·天新网首页·加入收藏·设为首页·网站导航
数码笔记本手机摄像机相机MP3MP4GPS
硬件台式机网络服务器主板CPU硬盘显卡
办公投影打印传真
家电电视影院空调
游戏网游单机动漫
汽车新车购车试驾
下载驱动源码
学院开发设计
考试公务员高考考研
业界互联网通信探索
实现Cisco交换机端口安全
http://www.21tx.com 2005年09月30日 中国思科培训网
    利用端口安全这个特性,你可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何 报文。此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全MAC地址)将独享该端口的全部带宽。

  为了增强安全性,你可以将地址和地址绑定起来作为安全地址。当然你也可以只指定地MACIPMAC址而不绑定地址。IP如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包 时,一个安全违例将产生。当安全违例将产生时,你可以选择多种方式来处理违例,比如丢弃接收到的报文,发送违例通知或关闭相应端口等。

  当你设置了安全端口上安全地址的最大个数后,你可以使用下面几种方式加满端口上的安全地址:

  你可以使用接口配置模式下的命令switchport port-security mac-address mac-address来手工配置端口的所有安全地址。

  你也可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你 也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。

  当违例产生时,你可以设置下面几种针对违例的处理模式:

  protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包

  restrict:当违例产生时,将发送一个通知Trap

  shutdown:当违例产生时,将关闭端口并发送一个通知。


步骤1


  configure terminal 进入全局配置模式。


步骤2


  interface interface-id 进入接口配置模式。


步骤3


  switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)


步骤4


  switchport port-security 打开该接口的端口安全功能


步骤5


  switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-132(不同厂家这个数值略微有不同。)


步骤6


  switchport port-security violation{protect | restrict | shutdown}

  设置处理违例的方式:

  protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。

  restrict:当违例产生时,将发送一个通知Trap

  shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。


步骤7


  end 回到特权模式。


步骤8


  show port-security interface 验证你的配置。


步骤9


  wr 保存配置。

  在端口安全里,还可以绑定IP或MAC或一起绑定,还可以设置安全地址的老化时间等。具体还有很多的应用,可以参考相关的操作手册。

  注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效,因为一般不同VLAN访问都做了路由.而相同VLAN内的保护端口是不能访问的了。

  

上一篇: 3个月通过CCSP认证的机会你愿意抓住吗?
下一篇: MAC地址全接触之巧“取”MAC

关于我们 | 联系我们 | 加入我们 | 广告服务 | 投诉意见 | 网站导航
Copyright © 2000-2011 21tx.com, All Rights Reserved.
晨新科技 版权所有 Created by TXSite.net