Cisco 交换机端口安全

交换机 端口安全

  1. 问题的产生:
    大家都熟悉,交换机的基本工作原理,以及mac地址标的形成过程。当交换机收到数据帧之后,会根据数据帧的源mac地址和接收该数据帧的接口形成映射。同时,当交换机接收到数据帧之后,将会根据mac地址表,将数据转发或者洪泛。
    根据这个基本的原理,对于交换机就产生了基本的安全防护问题。例如:

    在这种情况下,如果PC0受到***,或者PC0 进行***,是的自己的mac地址不断变化,并且不断向外发送数据。交换机就会不断读取数据帧中的源mac地址字段,不断地增加mac地址表映射,最终造成的结果可能是,mac 表映射不断变化和翻滚,甚至导致内存占满,mac 表溢出。如果PC0 只是作为数据接收方而言,如果PC0的地址在不断变化,导致交换机收到数据之后,查找mac地址表失败,最终只能洪泛数据。介于此,就需要对交换机资源、网络数据通信安全进行相应的保护机制。其中的第一步就是,限定交换机某个接口上对于数据访问的限制。

  2. 问题的基本解决思路
    限定交换机某个接口上对于数据访问的限制。可以分为限定,交换机某个接口下,对于终端设备链接的数量,或者,将mac地址与交换机接口进行绑定,对于绑定的接口进行相应的信任操作,若出现违规现象,就采取相应的保护机制。

  3. 操作方法:
    A. 在交换机接口激活端口安全:

B. 设定接口最大链接终端的数量,或者采取手工/动态地址绑定的方式:

手工绑定的方式,意味着,指定的mac地址对应的设备是被信任的;动态获取的方式意味着,交换机重启之时,会将指定接口收到的第一个mac地址与该接口绑定,这时,该mac地址对应的设备是被信任的。

C. 设置违规的惩罚机制 。

默认当原则被违反的时候,该接口执行shutdown操作,将自动进入down状态。
表现为err-disable。
protect:在违反原则的时候,不会将接口down,仅仅会把数据丢弃;
restrict:在违反原则的时候,不会将接口down,仅仅会把数据丢弃;同时将会向SNMP的服务器发送TRAP消息---表明在这个地方发生问题;

  1. 接口的恢复:
    如果由于端口安全机制,导致接口进入err-disable状态,想要恢复接口的使用,可以采取两种方式:
    A. 手工将接口shutdown,然后 no shutdown 将接口激活。
    B. 可以设定自动恢复;

转载于:https://blog.51cto.com/ligtt/2311909

你可能感兴趣的:(Cisco 交换机端口安全)