收藏
下载资源

交换机端口安全portsecurity超级详解最新

上传人:1824****985 文档编号:278349772 上传时间:2022-04-17 格式:DOCX 页数:14 大小:17.06KB
返回 下载 相关 举报
交换机端口安全portsecurity超级详解最新_第1页
第1页 / 共14页
交换机端口安全portsecurity超级详解最新_第2页
第2页 / 共14页
交换机端口安全portsecurity超级详解最新_第3页
第3页 / 共14页
交换机端口安全portsecurity超级详解最新_第4页
第4页 / 共14页
交换机端口安全portsecurity超级详解最新_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《交换机端口安全portsecurity超级详解最新》由会员分享,可在线阅读,更多相关《交换机端口安全portsecurity超级详解最新(14页珍藏版)》请在金锄头文库上搜索。

1、交换机端口安全portsecurity超级详解 交换机端口安全 p o r t s e c u r i t y超级详 解 标准化管理处编码BBX968T-XBB8968-NNJ668-MM9N 交换机端口安全Port-Security超级详解 交换安全】交换机端口安全Port-Security超级详解 一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量) 限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤) 当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Por

2、t-Security功能来实现: 二、理解Port-Security 安全地址:secure MAC address 在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址 secure MAC address。 安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC addres

3、s(SecureSticky)三种方式进行配置。 当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。 2.当以下情况发生时,激活惩罚(violation): 当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施 当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩

4、罚措施 当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取: 在接口下使用switchport port-security mac-address 来配置静态安全地址表项 使用接口动态学习到的MAC来构成安全地址表项 一部分静态配置,一部分动态学习 当接口出现up/down,则所有动态学习的MAC安全地址表项将清空。而静态配置的安全地址表项依然保留。 与Sticky MAC地址 上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down 后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都

5、用switchport port-security mac-address手工来配置,工作量又太大。因此这个sticky mac地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“ (实际上是SecureSticky)的表项。 在up/down现象出现后仍能保存。而在使用wr后,这些sticky安全地址将被写入 start-up config,即使设备重启也不会被丢失。 三、默认的Port-Security配置 Port-Security 默认关闭 默认最大允许的安全MAC地址数量 1 惩罚模式 shutdown(进

6、入err-disable状态),同时发送一个SNMP trap 四、Port-Security的部署注意事项 配置步骤 a) 在接口上激活Port-Security Port-Security开启后,相关参数都有默认配置,需关注 b) 配置每个接口的安全地址(Secure MAC Address) 可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址 c) 配置Port-Security惩罚机制 默认为shutdown,可选的还有protect、restrict d) (可选)配置安全地址老化时间 2.关于被惩罚后进入err-disable的恢复: 如果一个psec端口由于被惩罚

7、进入了err-disable,可以使用如下方法来恢复接口的状态: 使用全局配置命令:err-disable recovery psecure-violation 手工将特定的端口shutdown再noshutdown 3.清除接口上动态学习到的安全地址表项 使用clear port-security dynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项 使用clear port-security sticky 命令,将清除所有sticky安全地址表项 使用clear port-security configured命令,将清除所有手工配置的安全地址表项 使

8、用clear port-security all命令,将清除所有安全地址表项 使用show port-security address来查看每个port-security接口下的安全地址表项 4.关于sticky安全地址 Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址,从而不会由于接口的up/down丢失。然而如果我们希望在设备重启之后,这个sticky的安全地址表项仍然存在,那么就需要wr一下。将配置写入start-up config文件。Sticky安全地址也是一个简化我们管理员操作的一个很好的工具,毕竟现在不用再一条条的手

9、工去绑了。 支持private vlan 支持 tunnel接口 不支持SPAN的目的接口 不支持etherchannel的port-channel接口 9.在CISCO IOS (33)SXH 以及后续的版本,我们可以将port-security及部署在同一个接口上。而在此之前的软件版本: 如果你试图在一个port-security接口上激活则会报错,并且功能无法开启 如果你试图在一个接口上激活port-security则也会报错,并且port-security特性无法开启 支持nonegotiating trunk 接口 Port-Security 支持在如下配置的trunk上激活 swi

10、tchport switchport trunk encapsulation switchport mode trukn switchport nonegotiate If you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamically learned in the access VLAN to sticky or static secure addresses

11、 on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port. If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the acc

12、ess port. Port security removes all addresses learned on VLANs other than the native VLAN. links和Port-Security互不兼容 五、Port-security的配置 1.激活Port-Security(在access接口上) Switch(config)# interface fast0/1 Switch(config-if)# switchport Switch(config-if)# switchport mode access Switch(config-if)# switchport

13、access vlan 10 Switch(config-if)# switchport port-security 接口的Port-Security特性一旦激活后,默认的最大安全地址个数为1,也就是说,在不进行手工配置安全地址的情况下,这个接口将使用其动态学习到的MAC作为安全地址,并且,这个接口相当于被该MAC(所属的设备)独占。而且默认的violation是shutdown SW1#show port-security interface f0/1 Port Security : Enabled Port Status : Secure-up !接口目前的状态是up的 Violation

14、 Mode : Shutdown !违例后的惩罚措施,默认为shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 !最大安全地址个数,默认为1 Total MAC Addresses : 0 Configured MAC Addresses : 0 !手工静态配置的安全MAC地址,这里没配 Sticky MAC Addresses : 0 !sticky的安全地址,这里没有 Last Source Address:Vlan : !最近的一个安全地址+vlan Security Violation Count : 0 !该接口历史上出现过的违例次数 这个时候,如果另一台PC接入到这个端口上,那么该port-security接口将会收到一个新的、非安全地址表项中的MAC地址的数据帧,于是触发的违例动作,给接口将被err-disable掉。同时产生一个snmp trap消息,另外,接口下,Security Violation Count 将会加1 2.激活Po

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号