返回
MAC地址与端口绑定详解

MAC地址与端口绑定详解

ID:47055251

大小:73.88 KB

页数:7页

时间:2019-07-10

MAC地址与端口绑定详解_第1页
MAC地址与端口绑定详解_第2页
MAC地址与端口绑定详解_第3页
MAC地址与端口绑定详解_第4页
MAC地址与端口绑定详解_第5页
资源描述:

《MAC地址与端口绑定详解》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、MAC地址与端口绑定详解在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定,但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。一、

2、首先必须明白两个概念:可靠的MAC地址。配置时候有三种类型:静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchportport-securitymac-addressMac地址动态可靠的MAC地址:这种类型是交换机默认的类型。在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地

3、址自动会被清除。黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址可以手动配置,但是CISCO官方不推荐这样做。具体命令如下:Switch(config-if)#switchportport-securitymac-addresssticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchp

4、ortport-securitymac-addressstickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。二、违反MAC安全采取的措施:当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种:1.保护模式(protect):丢弃数据包,不发警告。2.限制模式(restrict):丢弃数据包,发警告,发出SNMPtrap,同时被记录在syslog日志里。3.

5、关闭模式(shutdown):这是交换机默认模式,在这种情况下端口立即变为err-disable状态,并且关掉端口灯,发出SNMPtrap,同时被记录在syslog日志里,除非管理员手工激活,否则该端口失效。具体命令如下:Switch(config-if)#switchportport-securityviolation{protect

6、restrict

7、shutdown}配置端口安全时还要注意以下几个问题:端口安全仅仅配置在静态Access端口;在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或者被动态划给一个VLAN的端

8、口上不能配置端口安全功能;不能基于每VLAN设置端口安全;交换机不支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时设置在同一端口上。下面把上面的知识点连接起来谈谈实现配置步骤的全部命令。1.静态可靠的MAC地址的命令步骤:Switch#configterminalSwitch(config)#interfaceinterface-id进入需要配置的端口Switch(config-if)#switchportmodeAccess设置为交换模式Switch(config-if)#switchportport-secu

9、rity打开端口安全模式Switch(config-if)#switchportport-securityviolation{protect

10、restrict

11、shutdown}上面这一条命令是可选的,也就是可以不用配置,默认的是shutdown模式,但是在实际配置中推荐用restrict。Switch(config-if)#switchportport-securitymaximumvalue上面这一条命令也是可选的,也就是可以不用配置,默认的maximum是一个MAC地址,2950和3550交换机的这个最大值是132。其实上面这几条命令在

12、静态、黏性下都是一样的,Switch(config-if)#switchportport-securitymac-addressMAC地址上面这一条命令就说明是配置

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。