交换机端口安全设置2007-3-21

*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,启用交换机端口安全,Port Security feature,防范,MAC/CAM,攻击,制作：何恒冰,思科,Port Security feature,可以防止,MAC,和,MAC/CAM,攻击。,通过配置,Port Security,可以控制：,端口上最大可以通过的,MAC,地址数量。,端口上学习或通过哪些,MAC,地址。,对于超过规定数量的,MAC,处理进行违背处理的方式。,交换机绑定,MAC,地址两种方式,一,.,动态学习,静态绑定端口,MAC,方式,当设置成动态学习端口,MAC,地址时：,交换机动态学习端口,MAC,，直到学习完指定的,MAC,地址数量后，就不在学习了。除非交换机关机或者后重置端口后重新学习。,当设置动态时，你可以使用想进行安全绑定,PC,进行连接。,当开启动态动态学习,静态绑定,MAC,方式时,要在此,SW,端口为初始化时让它动态的学习。首先网络管理员要确定,SW,在动态学习时,你要保证,SW,现在所连接的,PC,终端是合法接入。,当你动态指定学习,MAC,为,6,条,MAC,，当学满,6,条,MAC,地址时,其它,MAC,地址就不会再学习了。,动态学习完后的,MAC,地址,等同于自动静态保存在此端口的端口安全设置上面，方便于网络管理员不用手工敲上去。,二,.,静态绑定端口,MAC,地址方式,静态学习，是指手工设置你想进行安全绑定的,MAC,地址。,-,if)#switchport,port-security,mac,-address H.H.H.H,（,这种方式必须事先知道次端口要进行绑定的,MAC,地址,）,MAC,地址违规进行处理的三种方式,。,1.Shutdown,：这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源,MAC,在网络中发送报文。,2.Protect,：丢弃非法流量，不报警。端口处于,UP,UP,状态。（默认为此模式）,3.Restrict,。丢弃非法流量，报警。（对比上面会使交换机,CPU,利用率上升,但是不影响交换机的正常使用。实际应用中推荐使用这种方式。）,配置实例：静态手工绑定,定义,MAC,地址最大数量,interface G3/48,switchport,port-security maximum 2(,绑定,MAC,地址为,2,条,),switchport,port-security Mac-address,0001.0001.0001(,网络管理员手工敲上去的静态绑定,),配置实例：,-,if)#switchport,port-security violation restrict,(,定义违规方式：此为丢弃流量并报警,),-,if)#,switchport,port-security,(,最后要打开端口安全属性，以上安全配置才会在端口生效,。否则不生效。,),interface FastEthernet0/2,switchport,mode access,switchport,port-security maximum 2,（,定义此端口最多只能只能学习到,2,条合法,MAC,地址,）,switchport,port-security violation restrict,（,定义违规方式,）,switchport,port-security,mac,-address sticky,（,打开端口动态学习，自动静态的绑定当前合法,MAC,，并且是前面,2,个最先学习到的,MAC,地址，到当前端口里。,）,switchport,port-security,mac,-address sticky 0010.7b80.4b63,（,学习后会自动生成在此端口学习到的,MAC,地址的这条命令,。,）,switchport,port-security,（,最后打开端口安全属性，让以上配置生效,）,进阶配置：,动态学习,静态绑定,