第14章 端口安全配置
《配置端口安全性》word版
配置端口安全性未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。
交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。
因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
在部署交换机之前,应保护所有交换机端口或接口。
端口安全性限制端口上所允许的有效MAC地址的数量。
如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。
如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。
下面总结了这些要点。
总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。
在端口上指定一组允许的有效MAC地址。
在任一时刻只允许一个MAC地址访问端口。
指定端口在检测到未经授权的MAC地址时自动关闭。
配置端口安全性有很多方法。
下面描述可在Cisco交换机上配置端口安全性的方法。
静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。
以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。
以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
华三交换机端口安全操作
1-1
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
1.1.3 端口安全模式
对于端口安全模式的具体描述,请参见 表 1-1。
i
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
ቤተ መጻሕፍቲ ባይዱ
第1章 端口安全配置
1.1 端口安全简介
1.1.1 概述
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1x 认证和 MAC 地址认证的扩充。这种机制通过检测数据帧中的源 MAC 地址来控制非 授权设备对网络的访问,通过检测数据帧中的目的 MAC 地址来控制对非授权设备 的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时, 系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高 了系统的安全性。 非法报文包括: z 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; z 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
目录
目录
第 1 章 端口安全配置 ..............................................................................................................1-1 1.1 端口安全简介 ..................................................................................................................... 1-1 1.1.1 概述 ......................................................................................................................... 1-1 1.1.2 端口安全的特性 ....................................................................................................... 1-1 1.1.3 端口安全模式........................................................................................................... 1-2 1.2 端口安全配置任务简介....................................................................................................... 1-4 1.3 使能端口安全功能 .............................................................................................................. 1-4 1.3.1 配置准备 .................................................................................................................. 1-4 1.3.2 使能端口安全功能.................................................................................................... 1-4 1.4 配置端口允许的最大安全MAC地址数 ................................................................................ 1-5 1.5 配置端口安全模式 .............................................................................................................. 1-6 1.5.1 配置autoLearn模式.................................................................................................. 1-6 1.5.2 配置userLoginWithOUI模式 .................................................................................... 1-7 1.5.3 配置其它模式........................................................................................................... 1-7 1.6 配置端口安全的特性 .......................................................................................................... 1-8 1.6.1 配置NeedToKnow特性 ............................................................................................ 1-8 1.6.2 配置入侵检测特性.................................................................................................... 1-8 1.6.3 配置Trap特性........................................................................................................... 1-9 1.7 配置安全MAC地址 ............................................................................................................. 