交換機埠安全總結配置例項

交換機埠安全總結(配置例項)

最常用的對埠安全的理解就是可根據mac位址來做對網路流量的控制和管理，比如mac位址與具體的埠繫結，限制具體埠通過的mac位址的數量，或者在具體的埠不允許某些mac位址的幀流量通過。稍微引申下埠安全，就是可以根據802.1x來控制網路的訪問流量。

首先談一下mac位址與埠繫結，以及根據mac位址允許流量的配置。

1.mac位址與埠繫結，當發現主機的mac位址與交換機上指定的mac位址不同時，交換機相應的埠將down掉。當給埠指定mac位址時，埠模式必須為access或者trunk狀態。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定埠模式。

3550-1(config-if)#switchport port-security mac-address 00-90-f5-10-79-c1 /配置mac位址。

3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的mac位址數為1。

3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，埠down掉。

2.通過mac位址來限制埠流量，此配置允許一trunk口最多通過100個mac位址，超過100時，但來自新的主機的資料幀將丟失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置埠模式為trunk。

3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大mac位址數目為100。

3550-1(config-if)#switchport port-security violation protect /當主機mac位址數目超過100時，交換機繼續工作，但來自新的主機的資料幀將丟失。

上面的配置根據mac位址來允許流量，下面的配置則是根據mac位址來拒絕流量。

1.此配置在catalyst交換機中只能對單播流量進行過濾，對於多播流量則無效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 drop /在相應的vlan丟棄流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 int f0/1 /在相應的介面丟棄流量。

交換機埠安全總結 配置例項