6.3.7 端口安全
借助安全端口,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
当配置端口安全时,应当注意以下问题:
安全端口不能是Trunk端口。
安全端口不能是Switch Port Analyzer (SPAN)的目的端口。
安全端口不能是属于EtherChannel的端口。
安全端口不能是private-VLAN端口。
1.配置安全端口
第一步:进入全局配置模式。
Switch# configure terminal
第二步:指定欲配置端口安全的接口。
Switch(config)# interface interface_id
第三步:将接口设置为访问模式。
Switch(config-if)# switchport mode access
第四步:在接口启用端口安全。
Switch(config-if)# switchport port-security
第五步:(可选)在接口设置安全MAC地址的最大数量,以限制该端口所连接的计算机数量。取值范围为1~3 072,默认值是1。
Switch(config-if)# switchport port-security maximum value
第六步:(可选)设置违例发生后的处理模式。当安全违例事件发生时,将端口置于restrict或shutdown模式。选择restrict模式时,当非法MAC地址或太多MAC连接至该接口时,将丢弃数据包,并向网管计算机发送SNMP陷阱通知。选择shutdown模式时,发生安全错误的端口将被置于error-disable状态,除非网络管理员使用no shutdown命令手工激活,否则该端口失效。
Switch(config-if)# switchport port-security violation {restrict | shutdown}
第七步:设置坏包速率限制。
Switch(config-if)# switchport port-security limit rate invalid-source-mac
第八步:(可选)为该接口指定安全MAC地址。也可以使用该命令指定最大安全MAC 地址数。如果指定的MAC地址数量少于安全地址的最大数量,动态学习的MAC地址将被保留。
Switch(config-if)# switchport port-security mac-address mac_address
第九步:在端口启动sticky learning。
Switch(config-if)# switchport port-security mac-address sticky
第十步:返回特权EXEC模式。
Switch(config-if)# end
第十一步:查看并校验配置。
Switch# show port-security address interface interface_id
Switch# show port-security address
第十二步:保存当前配置。
Switch# copy running-config startup-config
【注意】 使用no switchport port-security mac-address mac_address命令,可以从地址表中删除MAC地址。
2.设置端口安全老化
当为端口指定最大MAC地址数时,为了保障该端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间未连接的MAC地址,从而不必手动删除,减少网络维护的工作量。
第一步:进入全局配置模式。
Switch# configure terminal
第二步:指定欲配置端口安全老化的接口。
Switch(config)# interface interface_id
第三步:为安全端口设置老化时间和老化类型。老化时间的取值范围为0 ~ 1440分钟。采用absolute模式时,一旦到达指定的老化时间,那么,即将从安全地址列表中移除。采用inactivity时,即使到达指定的老化时间,如果没有其他数据通信,那么,MAC地址仍然被保留在安全地址列表中。
Switch(config-if)# switchport port-security [ aging time aging_time | type {absolute | inactivity} ]
第四步:返回特权EXEC模式。
Switch(config-if)# end
第五步:查看并校验配置。
Switch# show port security [interface interface_id] [address]
第六步:保存当前配置。
Switch# copy running-config startup-config
| 回书目 上一节 下一节 |
|
· 第六章 你能帮我吗?.. · Linux笔试面试题选摘测.. · 08年5月软考网管上午真.. · 性能测试从零开始 目录 · 08年5月软考网工上午真.. · 上周拒绝服务攻击(DDo.. |
· 08年5月各大网上书店及.. · 2008年5月24日软考试题.. · 软件设计师专家临考模.. · 上周网络管理员专家自.. · 网络工程师自测获奖名.. · 08年4月各大网上书店及.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
