通信人家园

标题: Cisco交换机端口安全实现 [查看完整版帖子] [打印本页]

时间: 2015-4-14 09:44

作者: freeboat 标题: Cisco交换机端口安全实现

2. 交换机的端口安全
通过限制接口接入终端MAC的数量，来进行防护。

1）启用交换机端口安全特性
(config-if)#switchport mode access
(config-if)#switchport port-security //在接口模式下
启用端口安全的接口不能是动态协商(dynamic)模式，必须明确配置接口为接入或干道模式

2）调整端口的最大MAC地址数量，默认1。
(config-if)#switchport port-security maximum 2 //调整端口的最大MAC地址数量，默认1.

配置MAC地址违规后的策略
MAC地址违规：最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口。
一个配置为其他接口安全MAC地址的MAC地址试图访问这个端口
(config-if)#switchport port-security violation { protect | restrict | shutdown }
当出现违规情况时，有三种处理方式：
shutdown：端口成为err-disable状态，相当于关闭端口，默认处理方式
protect：将违规的MAC地址的分组丢弃，但端口处于UP状态。交换机不记录违规分组
restrict：将违规的MAC地址的分组丢弃，但端口处于UP状态。交换机记录违规分组

3）启用端口-MAC地址绑定
(config-if)#switchport port-security mac-address { mac-address } //mac-address为静态绑定的MAC地址

4）端口绑定第一个接入的MAC
(config-if)#switchport port-security mac-address sticky

5）配置老化时间
如果同一端口主机经常变化，而旧MAC地址一直保留，这可能导致新连接到端口的客户无法正常通讯
配置交换机接口老化时间，让交换机删除一段时间内没有流量的MAC地址。
(config-if)#switchport port-security aging time { time }
time参数范围是1～1440分钟，默认为0表示不删除

(config-if)#switchport port-security aging type { absolute | inactivity }
absolute参数为老化时间到期后，删除所有MAC地址并重新学习
inactivity参数为与端口连接的客户端一段时间（老化时间）没有流量，就将其MAC地址从地址表中删除

默认情况下静态绑定的MAC地址并不受老化时间的影响，Cisco交换机也可让静态绑定的MAC地址老化

6）当端口进入err-disable状态时，恢复接口状态的方法有两种
手动恢复
先关闭端口（shutdown），然后再开启端口（no shutdown）端口恢复为正常状态
自动恢复
设置err-disable计时器，端口进入err-disable状态时开始计时，计时器超出后端口状态自动恢复

Switch(config)#errdisable recovery cause psecure-violation
Switch(config)#errdisable recovery interval { time }

err-disable状态的端口，默认情况下不会自动恢复

通信人家园 (https://www.txrjy.com/)