C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  新兵

注册:2006-7-26
发表于 2015-4-14 09:44:04 |显示全部楼层
2. 交换机的端口安全
通过限制接口接入终端MAC的数量,来进行防护。

1)启用交换机端口安全特性
(config-if)#switchport mode access
(config-if)#switchport port-security                //在接口模式下
启用端口安全的接口不能是动态协商(dynamic)模式,必须明确配置接口为接入或干道模式

2)调整端口的最大MAC地址数量,默认1。
(config-if)#switchport port-security maximum 2        //调整端口的最大MAC地址数量,默认1.

配置MAC地址违规后的策略
MAC地址违规:最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口。
一个配置为其他接口安全MAC地址的MAC地址试图访问这个端口
(config-if)#switchport port-security violation { protect | restrict | shutdown }
当出现违规情况时,有三种处理方式:
shutdown:端口成为err-disable状态,相当于关闭端口,默认处理方式
protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组
restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组

3)启用端口-MAC地址绑定
(config-if)#switchport port-security mac-address { mac-address }        //mac-address为静态绑定的MAC地址

4)端口绑定第一个接入的MAC
(config-if)#switchport port-security mac-address sticky

5)配置老化时间
如果同一端口主机经常变化,而旧MAC地址一直保留,这可能导致新连接到端口的客户无法正常通讯
配置交换机接口老化时间,让交换机删除一段时间内没有流量的MAC地址。
(config-if)#switchport port-security aging time { time }
time参数范围是1~1440分钟,默认为0表示不删除

(config-if)#switchport port-security aging type { absolute | inactivity }
absolute参数为老化时间到期后,删除所有MAC地址并重新学习
inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除

默认情况下静态绑定的MAC地址并不受老化时间的影响,Cisco交换机也可让静态绑定的MAC地址老化

6)当端口进入err-disable状态时,恢复接口状态的方法有两种
手动恢复
先关闭端口(shutdown),然后再开启端口(no shutdown)端口恢复为正常状态
自动恢复
设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复

Switch(config)#errdisable recovery cause psecure-violation
Switch(config)#errdisable recovery interval { time }

err-disable状态的端口,默认情况下不会自动恢复

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-17 04:41 , Processed in 0.115994 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图