思科交换机端口安全(Port-Security)

Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTP server十、ACL功能十一、PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。

管理员可以通过这个特性将固定的MAC地址写在交换机中。

B、配置顺序：1）启动端口安全程序，2）配置有效的MAC地址学习上线，3）配置静态有效MAC地址（动态学习不需要配置），4）配置违反安全规定的处理方法（方法有三种：shut down直接关闭端口，需要后期由管理员手工恢复端口状态；protect过滤掉不符合安全配置的MAC地址；restrict过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数），5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。

C、配置实例：D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。

命令如下：switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。

且该条目可以在show run中看到（记得保存配置）。

E、校验命令：show port-security [interface interface-id] [address]具体端口明细信息show port-security显示端口安全信息show port-security address显示安全地址及学习类型二、AAA认证1、AAA：A、Authentication 身份认证：校验身份B、Authorization 授权：赋予访问者不同的权限C、Accounting 日志：记录用户访问操作2、AAA服务认证的三要素：AAA服务器、各种网络设备、客户端客户端：AAA服务中的被管理者各种网络设备：AAA服务器的前端代理者AAA服务器：部署用户、口令等注：CC IE-RS只涉及网络设备上的一小部分,不作为重点。

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】【实验名称】交换机的端口安全配置。

【实验目的】掌握交换机的端口安全功能，控制用户的安全接入。

【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。

【实现功能】针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。

【实验设备】S2126G交换机（1台），PC（1台）、直连网线（1条）【实验拓扑】图 26【实验步骤】步骤1. 配置交换机端口的最大连接数限制。

Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置模式Switch(config-if-range)#switchport port-security!开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1! 配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown验证测试：查看交换机的端口安全配置。

Switch#show port-securitySecure Port MaxSecureAddr(count) CurrentAddr(count) Security Action------------------------------------------------------------------Fa0/1 1 0ShutdownFa0/2 1 0ShutdownFa0/3 1 0ShutdownFa0/4 1 0ShutdownFa0/5 1 0ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0Fa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown步骤2. 配置交换机端口的地址绑定。

cisco交换机安全配置设定方法你还在为不知道cisco交换机安全配置设定方法而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定方法教程，希望能帮到大家。

cisco交换机安全配置设定方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

交换机端口安全Port-Security超级详解交换安全】交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求：•限制交换机每个端口下接入主机的数量（MAC地址数量）•限定交换机端口下所连接的主机（根据IP或MAC地址进行过滤）•当出现违例时间的时候能够检测到，并可采取惩罚措施上述需求，可通过交换机的Port-Security功能来实现：二、理解Port-Security1.Port-Security安全地址：secure MAC address在接口上激活Port-Security后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的）的最大MAC数量，从而限制接入的主机用户；或者限定接口所连接的特定MAC，从而实现接入用户的限制。

那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址–secure MAC address。

安全地址表项可以通过让使用端口动态学习到的MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及sticy MAC address（SecureSticky）三种方式进行配置。

当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址，那么这个接口将只为该MAC所属的PC服务，也就是源为该MAC的数据帧能够进入该接口。

2.当以下情况发生时，激活惩罚（violation）：当一个激活了Port-Security的接口上，MAC地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源MAC并不在这些安全地址中，那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址，而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时，启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后，接口关联的安全地址表项可以通过如下方式获取：•在接口下使用switchport port-security mac-address 来配置静态安全地址表项•使用接口动态学习到的MAC来构成安全地址表项•一部分静态配置，一部分动态学习当接口出现up/down，则所有动态学习的MAC安全地址表项将清空。

Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

方法1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

以上功能适用于思科2950、3550、4500、6500系列交换机方法2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用与第一种方法相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。

cisco端⼝安全配置详解cisco交换机端⼝的安全配置⼀、switchport port-security设置端⼝安全功能，端⼝安全的违例处理等。

使⽤该命令的no选项关闭端⼝安全的设置，或者将安全违例处理⽅式恢复成缺省值。

switchport port-security [violation {protect | restrict | shutdown}]no switchport port-security [violation]参数说明参数描述port-security 接⼝安全开关violation protect 发现违例，则丢弃违例的报⽂。

violation restrict 发现违例，则丢弃违例的报⽂并且发送trap。

violation shutdown发现违例，则丢弃报⽂、发送Trap并且关闭接⼝。

缺省配置接⼝的安全缺省是关闭的。

命令模式接⼝配置模式使⽤指导利⽤端⼝安全这个特性，可以通过限制允许访问设备上某个接⼝的MAC地址以及IP(可选)来实现严格控制对该接⼝的输⼊。

当为安全端⼝(打开了端⼝安全功能的端⼝)配置了⼀些安全地址后，则除了源地址为这些安全地址的包外，这个端⼝将不转发其它任何报。

此外，还可以限制⼀个端⼝上能包含的安全地址最⼤个数，如果将最⼤个数设置为1并且为该端⼝配置⼀个安全地址，则连接到这个⼝的⼯作站（其地址为配置的安全M地址）将独享该端⼝的全部带宽。

