交换机的端口安全 | 您所在的位置:网站首页 › 华为交换机开启端口保护功能 › 交换机的端口安全 |
交换机的端口安全
本篇讲一下交换机的端口安全,虽然简单,但是在生活的运用极为常见,可以有效的保护我们的网络的安全。 端口安全端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。 常见的端口安全有绑定其MAC地址,只允许本台物理设备访问网络,一般安全性较高的公司不允许私人电脑连接公司内网,即使连接上也是无法访问网络的。也有的限制其最大的连接数,当超过一定数量的MAC地址时,自动关闭端口来保护网络,这两种方法都能有效的防止MAC欺骗和泛洪攻击。 配置命令SW1(config)#interface f0/1 //进入端口模式 SW1(config-if)#switch mode access //把端口改为访问模式 SW1(config-if)#switch port-security //打开交换机的端口安全功能 sw03(config-if)#switch port-security maximum 3 // 设置端口上的最大同时连接数为 3 R10(config-if)#mac-address 3.3.3 //修改MAC地址 SW1(config-if)#switchport port-security violation restrict //修改violation方式为restrict 默认shutdown,还有protect模式可选。 SW1(config-if)#switchport port-security mac-address 7.7.7 //将路由器f0/0 的mac地址绑定,静态绑定MAC地址 实例举例
配置: 底层配置,配置IP地址,这里不再介绍。 需求1: 先来看没配置之前的情况,SW1正常学习到R9与R10的mac地址,可以正常通信。 配置完成,我们修改R9的mac地址 R11(config)#int e0/0 R11(config-if)#mac-address 1.1.1 这时候我们来查看访问情况和mac地址表 这时后我们再来查看访问和mac地址表, 需求2: SW1(config)#int e0/0 SW1(config-if)#switch mode access //把端口改为访问模式 sw03(config-if)#switch port-security sw03(config-if)#switch port-security maximum 3 设置端口上的最大同时连接数为 3 配置完成,我们在R10修改mac地址为2.2.2和3.3.3 R10(config-if)#mac-address 2.2.2 R10(config-if)#mac-address 3.3.3 此时来查看交换机MAC地址表 此时有MAC地址表有只有3个连接数,还是可以实现访问通信。 再在R10修改mac地址为4.4.4 R10(config-if)#mac-address 4.4.4 此时来查看访问和MAC地址表,mac地址连接数已经超过了3个,所以触发端口安全,使得R9无法访问R10。 到此,满足需求2的要求。 需求3: SW1(config)#int e0/0 SW1(config-if)#switchport port-security violation restrict //修改violation方式为restrict SW1(config-if)#switchport port-security mac-address 7.7.7 //然后将路由器f0/0 的mac地址绑定 SW1(config)#int e0/0 SW1(config-if)#switchport port-security violation protect //修改violation方式为protect SW1(config-if)#switchport port-security mac-address 8.8.8 //然后将路由器f0/0 的mac地址绑定 到此,满足全部需求。 补充: 1、protect 模式,当违规时,只丢弃违规的数据流量,不违规的正常转发,而且不会通知有流量违规,也就是不会发送SNMP trap ; 2、restrict , 当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知,发送SNMP trap,并且会记录日志; 3、shutdown,这个是默认模式,当违规时,将接口变成error-disabled并shut down,并且接口LED灯会关闭,也会发SNMP trap,并会记录syslog。 |
CopyRight 2018-2019 实验室设备网 版权所有 |