試圖開啟802.1x��,就會有報錯信息�����,而且802.1x也關(guān)了����。如果你試圖改變開啟了802.1x的端口為安全端口��,錯誤信息就會出現(xiàn)����,安全性設(shè)置不會改變��。
最后說一下802.1X的相關(guān)概念和配置�����。
