端口安全

转载

qq5e701a3e1aef2 2020-04-28 15:07:42

文章标签 1 文章分类 Exchange 服务器

防止mac地址泛洪的配置

思路：限制mac地址的数量，配置接口允许的最大活跃地址数量用到来模拟的设备：switch、pc-1、pc-2

switch上的配置

enable 由用户模式进入特权模式 configure terminal 由特权模式进入全局配置模式 interface vlan 1 由全局模式进入vlan 1 ip address 192.168.1.100 255.255.255.0 给switch的vlan 1 配置一个IP地址 no shutdown 开启 exit 退回到全局模式 interface e0/1 由全局模式进入要做端口安全的e0/1端口 switchport mode access 设置为模式为access do show interfaces e0/1 switchport 查看接口模式，是否为access模式 switchport port-security 启用端口安全

注：启用端口安全的接口不能是动态协商（dynamic）模式，必须配置接口为接入（Access）或干道（Trunk）模式

switchport port-security violation （违规模式）配置违规模式，未配置默认为shutdown模式 switchport port-security violation restrict 自己可进行选择，这里配置为restrict

三种违规后的模式： shutdown ：端口成为err-disable 状态，相当于关闭端口，默认处理方式。 protect ：将违规的MAC地址的分组丢弃，但端口处于up状态，交换机不记录违规分组。 restrict:将违规的mac地址的分组丢弃，但端口处于up状态，交换机记录违规分组。

switchport port-security maximum 数目配置接口允许的最大活跃地址数量（默认允许的mac地址数目为1个） switchport port-security maximum 2 这里设置为2个,pc-1的e0/1一个mac地址，加上vlan 1 一个mac地址此时，pc-1是可以ping通switch的，而pc-2是不可以ping通switch的，因为限定mac地址数目的数量正好限制了pc-2, 如果想要pc-2可以ping通，可以把mac地址数目的数量修改的大一点，就发现可以ping通了。 do show mac address-table 查看mac地址与端口的对应关系 do show port-security interface e0/1 查看端口安全的行为（属性）,最后一行是记录的违规次数。

扩展：如果违规模式设置为了shutdown模式，一旦违规，端口会成为err-disable状态，相当于关闭端口，默认处理方式开启方法：第一种手动开启 shutdown no shutdown 第二种自动开启设置err-disable计时器，端口进入err-disable状态时开始计时，计时器超出后端口状态自动恢复 errdisable recovery cause psecure-violation errdisable recovery interval 时间（s/秒，可以调整在30－86400秒，缺省是300秒）

pc-1上的配置

enable 由用户模式进入特权模式 configure terminal 由特权模式进入全局配置模式 interface e0/1 进入与switch相连的接口 spanning-tree portfast edge 启用端口快速转发，不会参与生成树的计算 switchport mode access 配置静态 no spanning-tree vlan1 关闭vlan1的生成树 vtp mode transparent 配置为透明模式 interface vlan 1 由全局模式进入vlan 1 ip address 192.168.1.1 255.255.255.0 给pc-1的vlan 1 配置一个IP地址 no shutdown 开启 do ping 192.168.1.100 ping一下switch

pc-2上的配置

enable 由用户模式进入特权模式 configure terminal 由特权模式进入全局配置模式 interface e0/2 进入与pc-1相连的接口 spanning-tree portfast edge 启用端口快速转发，不会参与生成树的计算 switchport mode access 配置静态 no spanning-tree vlan 1 关闭vlan1的生成树 vtp mode transparent 配置为透明模式 interface vlan 1 由全局模式进入vlan 1 ip address 192.168.1.2 255.255.255.0 给pc-2的vlan 1 配置一个IP地址 no shutdown 开启 do ping 192.168.1.100 ping一下switch

防止mac地址欺骗的配置

思路：配置静态mac地址的绑定、防止外来人员假冒。为防止真实环境中手工绑定静态mac地址的工作量增大，配置端口安全的粘连特性，将交换机学习到的mac地址加入到运行配置中，形成绑定关系用到来模拟的设备：switch、pc-3

switch上的配置

enable 由用户模式进入特权模式 configure terminal 由特权模式进入全局配置模式 interface e0/0 由全局模式进入要做端口安全的e0/0端口 switchport mode access 设置为模式为access do show interfaces e0/0 switchport 查看接口模式，是否为access模式 switchport port-security 启用端口安全 switchport port-security violation （违规模式）配置违规模式，未配置默认为shutdown模式 switchport port-security violation restrict 自己可进行选择，这里配置为restrict switchport port-security mac-address mac地址配置静态绑定的mac地址，此mac地址为pc-3上与switch相连e0/0的mac地址 switchport port-security mac-address sticky 配置端口安全的粘连特性 do show mac address-table 查看mac地址与端口的对应关系 do show port-security interface e0/0 查看端口安全的行为（属性）,最后一行是记录的违规次数。

pc-3上的配置

enable 由用户模式进入特权模式 configure terminal 由特权模式进入全局配置模式 interface e0/0 由全局模式进入要做端口安全的e0/0端口 ip address 192.168.1.3 255.255.255.0 给pc-3配置一个ip地址 no shutdown 开启此时pc-3来ping switch 是通的 show interfaces e0/0 查看一下mac地址 mac-address mac地址修改mac地址 mac-address aabb.cc00.3001 这里原来的mac地址为aabb.cc00.3000 ，现在改为aabb.cc00.3001 做了手动静态mac地址绑定后，修改完mac地址再去ping switch，会发现不通了。做了粘连特性后，再去ping，会发现又是通的，如果不通，就把e0/0的最大连接数的mac地址数目设的大一点，会发现ping通了。

扩展：配置端口安全的老化时间，让交换机删除一段时间内没有流量的mac地址 switchport port-security aging time 10 （1~1440分钟） switchport port-security aging type 模式 absolute 参数为老化时间到期后，删除所有mac地址并重新学习，默认值 inactivity 参数为与端口连接的客户端一段时间（老化时间）没有流量，就将其mac地址从地址表中删除

默认情况下静态绑定的mac地址并不受老化时间的影响,Cisco 交换机也可让静态绑定的mac地址老化 switchport porti-security aging static ———————————————— 版权声明：本文为CSDN博主「zhaotiannuo_1998」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/zhaotiannuo_1998/java/article/details/90705186