欢迎来到天天文库
浏览记录
ID:47201555
大小:68.40 KB
页数:5页
时间:2019-08-24
《思科交换机端口安全(Port-Security)配置方法详解》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、思科交换机端口安全(Port-Security)CiscoCatalyst交换机端口安全(Port-Security)1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。2>Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的
2、数据包则认为非法,做丢弃处理。b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入讣算机网卡的D13C地址來实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。5、实现方法:针对第3条的两种应用,分别不同的实现方法a>接受第一次接入该端口计算机的mac地址:Switc
3、h#configterminalSwitch(config)#inte**ceinte**ce-id进入需要配置的端口Switch(config-if)#switchportmodeaccess设置为交换模式Switch(config-if)#svitchportport-security打开端口安全模式Switch(config-if)#switchportport-securityviolation{protectrestrict
4、shutdown}//针对非法接入计算机,端口处理模式{丢弃数据包,不发
5、警告丨丢弃数据包,在console发警告丨关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。b、接受某特定计算机mac地址:Switch(config-if)ttswitchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolation{protectrestrict
6、shutdown}〃以上步骤与a同Switch(config~if)#s
7、witchportport~securitymac-addressstickySwitch(config-if)#switchportport-sccurityagingstatic//扌『开静态映射Switch(config-if)#switchportport-securitymac-addresssticky**X.**X.**X〃为端口输入特定的允许通过的mac地址mac地址与ip地址绑定基本原理:在交换机内建立mac地址和ip地址对应的映射表。端口获得的ip和mac地址将匹配该表,不符合则丢弃该端口
8、发送的数据包。实现方法:Switch#configterminalSwitch(config)#arp1.1.1.10001.0001.1111arpa该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,**具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过
9、。稍微引中下端口安全,就是可以根据802.IX来控制网络的访问流量。首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。3550-lttconft3550-1(config)ttintf0/l3550-1(config~if)#switchportmodeaccess/指定端口模式。3550-1(config-if
10、)#switchportport-securitymac-address00-90-F5-10-79-C1//配置MAC地址。3550~l(config-if)#switchportport~securitymaximum1//**此端口允许通过的MAC地址数为lo3550-1(config-if)#switchportport-securityviolationshutdown〃当发现与上述配置不
此文档下载收益归作者所有