端口安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Switch(conifg-if)#
switchport port-security violation { protect | restrict | shutdown } 配置处理违例的方式
配置安全端口上的安全地址
Switch(conifg-if)#
switchport port-security [mac-address mac-address [ip-address ipaddress] 配置安全端口上的安全地址
Router#
show port-security address
来查看安全地址信息,显示安全地址及老化时间
Router#
show port-security 显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以 及违例处理方式等
案例(一)
下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址
宣传教育
防病毒
包过滤
入侵检测
防火墙
VPN 虚拟专用网
交换机端口安全
利用端口安全这个特性,可以通过限 制允许访问交换机上某个端 口的mac地址以及ip地址来实现严格控制对该端口的输入。 当为安全端口打开了端口安全功能的端口配置了一些安全地址后,
除了源地址为这些安全地址的包外,这个端口将不转发其它任何报
案例(二)
下面的例子是配置接口fastethernet0/3上的端口安全功能,配置
端口绑定地址,主机MAC为00d0.f800.073c,IP为 192.168.12.202
Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security macaddress 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end
1 00d0.f800.073c 192.168.12.202 Configured Fa0/3
全地址表中),发送一个SNMP Trap报文,而且将端口关闭。
端口安全的配置
Switch(conifg-if)#
switchport port-security 打开该接口的端口安全功能
Switch(conifg-if)#
switchport port-security maximum number 设置接口上安全地址的最大个数
查看配置信息
查看所有接口的安全统计信息,包括最大安全地址数 ,当前安全地址数以及违例处理方式等
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr Security Action ----------------Gi1/3 -------8 --------1 -------------Protect
protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口 的安全地址中的任何一个)的包 restrict:当违例产生时,交换机不但丢弃接收到的帧(MAC地址不在安 全地址表中),而且将发送一个SNMP Trap报文 shutdown:当违例产生时,交换机将丢弃接收到的帧(MAC地址不在安
个数为8,设置违例方式为protect
Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end
园区网的常见安全隐患
网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可 能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系 统资源的潜在的环境、条件或事件。
园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为 (如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息 丢失、电子监听(信息流量分析、信息窃取等)和信息战等。
查看安全地址信息
Switch# show port-security address
Vlan Mac Address IP Address Age(mins) -----------------------
Type -------
Port Remaining ---------------8 1
配置端口安全存在以下限制:
一wenku.baidu.com安全端口必须是一个Access端口,及连接终端设备的端口,而非 Trunk端口。
一个安全端口不能是一个聚合端口(Aggregate Port)。
一个安全端口不能是SPAN的目的端口。
交换机端口安全概述
当配置完成端口安全之后,如果当违例产生时,可以设置下面几种 针对违例的处理模式:
非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和 工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。
园区网安全解决方案的整体思路
制定一个严格的安全策略
可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤 等技术来实现一套可行的园区网安全解决方案。
。 还可以限制一个端口上能包含的安全地址最大个数,如果将最大个
数设置为1,并且为该端口配置一个安全地址,则连接到这个口的
工作站其地址为配置的安全地址将独享该端口的全部带宽。
交换机端口安全概述
交换机的端口安全机制是工作在交换机二层端口上的一个安全特性
只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授 权的设备接入网络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。
Switch(conifg)#
errdisable recovery 当端口由于违规操作而进入“err-disabled”状态后,必须在全局模式下使 用如下命令手工将其恢复为UP状态:
Switch(conifg)#
errdisable recovery interval time 设置端口从“err-disabled”状态自动恢复所等待的时间
Switch(conifg-if)#
switchport port-security aging{static | time time } 配置安全地址的老化时间
Switch(conifg-if)#
no switchport port-security aging time 关闭一个接口的安全地址老化功能(老化时间为0)
Switch(conifg-if)#
no switchport port-security aging static 使老化时间仅应用于动态学习到的安全地址
查看端口安全信息
Router#