1-9 1.7.1 配置准备 .................................................................................................................. 1-9 1.7.2 配置安全MAC地址................................................................................................. 1-10 1.8 配置当前端口不应用服务器下发的授权信息 .................................................................... 1-10 1.9 端口安全显示和维护 ........................................................................................................ 1-10 1.10 端口安全典型配置举例................................................................................................... 1-11 1.10.1 端口安全autoLearn模式配置举例 ........................................................................ 1-11 1.10.2 端口安全userLoginWithOUI模式配置举例........................................................... 1-13 1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 ................................. 1-18 1.11 常见配置错误举例 .......................................................................................................... 1-21 1.11.1 端口安全模式无法设置 ........................................................................................ 1-21 1.11.2 无法配置端口安全MAC地址 ................................................................................ 1-21 1.11.3 用户在线情况下无法更换端口安全模式............................................................... 1-22
职业认证-锐捷认证-端口安全概述
Ruijie(config-FastEthernet 0/1)#switchport port-security ---端口保护功能应用生效
5|
端口安全配置检查
查看接入交换机绑定的安全表项
Ruijie#show port-security address
Vlan Mac Address (mins)
另外,还可以设定端口安全地址绑定IP+MAC,或 者仅绑定IP,用来限制必须符合绑定的以端口安全地址 为源MAC地址的报文才能进入交换机通信。
3|
端口安全配置
• 应用场景
– 客户网络需要针对某端口下只允许某些合法用户接入。需要通过端口安全绑定功能合 法用户表项,控制非法用户接入。同全局地址绑定功能不同的是端口安全是基于端口 进行地址绑定,控制合法用户接入网络的场景需求。
• ARP-CHECK支持的安全功能模块包含: ➢仅检测 IP 字段:端口安全的仅 IP 模式,Ip Source Guard 手工配置 的仅 IP 模式 ➢检测 IP+MAC 字段:端口安全的 IP+MAC 绑定模式,全局 IP+MAC 绑定功能,802.1x IP授权功能,Ip Source Guard 功能
端口安全规则 MAC最大数量 MAC绑定 MAC+VLAN绑定
IP绑定 IP+MAC+VLAN绑定
7|
处理规则
如果MAC最大数量>MAC绑定:自动学 习“MAC最大数量-MAC绑定”个MAC 作为IP/MAC过滤项 如果MAC最大数量=MAC绑定:只有被 绑定的MAC才能合法接入网络
---------- ---------------------
Fa0/1
宽带接入之交换机端口安全介绍
降低管理成本: 端口安全优化可 以简化网络管理, 降低管理成本。
满足合规要求: 端口安全优化可 以帮助企业满足 相关法规和标准 的要求,降低法 律风险。
端口安全优化的方法
01 端口安全策略:设置端口安全策 略,限制端口访问权限
02 端口访问控制:设置端口访问控 制,限制特定端口的访问
03 端口加密:使用加密技术,提高 端口数据的安全性
监控端口状态:实时 监控交换机端口的状 态,发现异常情况及
时处理
配置安全参数:设置 端口允许的最大MAC 地址数量、安全动作、
安全时间等参数
定期更新安全策略: 根据网络环境的变化, 定期更新端口安全策
略,确保网络安全
绑定MAC地址:将交 换机端口与特定的
MAC地址进行绑定, 防止非法设备接入
端口安全配置参数
端口安全模式:包括安全模 式和非安全模式,安全模式 可以限制端口的最大连接数, 非安全模式则没有限制。
端口安全动作:包括关闭端 口、限制连接数和限制流量 等,可以根据需要选择合适 的动作。
端口安全年龄:设置端口安 全年龄可以限制端口的最大 连接时间,超过设定时间后, 连接将被断开。
端口安全协议:可以设置端 口安全协议,如TCP、UDP 等,以限制端口的连接类型。
宽带接入之交换 机端口安全介绍
目录
01. 交换机端口安全概述 02. 交换机端口安全配置 03. 交换机端口安全策略 04. 交换机端口安全优化
1
交换机端口安全 概述
交换机端口安全的重要性
01
02
03
04
保护网络免受未 经授权的访问防止恶意软件和 病毒的传播
保障数据传输的 安全性和完整性
提高网络性能和 稳定性
82实验一:交换机端口聚合及端口安全配置
计算机网络工程实验
一、交换机端口聚合配置
技术原理
端口聚合(Aggregate-port)又称链路聚合,是指两台交
计 算 机 网 络 工 程
换机之间在物理上将多个端口连接起来,将多条链路聚 合成一条逻辑链路。从而增大链路带宽,解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份,其中任意一条链路断开,不会影响其他 链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准。
计算机网络工程实验
二、交换机端口安全配置
【背景描述】
你是一个公司的网络管理员,公司要求对网络进行严
计 算 机 网 络 工 程 【实验设备】
格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以 使用网络,不得随意连接其他主机。例如:某员工分 配的IP地址是172.16.1.55/24,主机MAC地址是00-061B-DE-13-B4。该主机连接在1台2126G上。
计算机网络工程实验
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配 置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
计 算 机 网 络 工 程
计算机网络工程实验
思考题
1.用Cisco Packet Tracer配置交换机端口聚合
计算机网络工程实验
一、交换机端口聚合配置
【实验拓扑】
计 算 机 网 络 工 程
F0/23 F0/5 F0/24 NIC F0/23 F0/24 F0/5
交换机端口安全认证实验报告
交换机端口安全认证实验报告一、实验目的本实验旨在通过交换机端口安全认证,保障网络的信息安全。
通过实验,掌握交换机端口安全认证的原理和操作方法。
二、实验原理交换机端口安全认证是一种网络安全技术,用于限制未经授权设备接入网络。
