端口安全

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

端口安全

借助安全端口,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。

当配置端口安全时,应当注意以下问题:

安全端口不能是Trunk端口。

安全端口不能是Switch Port Analyzer (SPAN)的目的端口。安全端口不能是属于EtherChannel的端口。

安全端口不能是private-VLAN端口。

1.配置安全端口Switch# configure terminal

Switch(config)# interface interface_id

Switch(config-if)# switchport mode access第三步:将接口设置为访问模式。

Switch(config-if)# switchport port-security 第四步:在接口启用端口安全。

第五步:(可选)在接口设置安全MAC地址的最大数量,以限制该端口所连接的计算机数量。取值范围为1~3 072,默认值是1。Switch(config-if)# switchport port-security maximum value第六步:(可选)设置违例发生后的处理模

式。当安全违例事件发生时,将端口置于restrict或shutdown 模式。选择restrict模式时,当非法MAC地址或太多MAC 连接至该接口时,将丢弃数据包,并向网管计算机发送SNMP陷阱通知。选择shutdown模式时,发生安全错误的端口将被置于error-disable状态,除非网络管理员使用no shutdown命令手工激活,否则该端口失效。

Switch(config-if)# switchport port-security violation {restrict | shutdown}第七步:设置坏包速率限制。

Switch(config-if)# switchport port-security limit rate

invalid-source-mac第八步:(可选)为该接口指定安全MAC 地址。也可以使用该命令指定最大安全MAC 地址数。如果指定的MAC地址数量少于安全地址的最大数量,动态学习的MAC地址将被保留。

Switch(config-if)# switchport port-security mac-address mac_address第九步:在端口启动sticky learning。Switch(config-if)# switchport port-security mac-address sticky第十步:返回特权EXEC模式。

Switch(config-if)# end第十一步:查看并校验配置。Switch# show port-security address interface interface_id Switch# show port-security address第十二步:保存当前配置。

Switch# copy running-config startup-config

【注意】使用no switchport port-security mac-address mac_address命令,可以从地址表中删除MAC地址。

2.设置端口安全老化

当为端口指定最大MAC地址数时,为了保障该端口能够得

以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间未连接的MAC地址,从而不必

手动删除,减少网络维护的工作量。Switch# configure terminal

Switch(config)# interface interface_id

Switch(config-if)# switchport port-security [ aging time aging_time | type {absolute | inactivity} ]

第三步:为安全端口设置老

化时间和老化类型。老化时间的取值范围为0 ~ 1440分钟。采用absolute模式时,一旦到达指

定的老化时间,那么,即将

从安全地址列表中移除。采用inactivity时,即使到达指定的老化时间,如果没有其他数据通

信,那么,MAC地址仍然被保留在安全地址列表中。

Switch(config-if)# end

Switch# show port security [interface interface_id] [address] 查看并校验配置。

Switch# copy running-config startup-config

相关文档
最新文档