Cisco 交换机端口安全

交换机 端口安全

1. 问题的产生：
   大家都熟悉，交换机的基本工作原理，以及mac地址标的形成过程。当交换机收到数据帧之后，会根据数据帧的源mac地址和接收该数据帧的接口形成映射。同时，当交换机接收到数据帧之后，将会根据mac地址表，将数据转发或者洪泛。
   根据这个基本的原理，对于交换机就产生了基本的安全防护问题。例如：
   
   在这种情况下，如果PC0受到***，或者PC0 进行***，是的自己的mac地址不断变化，并且不断向外发送数据。交换机就会不断读取数据帧中的源mac地址字段，不断地增加mac地址表映射，最终造成的结果可能是，mac 表映射不断变化和翻滚，甚至导致内存占满，mac 表溢出。如果PC0 只是作为数据接收方而言，如果PC0的地址在不断变化，导致交换机收到数据之后，查找mac地址表失败，最终只能洪泛数据。介于此，就需要对交换机资源、网络数据通信安全进行相应的保护机制。其中的第一步就是，限定交换机某个接口上对于数据访问的限制。

2. 问题的基本解决思路
   限定交换机某个接口上对于数据访问的限制。可以分为限定，交换机某个接口下，对于终端设备链接的数量，或者，将mac地址与交换机接口进行绑定，对于绑定的接口进行相应的信任操作，若出现违规现象，就采取相应的保护机制。

3. 操作方法：
   A． 在交换机接口激活端口安全：

B． 设定接口最大链接终端的数量，或者采取手工/动态地址绑定的方式：

手工绑定的方式，意味着，指定的mac地址对应的设备是被信任的；动态获取的方式意味着，交换机重启之时，会将指定接口收到的第一个mac地址与该接口绑定，这时，该mac地址对应的设备是被信任的。

C． 设置违规的惩罚机制 。

默认当原则被违反的时候，该接口执行shutdown操作，将自动进入down状态。
表现为err-disable。
protect：在违反原则的时候，不会将接口down，仅仅会把数据丢弃；
restrict：在违反原则的时候，不会将接口down，仅仅会把数据丢弃；同时将会向SNMP的服务器发送TRAP消息---表明在这个地方发生问题；

4. 接口的恢复：
   如果由于端口安全机制，导致接口进入err-disable状态，想要恢复接口的使用，可以采取两种方式：
   A． 手工将接口shutdown，然后 no shutdown 将接口激活。
   B． 可以设定自动恢复；

转载于:https://blog.51cto.com/ligtt/2311909