收藏
下载资源

工程3项目4端口安全概要

上传人:今*** 文档编号:108185701 上传时间:2019-10-22 格式:PPT 页数:27 大小:503KB
返回 下载 相关 举报
工程3项目4端口安全概要_第1页
第1页 / 共27页
工程3项目4端口安全概要_第2页
第2页 / 共27页
工程3项目4端口安全概要_第3页
第3页 / 共27页
工程3项目4端口安全概要_第4页
第4页 / 共27页
工程3项目4端口安全概要_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《工程3项目4端口安全概要》由会员分享,可在线阅读,更多相关《工程3项目4端口安全概要(27页珍藏版)》请在金锄头文库上搜索。

1、交换机接入安全,工程3项目4,第22讲,课程议题,交换机端口安全,交换机端口安全概述,交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。,交换机端口安全概述,交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 配置安全端口后的效果 源地址为规定的安全地址的数据包可以转发,其它数据包不再转

2、发。 一个安全端口只能转发规定个数的源地址的数据包。 安全地址的配置方法 手工配置所有的安全地址。 交换机自动学习安全地址。 手工配置+交换机自动学习。,交换机端口安全违例及处理方式,安全违例: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,一个安全违例将产生; 如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。 安全违例处理方式: Protect:当安全地址个数满后,安全端口将丢弃未知地址(不是该端口的安全地址中的任何一个)的包。 RestrictTrap:当违例产生时,交换机不但丢弃接收到的帧(MAC地址不在安全地址表中),而且将发送

3、一个SNMP Trap报文。 Shutdown:当违例产生时,交换机将丢弃接收到的帧(MAC地址不在安全地址表中),发送一个SNMP Trap报文,而且将端口关闭。,端口安全的默认设置,端口安全开关:所有端口均关闭端口安全功能 最大安全地址个数:128 安全地址:无 违例处理方式:protect(保护),配置安全端口,开启端口安全功能 switchport port-security 打开该接口的端口安全功能 举例: switch(config)#Interface fastethernet 0/1 switch(config)#switchport mode access switch(co

4、nfig-if)# switchport port-security 关闭端口安全功能 switch(config)#Interface fastethernet 0/1 switch(config-if)# no switchport port-security 关闭该接口的端口安全功能,配置安全端口,端口安全最大连接数配置及处理违例的方式 switchport port-security maximum number 设置接口上安全地址的最大个数,范围是1128,缺省值为128。 switchport port-security violation protect| restrict |

5、shutdown 设置处理违例的方式,举例: switch(config)#Interface fastethernet 0/1 switch(config-if)# switchport mode access switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 2 switch(config-if)# switchport port-security violation protect,配置安全端口上的处理违例,当端口由于违规操作而进入“err-dis

6、abled”状态后,必须在全局模式下使用如下命令手工将其恢复为UP状态:,Switch(conifg)#errdisable recovery 注意:思科交换机上处理方式是:先用shutdown命令关闭端口,再用no shutdown命令打开 端口。,配置安全端口,端口的安全地址绑定:端口-MAC-IP绑定 switchport port-security 打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address 手工配置接口上的安全地址。 使用指导:如果你将一个IP 地址和一个指定的

7、MAC 地址绑定,则当帧的源MAC 地址不为这个IP 地址绑定的MAC 时,这个帧将会被交换机丢弃。 在接口配置模式下,你可以使用命令no switchport port-security mac-address mac-address ip-address ip-address来删除该接口的安全地址。,注:1、端口安全功能只能在access端口上进行配置。 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,配置安全端口,端口的安全地址绑定的三种方式: switch(config-if)# switchport port-security mac-address 0014.2abc

8、.9b4a switchport port-security ip-address 192.168.1.10 switch(config-if)# switchport port-security mac-address 0014.2abc.9b45 ip-address 192.168.1.10 注意:在计算机上用ipconfig/all命令查出来的MAC地址形式为: Physical Address. . . . . . . . . : 00-14-2A-BC-9B-45,配置安全端口,配置安全地址的老化时间 : 你可以为一个接口上的所有安全地址配置老化时间。打开这个功能,你需要设置安全地

9、址的最大个数,这样,你就可以让交换机自动的增加和删除接口上的安全地址。 switchport port-security aging static 表示老化时间将同时应用于手工配置的安全地址和自动学习的地址,否则则只应用于自动学习的地址。 switchport port-security aging time time 表示这个端口上安全地址的老化时间,范围是 01440单位是分钟。如果设置为 0,则老化功能实际上被关闭。 no switchport port-security aging time来关闭一个接口的安全地址老化功能。 no switchport port-security ag

10、ing static来使老化时间仅应用于动态学习到的安全地址。,配置安全端口,配置安全地址的老化时间 : 下面的例子说明了如何配置一个接口fastethernet 0/3上的端口安全的老化时间,老化时间设置为8分钟,老化时间应用于静态配置的安全地址: Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport port-security aging time 8 Switch(config-if)# switchport port-security agi

11、ng static Switch(config-if)# end,配置安全端口的限制,一个安全端口不能是一个aggregate port 。 一个安全端口只能是一个access port。 一个安全端口上的安全地址格式应保持一致。 当一个安全端口同时应用了ACL后,该端口上所能设置的安全地址个数将会减少。 当端口因为违例而被关闭后,在全局配置模式下使 用命令errdisable recovery 来将接口从错误状态中恢复过来。 在同一个端口上不能同时应用绑定 IP 的安全地址和安全 ACL,否则系统会提示“属性冲突”.,端口安全配置示例(1),下面的例子是配置接口fastethernet0/3

12、上的端口安全功能,设置最大地址个数为8,设置违例方式为protect。主要应用在与HUB连接的交换机端口。 Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect /

13、当违例发生时丢弃违例包,端口安全配置示例(2),下面的例子是配置接口fastethernet0/3上的端口安全功能,实现端口+MAC+IP地址绑定。主机MAC为00d0.f800.073c,IP为192.168.10.10 Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switc

14、h(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.10.10,端口安全应用配置示例(3),MAC地址与端口绑定: 3550-1(config)#int fa0/1 3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security 3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的M

15、AC地址数为1。 3550-1(config-if)#switchport port-security mac-address 0090.F510.79C1 /配置MAC地址。 3550-1(config-if)#switchport port-security violation shutdown /当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。 应用环境:主要应用在接入层交换机的端口安全配置。,端口安全应用配置示例(4),通过MAC地址来限制端口流量,此配置允许一级连端口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。(不适合

16、于锐捷交换机) 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /配置端口模式为access。 3550-1(config-if)#switchport port-security 3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。 3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。 应用环境:主要应用在汇聚层交换机的端口安全配置。,验证命令,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等。 Switch#show port-security 查看安全地址信息。 Switch# show port-security address 查看特定接口的安全配置信息。 Sw

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号