夜樱

CCNA - cisco交换机端口安全管理
交换机作为网络设备中的一种,提供了一个新的解决方案对于如何减少网路设备以及资金额度提供多台终端设备连接至互联网络,...
扫描右侧二维码阅读全文
30
2019/10

CCNA - cisco交换机端口安全管理

交换机作为网络设备中的一种,提供了一个新的解决方案对于如何减少网路设备以及资金额度提供多台终端设备连接至互联网络,交换作为一个重要的网络接入设备有必要去理解其工作原理,这里简单了解如何配置思科交换机上端口安全的策略以及配置方法

Configuring Switch Port Security

网络设备配置的工作者,在平时配置路由器设备时候通常需要对端口进行一个安全配置,因为作为一个网络服务提供者以及维网络护都必须保证其用户数据信息的安全,在公司内部时若配置好了网络互联但是忘记进行安全配置可是一个致命伤害,因为其他有心人只要能摸到设备或者通过其他手段,用网络数据线或其他远程连接至交换机,即可在网卡上配置混合模式启用抓包软件监听在此交换机上所有流通的数据包收集用户的数据信息。

交换机是一个工作在数据链路层(第二层 Data-Link layer)上的设备,主要负责的就是将多个终端设备连接起来转发和传递终端设备的数据包,当然如今现在的科技技术下已经产生了具有路由功能的交换机具有与路由器相同功能工作在网络层(Network layer)上.
这里只介绍下最基本的工作在第二层的交换机。

若我们在交换机端口上进行安全配置绑定我们设备的mac地址,当陌生的设备接入时候就无法被接入进网络其发送的数据包也会被交换机直接丢弃。

思科提供了三种方式用于在端口安全内配置MAC地址的方法:
静态绑定-静态安全的MAC地址-手动配置(一个端口对应指定的一个mac地址)
动态绑定-动态安全的MAC地址-动态学习和删除
粘性绑定-粘性安全的MAC地址-动态学习并添加到运行配置中(可以保存到startup-config以永久保留MAC地址)

如何启用端口安全模式?

1.首先进入对应接口
2.输入命令:switchport port-security (回车即可)

端口安全违规模式

分为三级:
Protect-保护级:来自未知源的MAC地址的数据被删除丢弃;交换机不会显示安全通知
Restrict-限制级:未知源MAC地址数据将会被丢弃;上报安全通知,由交换机的违反计数器记录违规次数
Shutdown-关闭级:(默认模式)违规设备接入后接口将变得error-disabled和端口关闭。违反计数器记录。可在接口上发出关闭和no shutdown命令,使其脱离错误禁用状态

可参照此表对应相对应的规则行为

violation modes.png

基本配置命令:

S1(config-if-range)# switchport port-security #开启端口安全模式
S1(config-if-range)# switchport port-security maximum <number> #限制端口可访问的设备最大数量
S1(config-if-range)# switchport port-security mac-address 

static/dynamic/sticky #选择mac地址绑定方法 静态/动态/粘性

S1(config-if-range)# switchport port-security violation protect/restrict/shutdown #选择端口违规策略等级 保护/限制/关闭

端口保护验证命令:

show port-security interface #验证特定端口上允许的MAC地址的最大数量,以及使用static/dynamic/sticky动态学习的这些地址以及具体情况
show running-config #查看已学习的MAC地址添加到配置中
show port-security address #显示在特定端口上学习的MAC地址

基本配置简例:

S1(config)# interface range fa0/1 – 2
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport port-security
S1(config-if-range)# switchport port-security maximum 1
S1(config-if-range)# switchport port-security mac-address sticky
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# interface range f0/3–24,g0/1 – 2 #选择不需要的端口进行关闭
S1(config-if-range)# shutdown
Last modification:October 30th, 2019 at 05:53 pm
If you think my article is useful to you, please feel free to appreciate

One comment

  1. repostone

    非技术的路过。

Leave a Comment