其原理是利用交换机的MAC地址过滤功能,将非授权MAC地址的设备隔离或阻断,确保网络中只有授权设备能够接入。
三、实验环境1. 实验设备:一台交换机、若干台计算机设备2. 实验软件:网络配置工具、终端仿真软件四、实验步骤1. 配置交换机端口安全策略a. 进入交换机管理界面,并使用管理员账号登录。
b. 找到需要配置端口安全的端口,例如FastEthernet0/1。
c. 配置端口安全认证,设置允许连接设备的最大数量,例如2。
d. 配置端口安全认证方式为“限制”模式,即在达到最大设备数量时阻断后续设备连接。
e. 保存配置并退出管理界面。
2. 连接计算机设备a. 将一台计算机连接到已配置了端口安全的交换机端口上。
b. 打开终端仿真软件,配置计算机的IP地址和子网掩码。
c. 确保计算机与交换机端口连接正常。
3. 验证端口安全认证功能a. 将其他计算机设备依次连接到交换机端口。
b. 观察并记录交换机管理界面上的端口状态变化。
c. 当连入的设备数量达到最大允许数量时,验证交换机是否能够正确阻断后续设备连接。
五、实验结果与分析根据实验步骤进行操作后,我们观察到交换机管理界面上的端口状态发生了如下变化:1. 当第一台设备连接到交换机端口时,端口状态显示为“已连接”。
2. 当第二台设备连接到交换机端口时,端口状态仍显示为“已连接”,符合我们设定的最大允许设备数量为2。
3. 当第三台设备尝试连接到交换机端口时,端口状态显示为“已阻断”,交换机成功拦截了未授权设备连接。
通过以上观察,我们可以得出结论:交换机端口安全认证功能有效,能够根据设定的策略拦截未授权设备的连接,确保网络的安全性。
六、实验总结本次实验通过对交换机端口安全认证的配置和验证,详细了解了其原理和操作方法。
神州数码交换机“端口安全”配置
神州数码交换机“端口安全”配置
二层、三层交换机配置
型号:(DCS-3950和DCR-3926S)
Switch(config)#internet ethernet0/0/1(进入端口)
Switch(config-if-ethernet0/0/1)#switchport port-security lock(锁定安全端口)
注:二层DCR-3926S交换机配置生成树后无法开启端口安全,所以必须先开启端口安全后配置生成树。
“山西梦轩”编写
QQ:759576010
Switch(config-if-ethernet0/0/1)#switchport port-security mac-addressxx-xx-xx-xx(为端口绑定MAC地址)xx-xx-xx-xx为PC(电脑)机的MAC地址
Switch(config-if-ethernet0/0/1)#switchport port-security violation shutdown/portect(违规关闭/保护)
Switch(config-if-ethcurity(开启端口安全)
Switch(config-if-ethernet0/0/1)#switchport port-security maximum1(设置端口对大数为1)
这儿的1最大数可以设置为1-16
42-端口安全配置
端口安全配置目录第1章端口安全 (2)1.1端口安全简介 (2)1.2端口安全配置 (2)第1章端口安全1.1 端口安全简介端口安全一般应用在接入层。
它能够对通过设备访问网络的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID 绑定;IP规则可以针对某一IP 也可以针对一系列IP;MAX 规则用以限定端口可以学习到的(按顺序)最多MAC 地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。
在MAX规则下,又有sticky规则。
如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。
Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。
如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。
当端口下开启sticky功能,会将MAX规则学到的动态MAC 地址添加成sticky规则,并保存到运行的配置的文件中。
在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX 所配置的最大值。
MAC 规则和IP 规则可以指定匹配相应规则的报文是否允许通信。
通过MAC 规则可以有效的将用户的MAC 地址与Vlan,MAC 地址与IP 地址进行灵活的绑定,由于端口安全是基于软件实现的,规则数不受硬件资源限制,使得配置更加灵活。
端口安全的规则依靠终端设备的ARP 报文进行触发,当设备接收到ARP 报文时,端口安全从中提取各种报文信息,并与配置的三种规则进行匹配,匹配的顺序为先匹配MAC规则,再匹配IP规则,最后匹配MAX 规则,并根据匹配结果控制端口的二层转发表,以控制端口对报文的转发行为。
思科cisco交换机端口安全配置(宝典)
思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问,基于识别站点的mac 地址的方法。
当你绑定了mac 地址给一个端口,这个口不会转发限制以外的mac 地址为源的包。
如果你限制安全mac 地址的数目为1,并且把这个唯一的源地址绑定了,那么连接在这个接口的主机将独自占有这个端口的全部带宽。
如果一个端口已经达到了配置的最大数量的安全mac 地址,当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规,(security violation).同样地,如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口,就打上了违规标志了。
理解端口安全:当你给一个端口配置了最大安全mac 地址数量,安全地址是以一下方式包括在一个地址表中的:·你可以配置所有的mac 地址使用switchport port-security mac-address,这个接口命令。
·你也可以允许动态配置安全mac 地址,使用已连接的设备的mac 地址。
·你可以配置一个地址的数目且允许保持动态配置。
注意:如果这个端口shutdown 了,所有的动态学的mac 地址都会被移除。
一旦达到配置的最大的mac 地址的数量,地址们就会被存在一个地址表中。
设置最大mac 地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。
当以下情况发生时就是一个安全违规:·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。
·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。
你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:·protect-当mac 地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac 地址,来降下最大数值之后才会不丢弃。
交换机端口的安全设置
攻击者可能会伪造MAC地址,绕过交换机的安全限制,从而非 法接入网络。
IP地址冲突
非法用户可能会盗用合法的IP地址,导致IP地址冲突,影响网络 的正常运行。
端口安全的基本原则
01
最小权限原则
只给需要的用户或设备分配必要 的网络权限,避免过度分配导致 安全漏洞。
加密传输
0203定期审计来自端口镜像技术01
端口镜像技术是指将一个端口 的流量复制到另一个端口进行 分析和监控。
02
通过端口镜像技术,可以将交 换机端口的入方向或出方向流 量复制到监控端口,供网络管 理员进行分析和故障排除。
03
端口镜像技术可以帮助管理员 实时监控网络流量,发现异常 行为和潜在的安全威胁。
04 交换机端口安全加固措施
对敏感数据进行加密传输,防止 数据在传输过程中被窃取或篡改。
定期对交换机的端口安全配置进 行审计,确保配置的正确性和有 效性。
02 交换机端口安全配置
CHAPTER
端口隔离
将交换机的物理端口划分为不同的逻 辑端口组,使同一组内的端口之间无 法直接通信,从而隔离不同用户之间 的网络。
端口隔离可以防止网络中的潜在威胁 和攻击,提高网络安全性和稳定性。
