資源描述:
《思科交換機(jī)Port-Security配置》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)���。
1、思科交換機(jī)端口安全(Port-Security)CiscoCatalyst交換機(jī)端口安全(Port-Security)1、Cisco29系列交換機(jī)可以做基于2層的端口安全����,即mac地址與端口進(jìn)行綁定。2�、Cisco3550以上交換機(jī)均可做基于2層和3層的端口安全,即mac地址與端口綁定以及mac地址與ip地址綁定�。3、以cisco3550交換機(jī)為例 做mac地址與端口綁定的可以實(shí)現(xiàn)兩種應(yīng)用:a���、設(shè)定一端口只接受第一次連接該端口的計(jì)算機(jī)mac地址���,當(dāng)該端口第一次獲得某計(jì)算機(jī)mac地址后,其他計(jì)算機(jī)接入到
2���、此端口所發(fā)送的數(shù)據(jù)包則認(rèn)為非法�����,做丟棄處理�����。b�、設(shè)定一端口只接受某一特定計(jì)算機(jī)mac地址,其他計(jì)算機(jī)均無(wú)法接入到此端口��。4���、破解方法:網(wǎng)上前輩所講的破解方法有很多�,主要是通過(guò)更改新接入計(jì)算機(jī)網(wǎng)卡的mac地址來(lái)實(shí)現(xiàn)�,但本人認(rèn)為,此方法實(shí)際應(yīng)用中基本沒(méi)有什么作用��,原因很簡(jiǎn)單�,如果不是網(wǎng)管,其他一般人員平時(shí)根本不可能去注意合法計(jì)算機(jī)的mac地址���,一般情況也無(wú)法進(jìn)入合法計(jì)算機(jī)去獲得mac地址���,除非其本身就是該局域網(wǎng)的用戶。5���、實(shí)現(xiàn)方法:針對(duì)第3條的兩種應(yīng)用���,分別不同的實(shí)現(xiàn)方法a、接受第一次接入該端口計(jì)算機(jī)的m
3����、ac地址:Switch#configterminalSwitch(config)#inte**ceinte**ce-id進(jìn)入需要配置的端口Switch(config-if)#switchportmodeaccess設(shè)置為交換模式Switch(config-if)#switchportport-security打開(kāi)端口安全模式Switch(config-if)#switchportport-securityviolation{protect
4、restrict
5����、shutdown}//針對(duì)非法接入計(jì)算機(jī),端
6����、口處理模式{丟棄數(shù)據(jù)包,不發(fā)警告
7����、丟棄數(shù)據(jù)包,在console發(fā)警告
8�、關(guān)閉端口為err-disable狀態(tài),除非管理員手工激活����,否則該端口失效。b���、接受某特定計(jì)算機(jī)mac地址:Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolation{protect
9��、restrict
10���、shutdown}//以上步驟與a同
11�����、Switch(config-if)#switchportport-securitymac-addressstickySwitch(config-if)#switchportport-securityagingstatic//打開(kāi)靜態(tài)映射Switch(config-if)#switchportport-securitymac-addresssticky**X.**X.**X//為端口輸入特定的允許通過(guò)的mac地址mac地址與ip地址綁定基本原理:在交換機(jī)內(nèi)建立mac地址和ip地址對(duì)應(yīng)的映射表�����。端口獲得的
12�、ip和mac地址將匹配該表��,不符合則丟棄該端口發(fā)送的數(shù)據(jù)包����。實(shí)現(xiàn)方法:Switch#configterminalSwitch(config)#arp1.1.1.10001.0001.1111arpa該配置的主要注意事項(xiàng):需要將網(wǎng)段內(nèi)所有IP都建立MAC地址映射,沒(méi)有使用的IP地址可以與0000.0000.0000建立映射����。否則該綁定對(duì)于網(wǎng)段內(nèi)沒(méi)有建立映射的IP地址無(wú)效。最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來(lái)做對(duì)網(wǎng)絡(luò)流量的控制和管理�,比如MAC地址與具體的端口綁定,**具體端口通過(guò)的MAC地址的
13�����、數(shù)量,或者在具體的端口不允許某些MAC地址的幀流量通過(guò)�����。稍微引申下端口安全���,就是可以根據(jù)802.1X來(lái)控制網(wǎng)絡(luò)的訪問(wèn)流量。首先談一下MAC地址與端口綁定�����,以及根據(jù)MAC地址允許流量的配置���。1.MAC地址與端口綁定���,當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí),交換機(jī)相應(yīng)的端口將down掉����。當(dāng)給端口指定MAC地址時(shí),端口模式必須為access或者Trunk狀態(tài)���。3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchportm
14�、odeaccess/指定端口模式?�! ?550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1//配置MAC地址����。 3550-1(config-if)#switchportport-securitymaximum1//**此端口允許通過(guò)的MAC地址數(shù)為1���?! ?550-1(config-if)#switchportport-securityviolationshutdow
