其他分享
首页 > 其他分享> > Port Security (端口安全)

Port Security (端口安全)

作者:互联网

是cisco 交换机上所支持的特性,它可以在交换机端口上限定一个具体的MAC 地址或限定MAC 地址的数量。

合法的MAC 地址才能使用端口。合法地址可以自动学习也可静态定义合法MAC 地址

SW(config-if)#switchport port-security              #开启端口安全,默认只允许学习到一个MAC地址
SW(config-if)#switchport port-security maximum 2    #设置可以允许学到两个MAC地址
SW(config-if)#switchport port-security aging time 1 #(分钟)设定多长时间后能重新学习MAC地址,也就是设定现有MAC地址的有效期。
 
SW(config-if)#switchport security-port violation protect,restrict ,shutdown     

protect   丢弃非法帧  
restrict  丢弃非法帧,并发送log信息
shutdown  接口变为err-disable

SW(config-if)#switchport port-security mac-address 2222.2222.2222 #静态绑定一个MAC地址

SW(config-if)#switchport port-security mac-address sticky #开启这一命令后,sh run时,可以看到接口学习到的MAC地址
 
SW(config-if)#switchport port-security aging time static 2  # (分钟) 正常情况下,静态配置的MAC地址老化时间是无限期的,通过这一命令,也可以为静态MAC地址设定一个老化时间。如果有一个非法的MAC地址接入,接口会进入err-disable状态
 
SW(config)#errdisable recovery cause psecure-violation      #如果因为端口安全使一个端口进入err-disable状态,用这一命令让它自动恢复,默认300S后自动恢复。
SW(config)#errdisable recovery interval 30                  #手动设定30S后恢复

配置端口安全特性:

1.启用端口安全特性:
router(config-if)#switchport port-security

2.限制被允许访问的MAC地址的最大数目:
(config-if)#switchport port-security maximum{number}[vlan vlan-id]
 
3.静态定义MAC地址,可以设置一个或多个MAC地址:
(config-if)#switchport port-security mac-address {mac-address}[vlan vlan-id]
 
4.定义当收到带有违法MAC地址信息的帧的时候,端口所采用的动作.
如果关键字设置shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在与后者会发送日志信息,它们对违法的帧的操作均为丢弃;
(config-if)#switchport port-security violation {protect|restrict|shutdown}
 
5.启用MAC地址的粘滞学习(sticky learning),即当交换机重启后,MAC地址不需要重新学习,它们是被保持在交换机启动配置文件里.可选:
(config-if)#switchport port-security mac-address sticky

检验命令:显示所有接口上应用端口安全的信息: Switch#show port-security

在必要的端口上阻塞单播泛洪

默认情况下,交换机若不知道所收数据包的目的MAC 地址,它就会向接收端口所属VLAN 中所有端口进行泛洪。但有一些端口没有必要泛洪。比如说有一个端口上只有手工分配的MAC 地址,并且没除该MAC 地址以外的网络设备连接到这个端口上,因此这个端口就没有必要接收泛洪数据包。除此之外,在启用了端口安全的端口上,若管理员配置了安全MAC 地址,或者该接口已经学习到了最大数量的MAC 地址,那么它就没有必要接收未知单播泛洪。

单播泛洪阻塞特性能够防止交换机在不必要的端口上转发单播泛洪流量。

配置:

int f0/1
switchport block unicast
switchport block multicast

 

锐捷目前S5750-E/P系列交换机可以支持POE定时功能。缺省情况下,端口无定时断电功能。

可以使用 poe power-off time-range range-name 命令配置端口的定时断电功能。在 time-range 时钟周期内,PoE 不为连接的 PD供电 。

配置命令如下:

1.设置时间段(时间段不能跨00:00)

比如,晚上10:00点到第二天早上7:00的时间段,命令如下:

Ruijie(config)#time-range aaa

Ruijie(config-time-range)#periodic daily 0:00 to 7:00

Ruijie(config-time-range)#periodic daily 22:00 to 23:59

2.开启交换机定时功能

Ruijie(config)# interface fastEthernet interface-id      进入接口配置模式,指定要配置的物理端口

Ruijie(config-if)# poe power-off time-range range-name    按照 range-name 设定的时间段管理某个接口的上下电

Ruijie(config-if)# no poe power-off time-range     关闭时间段管理功能

标签:security,switchport,端口,地址,MAC,Security,config,Port
来源: https://blog.csdn.net/apple_58078959/article/details/121179730