欢迎来到天天文库
浏览记录
ID:39408442
大小:41.00 KB
页数:5页
时间:2019-07-02
《思科交换机Port-Security配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、思科交换机端口安全(Port-Security)CiscoCatalyst交换机端口安全(Port-Security)1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到
2、此端口所发送的数据包则认为非法,做丢弃处理。b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的m
3、ac地址:Switch#configterminalSwitch(config)#inte**ceinte**ce-id进入需要配置的端口Switch(config-if)#switchportmodeaccess设置为交换模式Switch(config-if)#switchportport-security打开端口安全模式Switch(config-if)#switchportport-securityviolation{protect
4、restrict
5、shutdown}//针对非法接入计算机,端
6、口处理模式{丢弃数据包,不发警告
7、丢弃数据包,在console发警告
8、关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。b、接受某特定计算机mac地址:Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolation{protect
9、restrict
10、shutdown}//以上步骤与a同
11、Switch(config-if)#switchportport-securitymac-addressstickySwitch(config-if)#switchportport-securityagingstatic//打开静态映射Switch(config-if)#switchportport-securitymac-addresssticky**X.**X.**X//为端口输入特定的允许通过的mac地址mac地址与ip地址绑定基本原理:在交换机内建立mac地址和ip地址对应的映射表。端口获得的
12、ip和mac地址将匹配该表,不符合则丢弃该端口发送的数据包。实现方法:Switch#configterminalSwitch(config)#arp1.1.1.10001.0001.1111arpa该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,**具体端口通过的MAC地址的
13、数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchportm
14、odeaccess/指定端口模式。 3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1//配置MAC地址。 3550-1(config-if)#switchportport-securitymaximum1//**此端口允许通过的MAC地址数为1。 3550-1(config-if)#switchportport-securityviolationshutdow
此文档下载收益归作者所有