配置举例下⾯的例⼦是在接⼝Gigabitethernet 1/1 上打开端⼝安全功能，并设置违例处理为shutdown：Ruijie(config)# interface gigabitethernet1/1Ruijie(config-if)# switchport port-securityRuijie(config-if)# switchport port-security violation shutdown⼆、switchport port-security aging该命令为⼀个接⼝上的所有安全地址配置⽼化时间。

•交换机基本配置•VLAN配置与管理•生成树协议（STP）配置与优化•端口聚合（EtherChannel）配置与应用目•交换机安全性设置与加固•交换机性能监控与故障排除录01交换机基本配置1 2 3通过控制台端口登录远程登录配置访问控制列表（ACL）交换机登录与访问控制交换机主机名与域名设置主机名配置域名设置系统提示信息配置交换机端口配置与启用端口速率和双工模式配置端口安全配置A B C D端口VLAN分配端口镜像配置在完成交换机的各项配置后，及时保存配置信息，防止因意外断电或其他原因导致配置丢失。

配置保存在需要重启交换机时，可以通过命令行或Web 界面进行重启操作，确保交换机正常启动并加载最新的配置信息。

交换机重启在交换机出现问题时，可以加载之前保存的配置文件，实现配置回滚，快速恢复网络正常运行。

配置回滚查看交换机的系统日志，了解交换机的运行状况和故障信息，为故障排除提供依据。

系统日志查看交换机保存与重启02VLAN配置与管理创建VLAN及分配端口VLAN间路由配置01020304VLAN间通信及访问控制列表（ACL）应用VLAN安全性设置010*******03生成树协议（STP）配置与优化STP基本原理及作用消除环路链路备份自动恢复STP配置命令详解启用STP设置STP模式配置STP优先级配置STP端口状态STP优化策略及实施方法启用PortFast调整STP定时器配置BPDU Guard配置Root Guard逐步排查根据故障现象和网络拓扑结构，逐步排查可能导致STP 故障的原因，如物理链路故障、交换机配置错误等。

查看STP 状态使用命令`show spanning-tree vlan vlan-id`查看指定VLAN 的STP 状态，包括根交换机、根端口、指定端口等信息。

检查端口状态使用命令`show interfaces interface-type interface-number switchport`查看交换机端口的STP 状态及相关配置。

交换机一个端口一个MAC（MAC绑定port）实验环境packet tracer 5.3 Cisco2960Switch(config-if)#interface fa0/2 //进入接口Switch(config-if)#switchport mode access //将接口设置为access模式，在packet tracer中好像是必须的，虽然交换机的默认模式是access，但是还是必须要键入这个命令Switch(config-if)#switchport port-security //启动端口安全功能Switch(config-if)#switchport port-security maximum 1 //设置端口的最大MAC数量Switch(config-if)#switchport port-security mac-address 00D0.97DC.31A7//写入MAC Switch(config-if)#do show port-security address//验证配置，我现在配置的是fa0/2 Secure Mac Address Table------------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age(mins)---- ----------- ---- ----- -------------1 0030.A36E.C1CC SecureConfigured FastEthernet0/1 -1 00D0.97DC.31A7 SecureConfigured FastEthernet0/2 ------------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0Max Addresses limit in System (excluding one mac per port) : 1024下面我将插在MAC为00D0.97DC.31A7的PC网线拔了插到其他不同MAC的PC上Switch(config-if)#shutdown //我先down了这个接口Switch(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downSwitch(config-if)#no shutdown //插到另外的一个PC上然后打开端口%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to upSwitch(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down //我在这个期间，用ping命令ping了一个不是本机的IP，主要是要让交换机知道我的MAC，由于先前配置了安全端口，所以现在端口状态变成了administratively down，这也是本实验的要的效果下面我在将网线插到原来的PC上(MAC为00D0.97DC.31A7的PC)Switch(config-if)#no shutdown //书上讲只要用no shutdown就可以开启，现在实验显示是无效的%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to downSwitch(config-if)#shutdown //必须先用shutdown关闭端口，这也是论坛里的一个兄弟提醒我的，先谢谢这位兄弟了%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down Switch(config-if)#no shutdown //再次执行no shutdown好的现在端口可以使用了%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to upSwitch(config-if)#。

cisco交换机IP-MAC地址绑定配置一、基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#c onfig terminal进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址二、基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC#定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式//本文转自www.脚本之家Switch(config-if )mac access-group MAC in#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC#清除名为MAC的访问列表三、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。