配置端口安全

发布: 2007-6-23 18:14 | 作者: | 来源: | 查看: 15次 | 进入软件测试论坛讨论

　　你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac地址的方法。当你绑定了mac地址给一个端口，这个口不会转发限制以外的mac地址为源的包。

如果你限制安全mac地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac地址，当这个时候又有另一个mac地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：

    当你给一个端口配置了最大安全mac地址数量，安全地址是以一下方式包括在一个地址表中的：
·你可以配置所有的mac地址使用 switchport port-security mac-address <mac地址>，这个接口命令。
    ·你也可以允许动态配置安全mac地址，使用已连接的设备的mac地址。
    ·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown了，所有的动态学的mac地址都会被移除。

一旦达到配置的最大的mac地址的数量，地址们就会被存在一个地址表中。设置最大mac地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：
·最大安全数目mac地址表外的一个mac地址试图访问这个端口。
·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：
·protect-当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。
·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。
·shutdown-一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态，你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。

默认的端口安全配置：
以下是端口安全在接口下的配置-
特性：port-sercurity 默认设置：关闭的。
特性：最大安全mac地址数目默认设置：1
特性：违规模式默认配置：shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发snmp陷阱。

配置向导：
下面是配置端口安全的向导-
·安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之前必须的是switch mode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x，就会有报错信息，而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口，错误信息就会出现，安全性设置不会改变。

配置案例：
1.在f0/12上最大mac地址数目为5的端口安全，违规动作为默认。

switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12

Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0

2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add

Secure Mac Address Table
------------------------------------------------------------

Vlan    Mac Address       Type                Ports
----    -----------       ----                -----
   1    1000.2000.3000    SecureConfigured     Fa0/12

3.配置端口安全超时时间两小时。
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120

4.端口安全超时时间2分钟，给配置了安全地址的接口，类型为inactivity aging：
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static

show port-security interface f0/12可以看状态.

其他show
show port-security 看哪些接口启用了端口安全.
show port-security address 看安全端口mac地址绑定关系.