Cisco交換機的埠安全功能簡析

2021-12-30 00:45:11 字數 4353 閱讀 4611

cisco交換機的埠安全功能簡析

以下內容摘自剛剛上市的《cisco/h3c交換機高階配置與管理技術手冊》一書。

cisco ios交換機中的埠安全(port security)功能可以使你限制在埠上使用的mac位址(稱之為「安全mac位址」)數,允許你阻止未授權mac位址的訪問,其實也就是通常所說的埠與mac位址繫結。

埠安全功能簡介

cisco ios交換機的埠安全功能允許你通過配置靜態安全mac位址實現僅允許固定裝置連線,也允許你在乙個埠上配置乙個最大的安全mac位址數,僅允許在此數之前識別到的裝置連線在該埠上。當超過了所設定的最大安全埠數,將觸發乙個安全違例事件,在埠上配置的乙個基於違例行為模式的違例行為將被執行。如果你在某個埠上配置的最大安全mac位址數為1,則裝置上的該安全埠僅允許與固定裝置連線。如果乙個安全mac位址在乙個埠上進行了安全繫結,則這個mac位址不能進入該埠加入的vlan以外的任何其他埠,否則包將在硬體層被悄悄地丟棄。

1.    埠安全功能支援的安全mac位址型別  www.2cto.com  

cisco ios交換機埠安全功能支援以下幾種安全mac位址型別:

l  動態或者學習型別:動態安全mac位址是在接收到連線在安全埠上主機發來的包時學習到的。在使用者的mac位址不固定時(如網路使用者使用的經常移動的可攜式電腦,如膝上型電腦),你可以使用此種型別。

l  靜態或配置型別:靜態安全mac位址是使用者通過cli或者snmp配置的mac位址。在你的mac位址保持固定時(如使用者使用的是pc機),可以使用這種型別。

l  粘性(sticky)型別:粘性安全mac位址也是像動態安全mac位址一樣,是通過學習得到的,但是它是交換機重啟後仍然有效,又有點像靜態安全mac位址那樣。在存在大量固定mac位址,而且你又不想手動配置這些安全mac位址時,就可以使用這種型別。

如果乙個埠已達到了它最大的安全mac位址數,而你又想配置乙個靜態安全mac位址,此時會被拒絕的,並顯示乙個錯誤提示。如果乙個埠已達到了它最大的安全mac位址數,而又新增了乙個新的動態安全mac位址,則會觸發乙個違例行為。

你可以使用clear port-security命令清除動態安全mac位址,你可以使用no switchport port-security mac-address命令一次性清除粘性和靜態安全mac位址。

2.    安全mac位址的最大數

乙個安全埠預設有乙個安全mac位址。你可以改變這個預設值在1~3000之間。當你在乙個埠上設定最大安全mac數後,你可以以下任一方式在位址表中包括這些安全mac位址:

l  你可以使用switchport port-security mac-address mac_address介面配置模式命令配置安全mac位址。

l  你可以通過port-security mac-address vlan範圍配置命令在中繼埠上乙個範圍vlan中配置所有安全mac位址。

l  你可以允許埠用所連線裝置的mac位址動態配置安全mac位址。

l  你可以靜態配置一些安全mac位址,而允許其餘的安全mac位址動態配置(如果埠鏈路關閉,則該埠上所有動態安全mac位址將不再是安全的)。

l  你可以mac位址為粘性的(sticky)。這些安全mac位址可以動態學習,也可以手動配置,然後儲存在mac位址表中,並新增到執行配置檔案中。然後這些位址會儲存在交換機的啟動配置檔案中,在交換機重啟後,介面不用再重新學習。雖然你可以手動配置粘性安全mac位址,但這種做法是不建議的。  www.2cto.com

【經驗之談】在乙個中繼埠上,最大的安全mac位址數可以基於埠和基於埠vlan來配置。埠上配置的最大安全mac位址數可以大於或等於(不能小於)埠vlan上配置的最大安全mac位址數。如果埠上配置的最大安全mac位址數小於埠vlan上配置的最大安全mac位址數(例如vlan 10上設定的最大安全mac位址為3,而埠的最大安全mac位址數採用預設的1),則在埠vlan上的安全mac位址數超過埠上設定的最大安全mac位址數時,埠就將被關閉。

3.安全mac位址老化

在接收超過3000個mac位址時,你可能想要老化安全mac位址,以便對一些長時間沒有連線的安全mac位址從mac位址表中除去。但是粘性(sticky)安全mac位址不支援老化過程。

預設情況下,埠安全不會對安全位址進行老化的,學習到後,這個mac位址將一直在埠上保留,直到交換機重啟或才鏈路斷開(當然這是在沒有啟用粘性mac位址功能時)。埠安全允許你基於絕對(absolute)或者靜止(inactivity)模式配置mac位址老化和老化時間。絕對模式的老化週期是n~n+1分鐘之間;靜止模式的老化週期是在n+1~n+2分鐘之間(時間增量為1分鐘)。

使用安全mac位址老化功能可以還沒達到埠上配置的最大安全mac位址數之前,在安全埠上刪除和新增pc,無需手動刪除現有的安全mac位址。

除非明確地使用switchport port-security aging static命令靜態配置mac位址老化時間,靜態安全mac位址是不會進行老化程序的,即使在在該埠上配置了老化程序。