将同一VLAN内的端口进行 逻辑隔离,防止广播风暴 和恶意攻击。
通过绑定IP地址和MAC地 址,防止IP地址欺骗和 MAC地址泛洪攻击。
限制特定MAC地址的设备 连接,防止未经授权的设 备接入网络。
校园网中的交换机端口安全配置案例
01 校园网络架构
02 安全配置
03 • 划分VLAN
04
05
• 实施访问控制列 • 绑定IP地址和
交换机端口的安全设置
思科交换机端口安全(Port-Security)配置方法详解
思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全(Port-Security)1、 Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、 Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。
3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的mac地址:Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
交换机端口隔离及端口安全
实验二 交换机端口隔离及端口安全背景描述:假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。
住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。
一、:实验名称:交换机端口隔离二、实验目的:1. 熟练掌握网络互联设备-交换机的基本配置方法2. 理解和掌握Port Vlan 的配置方法三、实验设备:每一实验小组提供如下实验设备1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5)2、 实验机柜设备: S2126(或者S3550)交换机一台3、 实验工具及附件:网线测试仪一台 跳线若干四、实验原理及要求:1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。
其最大的特性是不受物理位置的限制,可以进行灵活的划分。
VLAN 具备一个物理网段所具备的特性。
相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。
2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。
五、实验注意事项及要求:1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。
2、 以电子文档形式提交实验报告。
3、 本次实验结果保留:是 √ 否4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。
5、 将交换机的配置信息以图片的形式保存到实验报告中。
6、 六、实验用拓扑图注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口七、实验具体步骤及实验结果记录:1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。
华三交换机端口安全操作
i
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
第1章 端口安全配置
1.1 端口安全简介
1.1.1 概述
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1x 认证和 MAC 地址认证的扩充。这种机制通过检测数据帧中的源 MAC 地址来控制非 授权设备对网络的访问,通过检测数据帧中的目的 MAC 地址来控制对非授权设备 的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时, 系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高 了系统的安全性。 非法报文包括: z 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; z 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源
安全模式类型 noRestrictions
autoLearn secure userLogin
表1-1 端口安全模式描述表
描述无限制状态
此时 NeedToKnow 特 性和入侵检测特 性无效
此模式下,端口学习到的 MAC 地址被保存在安全 MAC 地址表项中;
当端口下的安全 MAC 地址数超过端口允许学习的最 大安全 MAC 地址数后,端口模式会自动转变为 secure 模式。之后,该端口不会再添加新的安全 MAC,只有 源 MAC 地址为安全 MAC 地址、已配置的静态 MAC 地址的报文,才能通过该端口
禁止端口学习 MAC 地址,只有源 MAC 地址为端口上 的安全 MAC 地址、已配置的静态 MAC 地址的报文, 才能通过该端口
网络安全及网络出口
配置静态端口地址转换
第一步:在路由器上配置IP路由选择和IP地址。 第二步:至少指定一个内部接口和一个外部接口,并执行命令ip nat { inside | outside }。 第三步:使用全局命令ip nat inside source static { tcp | udp } local-ip localport { interface interface | global-ip } global-port指定静态PAT条目。
经某接口进入设备内部的数据包进行安全规则过滤
2.出栈应用(out)
设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
IN F1/0
OUT
F1/1
IP ACL的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过
2.应用ACL到接口
Router(config-if)#ip access-group <100-199> { in | out }
扩展IP ACL配置示例
172.17.1.1为公司的文件服务器,要求网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务,而对服务器的其它服务禁止访 问。
1 00d0.f800.073c 192.168.12.202 Configured Fa0/3
课程议题
IP访问控制列表
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
√
ISP
访问列表的组成
配置交换机端口安全
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。
当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC 地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport trunk encapsulation dot1q3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第14章端口安全配置本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。
章节主要内容:z端口安全介绍z端口安全配置z监控与维护14.1端口安全介绍端口安全一般应用在接入层。
它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。
如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。