show port-security interface [interface-id] 显示所有接口的安全设置状态、违例处理等信息
switchport port-security violation { protect | restrict | shutdown } 配置处理违例的方式
配置安全端口上的安全地址
Switch(conifg-if)#
switchport port-security [mac-address mac-address [ip-address ipaddress] 配置安全端口上的安全地址
Router#
show port-security address
来查看安全地址信息,显示安全地址及老化时间
Router#
show port-security 显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以 及违例处理方式等
案例(一)
下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址
宣传教育
防病毒
包过滤
入侵检测
防火墙
VPN 虚拟专用网
交换机端口安全
利用端口安全这个特性,可以通过限 制允许访问交换机上某个端 口的mac地址以及ip地址来实现严格控制对该端口的输入。 当为安全端口打开了端口安全功能的端口配置了一些安全地址后,
除了源地址为这些安全地址的包外,这个端口将不转发其它任何报
案例(二)
下面的例子是配置接口fastethernet0/3上的端口安全功能,配置
端口绑定地址,主机MAC为00d0.f800.073c,IP为 192.168.12.202
Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security macaddress 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end
1 00d0.f800.073c 192.168.12.202 Configured Fa0/3
全地址表中),发送一个SNMP Trap报文,而且将端口关闭。
端口安全的配置
Switch(conifg-if)#
switchport port-security 打开该接口的端口安全功能
Switch(conifg-if)#
switchport port-security maximum number 设置接口上安全地址的最大个数
查看配置信息
查看所有接口的安全统计信息,包括最大安全地址数 ,当前安全地址数以及违例处理方式等
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr Security Action ----------------Gi1/3 -------8 --------1 -------------Protect
protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口 的安全地址中的任何一个)的包 restrict:当违例产生时,交换机不但丢弃接收到的帧(MAC地址不在安 全地址表中),而且将发送一个SNMP Trap报文 shutdown:当违例产生时,交换机将丢弃接收到的帧(MAC地址不在安
个数为8,设置违例方式为protect
Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end
园区网的常见安全隐患
网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可 能会受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系 统资源的潜在的环境、条件或事件。
园区网络安全隐患包括的范围比较广,如自然火灾、意外事故、人为行为 (如使用不当、安全意识差等)、黑客行为、内部泄密、外部泄密、信息 丢失、电子监听(信息流量分析、信息窃取等)和信息战等。
查看安全地址信息
Switch# show port-security address
Vlan Mac Address IP Address Age(mins) -----------------------
Type -------
Port Remaining ---------------8 1
配置端口安全存在以下限制:
一wenku.baidu.com安全端口必须是一个Access端口,及连接终端设备的端口,而非 Trunk端口。
一个安全端口不能是一个聚合端口(Aggregate Port)。
一个安全端口不能是SPAN的目的端口。
交换机端口安全概述
当配置完成端口安全之后,如果当违例产生时,可以设置下面几种 针对违例的处理模式:
非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和 工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。
园区网安全解决方案的整体思路
制定一个严格的安全策略
可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤 等技术来实现一套可行的园区网安全解决方案。
。 还可以限制一个端口上能包含的安全地址最大个数,如果将最大个
数设置为1,并且为该端口配置一个安全地址,则连接到这个口的
工作站其地址为配置的安全地址将独享该端口的全部带宽。
交换机端口安全概述
交换机的端口安全机制是工作在交换机二层端口上的一个安全特性
只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授 权的设备接入网络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。
Switch(conifg)#
errdisable recovery 当端口由于违规操作而进入“err-disabled”状态后,必须在全局模式下使 用如下命令手工将其恢复为UP状态:
Switch(conifg)#
errdisable recovery interval time 设置端口从“err-disabled”状态自动恢复所等待的时间
Switch(conifg-if)#
switchport port-security aging{static | time time } 配置安全地址的老化时间
Switch(conifg-if)#
no switchport port-security aging time 关闭一个接口的安全地址老化功能(老化时间为0)
Switch(conifg-if)#
no switchport port-security aging static 使老化时间仅应用于动态学习到的安全地址
查看端口安全信息
Router#
show port-security interface [interface-id] 显示所有接口的安全设置状态、违例处理等信息