2024-09-02 07:14:27,某些文章具有时效性,若有错误或已失效,请联系星雨站长!一、概念
端口安全(Port Security),从基本原理上讲,Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性。另外,端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。 常见的端口安全有绑定其MAC地址,只允许本台物理设备访问网络,一般安全性较高的公司不允许私人电脑连接公司内网,即使连接上也是无法访问网络的。也有的限制其最大的连接数,当超过一定数量的MAC地址时,自动关闭端口来保护网络,这两种方法都能有效的防止MAC欺骗和泛洪攻击。
二、拓扑图示例
三、配置步骤
1.进入接口配置模式
Switch(config)# interface range fa 0/1-42. 设置端口模式为接入模式
Switch(config-if)# switchport mode access
3. 启用端口安全功能
Switch(config-if)# switchport port-security启用端口安全功能,这允许进一步配置端口安全的相关参数。
4.设置最大允许的MAC地址数量为2
Switch(config-if)# switchport port-security maximum 2指定该端口最多可以学习和允许2个MAC地址。这有助于限制连接到该端口的设备数量,增强安全性。
5. 设置违反安全策略时的动作为关闭端口
Switch(config-if)# switchport port-security violation shutdown当检测到违反安全策略(如连接的设备超过允许的MAC地址数量)时,将端口置于错误禁用(err-disabled)状态,并关闭该端口。这是最严格的安全措施。
6.启用粘性MAC地址学习
Switch(config-if)# switchport port-security mac-address sticky使端口可以自动学习并记住连接设备的MAC地址。学习到的MAC地址将被自动添加到运行配置中,并在设备重启时保留。这有助于自动管理连接设备,而无需手动配置每个MAC地址。‘
7.手动配置一个允许的MAC地址
Switch(config)# interface fa 0/1
Switch(config-if)# switchport port-security mac-address 0000.1111.22220000.1111.2222
四、端口安全(Port Security)模式
主要有以下几种模式,用于处理违反安全策略的情况:
-
保护模式(Protect Mode)
-
限制模式(Restrict Mode)
-
关闭模式(Shutdown Mode)
1. 保护模式(Protect Mode)
在保护模式下,当端口接收到超过允许数量的MAC地址时,超出的MAC地址将被丢弃,不会影响已授权的MAC地址的通信。不会生成任何警告或日志记录。
配置示例:
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport port-security violation protect在限制模式下,当端口接收到超过允许数量的MAC地址时,超出的MAC地址将被丢弃,同时交换机会生成一个SNMP陷阱和日志记录。这样管理员可以收到警告并采取相应措施。
配置示例:
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport port-security violation restrict在关闭模式下,当端口接收到超过允许数量的MAC地址时,端口将被自动关闭,并且被置于错误禁用(err-disabled)状态,需要手动或自动重新启用。此模式是默认模式,也是最严格的安全措施。
配置示例:
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport port-security violation shutdown-
保护模式:丢弃超出限制的MAC地址,不生成警告。
-
限制模式:丢弃超出限制的MAC地址,并生成警告和日志。
-
关闭模式:禁用端口,并生成错误禁用状态,需要人工干预。
每种模式都适用于不同的安全需求,管理员可以根据具体的网络安全策略选择合适的模式进行配置。
私信站长