交换机端口安全

交换机端口安全

        之所以可以做到交换机端口的安全，是因为它的端口安全特性所决定的。作用也就是当具有非法MAC地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备的接入，也可以限制某个端口上最大的地址数。在这看到下图了，我们只允许R1接入。如图：

好了接下来就开始吧。首先第一步来查看下R1的G0/0接口的MAC

R1(config)#int g0/0

R1(config)#ip address 172.16.0.101 255.255.255.0

R1(config)#no shut

R1#show int g0/0

可以看到g0/0接口的MAC地址，记住了。后面会用到的，这里是( 0019.5535.b828)。

        那么第二步就开始配置交换机端口安全了。

S1(config)#int f0/1

S1(config-if)#shutdown

S1(config-if)#switch mode access    //把端口改为访问模式，用来接入计算机

S1(config-if)#switch port-security   //打开交换机的端口安全功能

S1(config-if)#switch port-security maximum 1  //是设置在该端口下所允许的MAC条目最大数量为1，也就是只允许一台设备接入

S1(config-if)#switch port-security violation shutdown   //当新的计算机接入时，超过最大条目1时该端口会关闭，并且新的计算机和原有的计算机都无法接入了，则需要管理员"no shutdown"重新打开该端口

       有人会觉得这个办法不是太好，那么在这里其实是还有其他值可供选择的“protect和restrict“。protect的作用是当新的计算机接入时，MAC的最大条目也超出，接口不会被关闭，交换机也不发送警告信息。restrict则是当新的计算机接入时，该端口MAC条目超出最大数量，接口不转发数据包，但是接口不会被关闭，交换机将发出警告信息。

下面配置交换机的管理地址：

S1(config-if)#switchport port-security mac-address 0019.5535.b828   //设置允许R1接入

S1(config-if#no shut

S1(config)#int vlan 1

S1(config-if)#no shut

S1(config-if)#ip address 172.16.0.1 255.255.0.0

    到这一步就配完了，为了确定是否成功，可以用命令"shou mac-address-table"来查看MAC表里是否添加进一条静态的mac地址记录。

R1(config)#int g0/0

R1(config-if)#mac-address MAC地址

也可以像上面那样在R1上修改g0/0端口的MAC来模拟一台外来设备来进行测试。

 

本文出自 “前途是光明的，道路是..” 博客，谢绝转载！