資源描述:
《交換機端口安全Port-Security超級詳解》由會員上傳分享��,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1���、交換機端口安全Port-Security超級詳解交換安全】交換機端口安全Port-Security超級詳解?一�、Port-Security概述?在部署園區(qū)網(wǎng)的時候,對于交換機����,我們往往有如下幾種特殊的需求:·限制交換機每個端口下接入主機的數(shù)量(MAC地址數(shù)量)·限定交換機端口下所連接的主機(根據(jù)IP或MAC地址進(jìn)行過濾)·當(dāng)出現(xiàn)違例時間的時候能夠檢測到,并可采取懲罰措施上述需求���,可通過交換機的Port-Security功能來實現(xiàn):?二��、理解Port-Security1.Port-Security安全地址:secu
2�、reMACaddress????在接口上激活Port-Security后��,該接口就具有了一定的安全功能���,例如能夠限制接口(所連接的)的最大MAC數(shù)量�����,從而限制接入的主機用戶��;或者限定接口所連接的特定MAC��,從而實現(xiàn)接入用戶的限制�。那么要執(zhí)行過濾或者限制動作,就需要有依據(jù)�����,這個依據(jù)就是安全地址–secureMACaddress�����。????安全地址表項可以通過讓使用端口動態(tài)學(xué)習(xí)到的MAC(SecureDynamic)����,或者是手工在接口下進(jìn)行配置(SecureConfigured),以及sticyMACaddress(S
3��、ecureSticky)三種方式進(jìn)行配置��。????當(dāng)我們將接口允許的MAC地址數(shù)量設(shè)置為1并且為接口設(shè)置一個安全地址�����,那么這個接口將只為該MAC所屬的PC服務(wù)��,也就是源為該MAC的數(shù)據(jù)幀能夠進(jìn)入該接口�����。2.當(dāng)以下情況發(fā)生時,激活懲罰(violation):????當(dāng)一個激活了Port-Security的接口上�,MAC地址數(shù)量已經(jīng)達(dá)到了配置的最大安全地址數(shù)量,并且又收到了一個新的數(shù)據(jù)幀����,而這個數(shù)據(jù)幀的源MAC并不在這些安全地址中,那么啟動懲罰措施????當(dāng)在一個Port-Security接口上配置了某個安全地址����,而
4、這個安全地址的MAC又企圖在同VLAN的另一個Port-Security接口上接入時��,啟動懲罰措施????當(dāng)設(shè)置了Port-Security接口的最大允許MAC的數(shù)量后�����,接口關(guān)聯(lián)的安全地址表項可以通過如下方式獲?。骸ぴ诮涌谙率褂胹witchportport-securitymac-address來配置靜態(tài)安全地址表項·使用接口動態(tài)學(xué)習(xí)到的MAC來構(gòu)成安全地址表項·一部分靜態(tài)配置,一部分動態(tài)學(xué)習(xí)當(dāng)接口出現(xiàn)up/down����,則所有動態(tài)學(xué)習(xí)的MAC安全地址表項將清空��。而靜態(tài)配置的安全地址表項依然保留�。3.Port-Sec
5�����、urity與StickyMAC地址????上面我們說了���,通過接口動態(tài)學(xué)習(xí)的MAC地址構(gòu)成的安全地址表項,在接口出現(xiàn)up/down后��,將會丟失這些通過動態(tài)學(xué)習(xí)到的MAC構(gòu)成的安全地址表項�,但是所有的接口都用switchportport-securitymac-address手工來配置,工作量又太大�����。因此這個stickymac地址�,可以讓我們將這些動態(tài)學(xué)習(xí)到的MAC變成“粘滯狀態(tài)”,可以簡單的理解為��,我先動態(tài)的學(xué)���,學(xué)到之后我再將你粘起來��,形成一條”靜態(tài)“(實際上是SecureSticky)的表項���。????在up/do
6����、wn現(xiàn)象出現(xiàn)后仍能保存��。而在使用wr后���,這些sticky安全地址將被寫入start-upconfig����,即使設(shè)備重啟也不會被丟失����。三、默認(rèn)的Port-Security配置·Port-Security??????????????????????默認(rèn)關(guān)閉·默認(rèn)最大允許的安全MAC地址數(shù)量??????1·懲罰模式???????????????????????????shutdown(進(jìn)入err-disable狀態(tài))�����,同時發(fā)送一個SNMPtrap四�、Port-Security的部署注意事項1.Port-Security配置
7、步驟a)?在接口上激活Port-Security????Port-Security開啟后�����,相關(guān)參數(shù)都有默認(rèn)配置����,需關(guān)注b)?配置每個接口的安全地址(Secure?MACAddress)????可通過交換機動態(tài)學(xué)習(xí)、手工配置�、以及stciky等方式創(chuàng)建安全地址c)?配置Port-Security懲罰機制????默認(rèn)為shutdown,可選的還有protect��、restrictd)(可選)配置安全地址老化時間2.關(guān)于被懲罰后進(jìn)入err-disable的恢復(fù):如果一個psec端口由于被懲罰進(jìn)入了err-disable����,
8、可以使用如下方法來恢復(fù)接口的狀態(tài):·使用全局配置命令:err-disablerecoverypsecure-violation?·手工將特定的端口shutdown再noshutdown3.清除接口上動態(tài)學(xué)習(xí)到的安全地址表項·使用clearport-securitydynamic命令�����,將清除所有port-security接口上通過動態(tài)學(xué)習(xí)到的安全地址表項·使用clearpo
