演示 交換機埠安全的配置

2021-09-04 13:30:58 字數 3198 閱讀 9796

演示:交換機埠安全的配置

在現今的企業網路中,資訊保安的威脅從某種程度上講,來自企業內部的安全威脅高於企業外部的安全威脅,比如:無控制行為的任意主機接入、移動儲存裝置接入、共享資料等這些都是由於企業內部網路對網路的接入控制不嚴格所導致的問題,而本小節的主要任務就是描述資料鏈路層接入控制的管制方案-交換機的埠安全技術。

交換機的埠安全屬於資料鏈路層安全策略,也是多眾企業網路接入控制方案中的一種,它可以有效的限制非法桌面計算機的接入,也可以有效的防禦mac位址洪氾***(macof)。主要的功能是:限制乙個交換機物理埠的最大mac資料、設定合法的接入主機的mac位址,制定違反埠安全策略後的行為。需要注意的是在配置交換機的埠安全之前必須申明埠的模式,比如:

switchport mode access

(申明為交換埠接入模式)。埠安全不能被應用到動態協商的埠模式中。

關於交換機埠安全的配置:

switch(config-if)#switchport port-security ?

* 啟動交換機埠安全的指令。

mac-address  secure mac address

* 設定安全的mac位址。

maximum      max secure addresses

* 設定埠允許的最大mac數量。

violation

security violation mode

* 違反埠安全後執行的動作。

mac-address該引數以管理員定義合法的具體mac位址,可以由管理員手工配置認為合法的mac位址,比如:switchport port-security mac-address0009.de12.3f56,如果這樣配置後,就只有mac位址是0009.de12.3f56的主機可以接入該埠,事實上執行了乙個將指定的mac位址與該埠相繫結的結果,其它mac位址接入就違反了埠安全的策略,上述使用手工配置mac位址的方式不適應於大型網路,因為這樣做可能會造成很大的管理開銷,所以可以使用switchport port-security mac-address sticky讓該埠記錄下第一次交換機mac自動學習時所記錄的源位址,這樣就省去了大量手工輸入mac位址時所造成管理開銷與錄入錯誤。

maximum該引數定義該埠可容納的最大mac位址數量,一般正常情況下交換機的乙個埠對應乙個mac位址,所以可以配置為

switchportport-security maximum 1

;但這並不是絕對的,比如有些企業為了過渡,在交換機的某個埠上連線的並不是一台主機,而是乙個集線器,如下

圖10.42所

示,那麼交換機s1的fa0/2埠就應該配置成

switchportport-security maximum

4,因為集線器連線的所有主機的mac位址都應該屬於交換機s1的fa0/2埠。

violation該引數定義違反了預配置上述的埠安全原則後,將執行乙個怎麼的行為,具體又可以分為三個引數,protect、restrict、shutdown。

關於違反了交換機的埠安全策略後的執行動作:

switch(config-if)#switchport port-security violation ?

protect   security violation protect mode

restrict  security violation restrict mode

shutdown  security violation shutdown mode

關鍵字violation是指定如果有非法接入埠的處理方式,共有3種解決方式:protect、restrict、shutdown。protect指示當已經超過所允許學習的最大mac位址數時,交換機將繼續工作,但是將把來自新主機的資料幀丟棄,不發任何警告資訊。restrict指示當發生安全違例時,交換機將繼續工作,非法的資料通訊仍然可以繼續,但是會向console平台發警告資訊。shutdown指示關閉埠為

err-disable

狀態,除非管理員手工啟用,否則該埠失效。

注意:因為安全違例造成埠被關閉後,管理員可以在全域性配置模式下使用

errdisable recovery將介面從錯誤狀態中恢復過來,也可以直接進入介面重新啟用介面。

關於交換機埠安全的乙個配置例項:

如下圖10.43

所示,要求為交換機s1的fa0/1和fa0/2配置埠安全,主機a直接連線到交換機埠fa0/1,要求為它配置最大的mac數量,認定合法的mac位址,如果發生安全違規請直接關閉fa0/1介面。主機b、c、d、e通過一台集線器連線到交換機s1的fa0/2介面,要求為它配置合適的mac數量,通過交換機第一次的mac位址自學習來獲得安全mac位址,當發生安全違規時要求仍然**違規的資料幀,但是向交換機的控制台傳送相關資訊。

switch(config)#inte***cefastethernet 0/1

switch(config-if)#switchportmode access

switch(config-if)#switchportport-security maximum 1

switch(config-if)#switchportport-security mac-address 0001.6367.2a33

switch(config-if)#switchportport-security violation

shutdown

switch(config)#inte***cefastethernet 0/

2 switch(config-if)#switchportmode access

switch(config-if)#switchportport-security maximum

4 switch(config-if)#switchportport-security mac-address

sticky

switch(config-if)#switchportport-security violation restrict

演示 交換機埠安全的配置

演示 交換機埠安全的配置 在現今的企業網路中,資訊保安的威脅從某種程度上講,來自企業內部的安全威脅高於企業外部的安全威脅,比如 無控制行為的任意主機接入 移動儲存裝置接入 共享資料等這些都是由於企業內部網路對網路的接入控制不嚴格所導致的問題,而本小節的主要任務就是描述資料鏈路層接入控制的管制方案 交...

交換機埠安全配置

寫在前面 一般在網路中會在接入層交換機邊緣埠上配置埠安全用於防止非法或不可以信任的網路裝置接入到網路中,以便於提高網路的安全性。拓撲圖 網路需求 在接入層交換機上配置埠安全提高網路安全效能,實現網路互通。配置 sw1 gigabitethernet0 0 1 port security enable...

交換機埠安全

一 實驗要求 交換機f0 1只能連線兩台pc,多了就自動斷線 配置命令 switch config int fa0 1 switch config if switchport mode access 使用acces模式 switch config if switchport port securit...