資源描述:
《思科交換機(jī)端口安全(Port-Security)配置方法詳解》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�����、思科交換機(jī)端口安全(Port-Security)CiscoCatalyst交換機(jī)端口安全(Port-Security)1���、Cisco29系列交換機(jī)可以做基于2層的端口安全���,即mac地址與端口進(jìn)行綁定��。2>Cisco3550以上交換機(jī)均可做基于2層和3層的端口安全,即mac地址與端口綁定以及mac地址與ip地址綁定��。3��、以cisco3550交換機(jī)為例做mac地址與端口綁定的可以實(shí)現(xiàn)兩種應(yīng)用:設(shè)定一端口只接受第一次連接該端口的計(jì)算機(jī)mac地址��,當(dāng)該端口第一次獲得某計(jì)算機(jī)mac地址后����,其他計(jì)算機(jī)接入到此端口所發(fā)送的
2、數(shù)據(jù)包則認(rèn)為非法���,做丟棄處理�����。b�、設(shè)定一端口只接受某一特定計(jì)算機(jī)mac地址��,其他計(jì)算機(jī)均無法接入到此端口�。4、破解方法:網(wǎng)上前輩所講的破解方法有很多��,主要是通過更改新接入訃算機(jī)網(wǎng)卡的D13C地址來實(shí)現(xiàn)�,但本人認(rèn)為�����,此方法實(shí)際應(yīng)用中基本沒有什么作用�����,原因很簡單����,如果不是網(wǎng)管���,其他一般人員平時(shí)根本不可能去注意合法計(jì)算機(jī)的mac地址��,一般情況也無法進(jìn)入合法計(jì)算機(jī)去獲得mac地址���,除非其本身就是該局域網(wǎng)的用戶。5���、實(shí)現(xiàn)方法:針對(duì)第3條的兩種應(yīng)用���,分別不同的實(shí)現(xiàn)方法a>接受第一次接入該端口計(jì)算機(jī)的mac地址:Switc
3、h#configterminalSwitch(config)#inte**ceinte**ce-id進(jìn)入需要配置的端口Switch(config-if)#switchportmodeaccess設(shè)置為交換模式Switch(config-if)#svitchportport-security打開端口安全模式Switch(config-if)#switchportport-securityviolation{protectrestrict
4����、shutdown}//針對(duì)非法接入計(jì)算機(jī),端口處理模式{丟棄數(shù)據(jù)包�����,不發(fā)
5���、警告丨丟棄數(shù)據(jù)包�����,在console發(fā)警告丨關(guān)閉端口為err-disable狀態(tài)��,除非管理員手工激活���,否則該端口失效。b��、接受某特定計(jì)算機(jī)mac地址:Switch(config-if)ttswitchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolation{protectrestrict
6���、shutdown}〃以上步驟與a同Switch(config~if)#s
7��、witchportport~securitymac-addressstickySwitch(config-if)#switchportport-sccurityagingstatic//扌『開靜態(tài)映射Switch(config-if)#switchportport-securitymac-addresssticky**X.**X.**X〃為端口輸入特定的允許通過的mac地址mac地址與ip地址綁定基本原理:在交換機(jī)內(nèi)建立mac地址和ip地址對(duì)應(yīng)的映射表���。端口獲得的ip和mac地址將匹配該表��,不符合則丟棄該端口
8��、發(fā)送的數(shù)據(jù)包��。實(shí)現(xiàn)方法:Switch#configterminalSwitch(config)#arp1.1.1.10001.0001.1111arpa該配置的主要注意事項(xiàng):需要將網(wǎng)段內(nèi)所有IP都建立MAC地址映射����,沒有使用的IP地址可以與0000.0000.0000建立映射��。否則該綁定對(duì)于網(wǎng)段內(nèi)沒有建立映射的IP地址無效��。最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來做對(duì)網(wǎng)絡(luò)流量的控制和管理���,比如MAC地址與具體的端口綁定���,**具體端口通過的MAC地址的數(shù)量,或者在具體的端口不允許某些MAC地址的幀流量通過
9�����、。稍微引中下端口安全����,就是可以根據(jù)802.IX來控制網(wǎng)絡(luò)的訪問流量。首先談一下MAC地址與端口綁定�����,以及根據(jù)MAC地址允許流量的配置�����。1.MAC地址與端口綁定�,當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí)����,交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí),端口模式必須為access或者Trunk狀態(tài)�。3550-lttconft3550-1(config)ttintf0/l3550-1(config~if)#switchportmodeaccess/指定端口模式。3550-1(config-if
10����、)#switchportport-securitymac-address00-90-F5-10-79-C1//配置MAC地址。3550~l(config-if)#switchportport~securitymaximum1//**此端口允許通過的MAC地址數(shù)為lo3550-1(config-if)#switchportport-securityviolationshutdown〃當(dāng)發(fā)現(xiàn)與上述配置不
