端口安全的作用
端口安全功能是通过对MAC地址表的配置,来实现在某一端口只允许一台或者几台确定的设备访问此台交换机端口。从而减少交换机被******,增强交换机的安全性,提高局域网的安全性。
端口安全的原理
端口安全是根据MAC地址表来确定允许访问网络的设备,其中MAC地址表记录的是MAC地址与交换机端口的映射,可对交换机的任一端口进行端口安全配置,共有三种方法:
手工设置一个或几个固定的MAC地址
限制端口的最大MAC地址的数量
任何MAC地址都可以通过此端口访问网络,此为默认设置
交换机通过学习获得MAC地址和转发与过滤数据包的过程:
⑴ 交换机在重新启动或手工清除MAC地址表后,MAC地址表没有任何MAC地址的记录。如图所示。
⑵ 假设主机A向主机C发送数据包,因为现在MAC地址表为空,所以端口E0将从数据包中提取源MAC地址,将此MAC地址记录到MAC地址表中,同时向其它所有的端口发送此数据包,如果某一主机在接收到此数据包后,将提取目标MAC地址,并与自己网卡的MAC地址进行比较,如果相等,则接收此数据包;否则丢弃此数据包。如图所示。
⑶ 如果主机A、B、C、D都已经向其它主机发送数据包,则MAC地址表将会有4条记录。如图所示。
⑷ 现在假设主机A向主机C发送数据包,交换机会提取数据包的目的MAC地址,通过查找MAC地址表,有一条记录的MAC地址与目的MAC地址相等,而且知道此目的MAC所对应的端口为E2,此时E0端口会将数据包直接转发到E2端口,如图所示。
端口安全的配置
端口安全就是指定允许接入到端口,并利用该端口访问网络设备的MAC地址。
sw_3550(config_if)# switchport port-security
启用端口安全功能
sw_3550(config_if)# switchport port-security maximum value
指定MAC地址的数量
sw_3550(config_if)# switchport port-security mac-address mac-address
手工指定可靠的MAC地址
sw_3550(config_if)# switchport port-security violation {protect | shutdown| restrict}
指定端口所采取的措施
sw_3550# show port security [ interface interface-id ] [ address ]
显示端口安全配置
https://blog.51cto.com/ximihua/84575