对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下:(1)MAC规则MAC绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd(config-port- xxx)#port-security deny mac-address 0050.bac3.bebdMAC+VID绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100(config-port- xxx)#port-security deny mac-address 0050.bac3.bebd vlan-id 100MAC+IP绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd ip-address 128.255.1.1(config-port- xxx)#port-security deny mac-address 0050.bac3.bebd ip-address 128.255.1.1(2)IP规则(config-port- xxx)#port-security permit ip-address 128.255.1.1(config-port- xxx)#port-security deny ip-address 128.255.1.1(config-port- xxx)#port-security permit ip-address 128.255.1.1 to 128.255.1.63(config-port- xxx)#port-security deny ip-address 128.255.1.1 to 128.255.1.63(3)MAX规则(config-port- xxx)#port-security maximum 50注:如果一个MAC地址或IP地址是被deny掉的,即使这时未达到MAX的上限,该主机也不能通讯。
注:端口安全不能与802.1X共同启用。
14.2端口安全配置本节主要内容:z端口安全配置命令基本描述z端口安全启用与关闭z配置MAC绑定z配置MAC+VLAN绑定z配置MAC+IP绑定z配置IP规则z配置MAX规则z配置地址老化时间z配置静态地址老化z配置错误处理模式14.2.1基本指令描述命令描述配置模式port-security {enable|disable} 端口启用/关闭端口安全config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|deny mac-address {mac-address} 配置端口MAC规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|denymac-address {mac-address} vlan-id {vlanId}配置端口MAC+VLAN规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|denymac-address {mac-address} ip-address {ip-address}配置端口MAC+IP规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|deny ip-address {ip-address}[to {ip-address}]配置端口IP规则config-port- xxx,config-port-range,config-link-aggregation-xport-security maximum {0-4000}配置端口MAX规则config-port- xxx,config-port-range,config-link-aggregation-xport-security aging time {0-1440 }配置端口MAC地址老化时间config-port- xxx,config-port-range,config-link-aggregation-xport-security aging static 启用端口静态地址老化config-port- xxx,config-port-range, config-link-aggregation-xport-security violation {protect|restrict|shutdown} 配置错误处理模式config-port- xxx,config-port-range,config-link-aggregation-xport-security该命令在端口启用或者关闭端口安全功能。
port-security {enable|disable}语法描述enable 启用端口安全disable 关闭端口安全【缺省情况】disableport-security permit|deny mac-address该命令配置端口的MAC绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address}no port-security {permit|deny mac-address mac-address}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址【缺省情况】无注:对于permit规则系统将其配置MAC地址和端口配置的默认VID一起写入二层转发表(MAC Address表)。
port-security permit|deny mac-address mac-address vlanId该命令设置端口的MAC+VLAN绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address vlan-id vlanId}no port-security {permit|deny mac-address mac-address vlan-id vlanId}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址vlan-id 与mac地址绑定的vlan号【缺省情况】无注:对于permit规则系统将其配置MAC地址和VID一起写入二层转发表(MAC Address表)。
port-security permit|deny mac-address mac-address ip-address该命令配置端口的MAC+IP绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address ip-address ip-address}no port-security {permit|deny mac-address mac-address ip-address ip-address}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址ip-address 与mac地址绑定的IP地址【缺省情况】无注:对于permit规则系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP 请求报文port-security permint|deny ip-address该命令配置端口的IP规则,相关的no命令删除该规则。
port-security {permint|deny ip-address start-ip-address[to end-ip-address]}no port-security {permint|deny ip-address start-ip-address[to end-ip-address]}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝start-ip-address 规则应用的起始IP地址end-ip-address 规则应用的结束IP地址【缺省情况】无如果只增加某一个IP地址规则,可以不使用[to end-ip-address]部分注:对于permit规则和IP地址为单地址时系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文port-security maximum该命令配置端口的MAX规则,相关的no命令删除该规则。
port-security maximum {0-4000}no port-security maximum语法描述0-4000 MAX规则的地址数【缺省情况】0port-security aging time该命令配置端口的地址老化时间(分钟),相关的no命令将该配置设置为1分钟。
port-security aging time {0-1440}no port-security aging time语法描述0-1440 老化时间,0表示不进行老化。