交換機埠安全總結

2021-09-03 03:48:22 字數 2519 閱讀 2492

最常用的對埠安全的理解就是可根據mac位址來做對網路流量的控制和管理,比如 mac位址與具體的埠繫結,限制具體埠通過的mac位址的數量,或者在具體的埠不允許某些mac位址的幀流量通過。稍微引申下埠安全,就是可以根據802.1x來控制網路的訪問流量。

首先談一下mac位址與埠繫結,以及根據mac位址允許流量的配置。

1.mac位址與埠繫結,當發現主機的mac位址與交換機上指定的mac位址不同時,交換機相應的埠將down掉。當給埠指定mac位址時,埠模式必須為access或者trunk狀態。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定埠模式。

3550-1(config-if)#switchport port-security mac-address 00-90-f5-10-79-c1 /配置mac位址。

3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許  通過的mac位址數為1。

3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。

2.通過mac位址來限制埠流量,此配置允許一trunk口最多通過100個mac位址,超過100時,但來自新的主機的資料幀將丟失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置埠模式為trunk。

3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大mac位址數目為100。

3550-1(config-if)#switchport port-security violation protect /當主機mac位址數目超過100時,交換機繼續工作,但來自新的主機的資料幀將丟失。

上面的配置根據mac位址來允許流量,下面的配置則是根據mac位址來拒絕流量。

1.此配置在catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 drop /在相應的vlan丟棄流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 int f0/1 /在相應的介面丟棄流量。

最後說一下802.1x的相關概念和配置。

802.1x身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路裝置上使用。它可基於埠來對使用者身份進行認證,即當使用者的資料流量企圖通過配置過802.1x協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的使用者進行認證,並且簡化配置,在一定的程度上可以取代windows 的ad。

配置802.1x身份驗證協議,首先得全域性啟用aaa認證,這個和在網路邊界上使用aaa認證沒有太多的區別,只不過認證的協議是802.1x;其次則需要在相應的介面上啟用802.1x身份驗證。(建議在所有的埠上啟用802.1x身份驗證,並且使用radius伺服器來管理使用者名稱和密碼)

下面的配置aaa認證所使用的為本地的使用者名稱和密碼。

3550-1#conf t

3550-1(config)#aaa new-model /啟用aaa認證。

3550-1(config)#aaa authentication dot1x default local /全域性啟用802.1x協議認證,並使用本地使用者名與密碼。

3550-1(config)#int range f0/1 -24

3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1x身份驗證。

後記通過mac位址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在cata3550上可通過700-799號的訪問控制列表可實現mac位址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這裡就不多介紹了。

通過mac位址繫結雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1x身份驗證協議。在可控性,可管理性上802.1x都是不錯的選擇。

關於交換機埠安全配置的補充

實現交換機埠安全配置後一旦接入口的pc更換,則該埠需要重新配置.

使用如下操作會更加快捷

1 埠 shutdown

2 清埠上繫結的mac位址並綁入新的mac位址

3 clear arp

4 clear port all int fa0/*

5 埠 no shutdown

好了,希望對大家有用.

交換機埠安全總結 配置例項

交換機埠安全總結 配置例項 最常用的對埠安全的理解就是可根據mac位址來做對網路流量的控制和管理,比如mac位址與具體的埠繫結,限制具體埠通過的mac位址的數量,或者在具體的埠不允許某些mac位址的幀流量通過。稍微引申下埠安全,就是可以根據802.1x來控制網路的訪問流量。首先談一下mac位址與埠繫...

交換機埠安全總結 配置例項

最常用的對埠安全的理解就是可根據mac位址來做對網路流量的控制和管理,比如mac位址與具體的埠繫結,限制具體埠通過的mac位址的數量,或者在具體的埠不允許某些mac位址的幀流量通過。稍微引申下埠安全,就是可以根據802.1x來控制網路的訪問流量。首先談一下mac位址與埠繫結,以及根據mac位址允許流...

交換機埠安全

一 實驗要求 交換機f0 1只能連線兩台pc,多了就自動斷線 配置命令 switch config int fa0 1 switch config if switchport mode access 使用acces模式 switch config if switchport port securit...