4.埠上的粘性mac位址

通過啟用粘性埠安全功能,你可以配置乙個介面去轉換動態mac位址為粘性安全mac位址,並新增他們到交換機的執行配置檔案中。在你不需要使用者移動到其他埠時,你可以使用這種功能,這樣你就無需要在每個埠上手動配置大量的安全mac位址。

要啟用粘性埠安全功能,可鍵入switchport port-security mac-address sticky介面配置模式命令。此時,介面將轉換所有動態安全mac位址為粘性安全mac位址,包括在啟用粘性安全mac位址功能前動態學習到的所有mac位址。

粘性安全mac位址不會自動成為交換機啟動配置檔案的一部分,如果你儲存了執行配置檔案,則在交換機重啟後,介面也不用再重新學習mac位址了,但是如果你不儲存執行配置檔案,則以前自動轉換的粘性安全mac位址表將丟失。

如果禁止粘性埠安全功能,則粘性安全mac位址將自動轉換為動態安全mac位址,並自動從交換機的執行配置檔案中刪除。在配置了最大安全mac位址數後,這些粘性安全mac位址將以表的形式儲存。要使某裝置成為某埠唯一的連線者,則可以在該埠上配置最大的安全mac位址數為1。如果新增到某埠的安全mac位址數超過配置的最大安全mac位址數將發生違例事件。

5. 違例行為模式  www.2cto.com  

你可以配置發生違例事件後所採取的行為模式:

l    保護(protect):當安全mac位址數超過埠上配置的最大安全mac位址數時,未知源mac位址的包將被丟棄,直到mac位址表中的安全mac位址數降到所配置的最大安全mac位址數以內,或者增加最大安全mac位址數。而且這種行為沒有安全違例行為發生通知。建議不要在中繼埠上配置保護行為,因為在中繼埠上某個vlan達到該vlan中所配置的最大安全mac位址數時埠將被禁止,即使埠上的安全mac位址數並未達到埠上配置的最大安全mac位址數。

l  限制(restrict):與前面的保護模式差不多,也是在安全mac位址數達到埠上配置的最大安全mac位址數時,未知源mac位址的包將被丟棄,直到mac位址表中的安全mac位址數降到所配置的最大安全mac位址數以內,或者增加最大安全mac位址數。但這種行為模式會有乙個snmp捕獲訊息傳送,並記錄系統日誌,違例計數器增加1。snmp捕獲通知傳送的頻率可以通過snmp-server enable traps port-security trap-rate命令來控制,預設值為0,表示在發生任何安全違例事件時傳送snmp捕獲通知。

l  關閉(shutdown):發生安全違例事件時,埠立即呈現錯誤(error-disabled)狀態,關閉埠(埠指示燈熄滅)。同時也會傳送乙個snmp捕獲訊息並記錄系統日誌,違例計數器增加1。在想禁止非mac位址,需要安全安全環境下,你可以使用這種模式。

l  關閉vlan(shutdown vlan):適用於vlan的安全違例模式。在這種模式下,在發生安全違者罰款例事件時,該埠對應的vlan都將呈錯誤禁止狀態,關閉對應vlan,而不關閉對應的埠。

表15-1列出了各種違例模式和對應採取的行為。

當乙個安全埠處於錯誤禁止(error-disabled)狀態,你可以通過errdisable recovery causepsecure-violation全域性配置模式命令進行恢復,或者你可以通過shutdown和no shut down介面配置模式命令重啟。如果埠是處於每vlan錯誤禁止(per-vlan errdisable)狀態,則你可以使用clear errdisable inte***ce name vlan range命令在埠上重啟這個vlan。你也可以使用errdisable recovery interval interval命令自定義從指定的錯誤禁止狀態恢復的時間,預設為300秒。  www.2cto.com  

【經驗之談】如果你可以預見有非法安全mac位址包將在某埠上傳送,你可能想要在安全埠上對非法安全mac位址包進行傳輸速率限制。埠安全認為mac位址為0的包為組播或廣播源mac位址,認為是非法包。你可以選擇限制這些包的傳輸速率,在超過速率時將在埠上捕獲乙個違例事件。也就為像組播或廣播包傳輸留有一定的空間。  

摘自 王達專欄

Cisco交換機埠安全

cisco交換機埠安全 通過埠設定,可以限制允許訪問交換機上某個埠的mac位址以及ip 可選 來實現嚴格控制對該埠的輸入,最終確保網路接入安全.配置網路安全時應該注意如下問題 1.下面四種埠不能設定 a.不能是trunk口.b.不能是span口 c.不能是etherchannel口 d.不能是pri...

cisco交換機埠模式

switch mode詳解 cisco網路中,交換機在區域網中最終穩定狀態的介面型別主要有四種 access trunk multi dot1q tunnel。1 access 主要用來接入終端裝置,如pc機 伺服器 列印伺服器等。3 multi 在乙個線路中承載多個vlan,但不像trunk,它不...

交換機埠安全

一 實驗要求 交換機f0 1只能連線兩台pc,多了就自動斷線 配置命令 switch config int fa0 1 switch config if switchport mode access 使用acces模式 switch config if switchport port securit...