返回首页
当前位置: 主页 > 精通Office > 其他教程 >

交换机端口安全

时间:2014-07-11 22:40来源:betway必威官网www.etsupport.net 编辑:麦田守望者

交换机端口安全

port01

 

交换机上的MAC地址表

sw1#show int f0/1        //查看接口f0/1的MAC地址

port02

sw1#show mac-address-table        //查看MAC地址表

sw1#clear mac-address-table        //清除MAC地址表

sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1       

                                                 //把PC1的MAC地址静态添加到MAC表中

port03

说明:静态配置了MAC地址表,该记录的类型为“STATIC”,永不从MAC表中超时。

注意:对于服务器等位置较为稳定的计算机,为了安全起见,建议配置静态MAC地址表。

sw1#show mac-address-table aging-time        //查看MAC地址表的超时时间,默认300s

sw1#(config)#mac-address-table aging-time 120 vlan 1    //改变VLAN1的MC地址表的超时时间为120s

port04

老化时间(aging time):

①从一个地址记录加入地址表后开始计时,默认300s;

②当在老化时间内,并且该链路正常连接网络时,各端口未收到源地址为该MAC地址的帧,那么,这些地址将从

  动态转发地址表中被删除;

③当该MAC地址所处链路状态为Down时:H3C(comware)的动态地址表会将该条目删除,而Cisco则会保留该条目。

静态安全MAC地址

sw1(config)#int f0/1

sw1(config-if)#shutdown

sw1(config-if)#switchport mode access

sw1(config-if)#switchport access vlan 1

sw1(config-if)#switchport port-security        /启用端口安全功能

sw1(config-if)#switchport port-security maximum 1       

                                       //只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入

sw1(config-if)#switchport port-security violation shutdown  

                                                       //配置发生攻击时端口要采取的动作:关闭接口

sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611       

                                                     //允许该MAC地址的设备(即PC1)从本端口接入网络

sw1(config-if)#no shutdown

port05

 

说明:

①在“switchport port-security violation{protect|restrict|shutdown}”命令中:

  1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;

  2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机将发送警告信息;

  3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用 “shutdown”和no shutdown”命令重新打开端口。

port06

②使用“switchport port-security mac-address 00d0.bab2.2611”命令后,该MAC将变为“STATIC”类型

模拟非法入侵–静态安全MAC地址测试

PC1的MAC地址(00D0.BAB2.2611)改为00D0.BAB2.2612模拟非法设备。

几秒种后,则在交换机sw1上出现:

port07

以上输出表明f0/1接口被关闭,交换机的f0/1接口只能是某一固定的设备(PC1)接入。

sw1#show int f0/1

port08

以上输出表明f0/1接口因为错误而被关闭,非法设备移除后(PC1的MAC地址改回 00D0.BAB2.2611),在交换机上执行以下命令:

sw1(config)#int f0/1

sw1(config-if)#shutdown

sw1(config-if)#no shutdown
此时,接口又恢复了正常。
动态安全MAC地址

动态安全MAC地址和静态安全MAC地址的差别仅仅在于:

后者比前者多配置了“switchport port-security mac-address 00d0.bab2.2611”命令。

sw1(config)#default int f0/1        //接口上的配置恢复到默认配置(即出厂时的配置)

sw1(config)#int f0/1

sw1(config-if)#shutdown

sw1(config-if)#switchport mode access

sw1(config-if)#switchport access vlan 1

sw1(config-if)#switchport port-security

sw1(config-if)#switchport port-security maximum 1

sw1(config-if)#switchport port-security violation shutdown

sw1(config-if)#no shutdown

port09

说明:当交换机f0/1接口的第一台计算机接入时,该计算机的MAC将作为“STATIC”类型添加到MAC表中。当第二台计算机接入时,由于交换机f0/1接口最大MAC地址数为1,该计算机将被认为是入侵设备,交换机关闭该接口。

最终的效果是:交换机的f0/1接口只能有一台计算机接入(但是不能限制是哪个MAC)。

顶一下
(0)
0%
踩一下
(0)
0%
标签(Tag):交换机端口安全
------分隔线----------------------------
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片