返回
交换机端口安全Port-Security超级详解

交换机端口安全Port-Security超级详解

ID:47194994

大小:169.33 KB

页数:11页

时间:2019-08-20

交换机端口安全Port-Security超级详解_第1页
交换机端口安全Port-Security超级详解_第2页
交换机端口安全Port-Security超级详解_第3页
交换机端口安全Port-Security超级详解_第4页
交换机端口安全Port-Security超级详解_第5页
资源描述:

《交换机端口安全Port-Security超级详解》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、.交换机端口安全Port-Security超级详解交换安全】交换机端口安全Port-Security超级详解 一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:·限制交换机每个端口下接入主机的数量(MAC地址数量)·限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)·当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现: ..二、理解Port-Security1.Port-Security安全地址:se

2、cureMACaddress    在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址–secureMACaddress。    安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticyMACaddress(

3、SecureSticky)三种方式进行配置。    当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。2.当以下情况发生时,激活惩罚(violation):    当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施    当在一个Port-Security接口上配置了某个安全地址,而

4、这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施    当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:·在接口下使用switchportport-securitymac-address来配置静态安全地址表项·使用接口动态学习到的MAC来构成安全地址表项·一部分静态配置,一部分动态学习..当接口出现up/down,则所有动态学习的MAC安全地址表项将清空。而静态配置的安全地址表项依然保留。3.Port-Se

5、curity与StickyMAC地址    上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用switchportport-securitymac-address手工来配置,工作量又太大。因此这个stickymac地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“(实际上是SecureSticky)的表项。    在up/do

6、wn现象出现后仍能保存。而在使用wr后,这些sticky安全地址将被写入start-upconfig,即使设备重启也不会被丢失。三、默认的Port-Security配置·Port-Security                      默认关闭·默认最大允许的安全MAC地址数量      1·惩罚模式                           shutdown(进入err-disable状态),同时发送一个SNMPtrap四、Port-Security的部署注意事项1.Port-Security配置步

7、骤a) 在接口上激活Port-Security    Port-Security开启后,相关参数都有默认配置,需关注b) 配置每个接口的安全地址(Secure MACAddress)    可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址c) 配置Port-Security惩罚机制    默认为shutdown,可选的还有protect、restrictd)(可选)配置安全地址老化时间2.关于被惩罚后进入err-disable的恢复:如果一个psec端口由于被惩罚进入了err-disable,可以

8、使用如下方法来恢复接口的状态:·使用全局配置命令:err-disablerecoverypsecure-violation ·手工将特定的端口shutdown再noshutdown3.清除接口上动态学习到的安全地址表项·使用clearport-securitydynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项·使用cl

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。