从基本原理上讲,Port Security特性记住的是连接到 交换机端口的 以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口 安全特性会阻止它。使用端口 安全特性可以防止某些设备访问网络,并增强安全性。
配置端口安全是相对比较简单的。
编辑本段动态绑定
最简单的形式,就是Port Security需要指向一个已经启用的端口并输入Port Security接口模式命令。
Switch)#config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
在此我们通过输入最基本的命令来配置端口安全,接受了只答应一个MAC地址的默认设置,这就决定了只有第一个设备的MAC地址可以与这个端口通信;假如另一MAC地址试图通过此端口通信, 交换机会关闭此端口。下面谈一下如何可以改变此设置。
当然应该根据实际情况来配置端口安全。此例中,实际上用户还可以配置其它的端口安全命令:
switchport port-security maximum :可以使用这个选项答应多个MAC地址。例如,假如用户有一个12端口的 集线器连接到交换机的此端口,就需要12个MAC:switchport port-security maximum 12 /答应此端口通过的最大MAC地址数目为12。
switchport port-security violation [protect|restrict|shutdown]:此命令告诉 交换机当端口上MAC地址数超过了最大数量之后交换机应该怎么做,一共三个参数:protect,restrict和shutdown,默认是关闭端口(shutdown)。我们可以选择使用restrict来警告 网络管理员,也可以选择protect来答应通过安全端口通信并丢弃来自其它MAC地址的 数据包。
switchport port-security mac-address :使用此选项来手动定义答应使用此端口的MAC地址而不是由端口动态地定义MAC地址。
当然,你可以在一系列端口上配置端口安全。下面举一个例子:
Switch# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security
然而,假如在一个UPLINK端口上输入此命令,用户必须十分小心使用此选项,因为它指向不只一个设备,第二个设备一旦发送一个 数据包,整个端口就会关闭,这样可就麻烦了。
一旦你配置了端口安全而此端口上的 以太网设备又发出了数据,交换机会记录下MAC地址而且通过使用这个地址来保障端口安全。要查看 交换机上端口安全状态,可以使用show port security address 和show port-security interface命令。举例说明如下:
Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
另外,在锐捷的设备上,端口安全无法做在 端口镜像的监控端口上。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滞获取,则粘滞安全MAC地址仍作为地址表的一部分,但是已从运行配置中移除。已经被删除的地址可以作为动态地址被重新配置和添加到地址表。
如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滞安全MAC地址时,这些地址将添加到地址表和运行配置中。 如果禁用端口安全性,则粘滞安全MAC地址仍保留在运行配置中。
如果将粘滞安全MAC地址保存在配置文件中,则当交换机重新启动或者接口关闭时,接口不需要重新获取这些地址。如果不保存粘滞安全地址,则它们将丢失。如果粘滞获取被禁用,粘滞安全MAC地址则被转换为动态安全地址,并被从运行配置中删除
编辑本段静态绑定
在 动态绑定的时候我们发现有一个缺点就是,第一个接入 交换机的MAC地址会被绑定动态绑定到设备里。
为了保障万无一失,需要用到 静态绑定来指定 客户端的MAC,详细配置如下:
a) 配置静态绑定
Switch# config termi
Switch(config)# mac-address-table static 0001.4246.a36c vlan 1 interface f0/2
//将MAC 地址为0001.4246.a36c 静态绑定到vlan1 中的接口F0/2
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1
0001.4246.a36c
STATIC
Fa0/2
b) 静态指定的MAC 地址, 交换机重新启动后不会从MAC 表中丢失,动态学习到MAC地址交换机重新启动后会丢失将交换机重新启动验证 静态绑定MAC
SW1# write
Destination filename [startup-config]?
Building configuration…
[OK]
SW1# reload
c) 启动后,查看 交换机的MAC 地址表
SW1# show mac
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0001.4246.a36c
STATIC Fa0/2
1 00d0.58b6.24da
STATIC Fa0/1