5 1 Switchconfiginterface f 01 Switchconfigifswitchport mode access

  • Slides: 37
Download presentation

交换机端口安全的配置 5 -1 § 启用交换机端口安全特性 Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport-security Ø 启用端口安全的接口不能是动态协商(dynamic)模式,必须

交换机端口安全的配置 5 -1 § 启用交换机端口安全特性 Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport-security Ø 启用端口安全的接口不能是动态协商(dynamic)模式,必须 配置接口为接入或干道模式 § 配置允许访问网络的MAC地址 Switch(config-if)#switchport-security maximum { max-addr } Ø 配置接口允许的最大活跃地址数量 max-addr参数的范围是 1~ 8192,在默认情况下为 1 Ø 配置静态绑定的MAC地址 Switch(config-if)#switchport-security mac-address { mac-addr } mac-addr为静态绑定的MAC地址

端口安全配置示例5 -1 § 在交换机上配置端口安全 PC 1 F 0/2 PC 2 Switch#show run …… interface

端口安全配置示例5 -1 § 在交换机上配置端口安全 PC 1 F 0/2 PC 2 Switch#show run …… interface Fast. Ethernet 0/2 启用端口安全 switchport access vlan 2 switchport mode access 配置老化时间,1分钟 switchport-security switchport-security aging time 1 配置违规策略 switchport-security violation restrict switchport-security mac-address 0025. 1234. 1258 …… 配置静态绑定

端口安全配置示例5 -2 § 查看端口安全的状态 Switch#show port-security interface fast. Ethernet 0/2 Port Security : Enabled

端口安全配置示例5 -2 § 查看端口安全的状态 Switch#show port-security interface fast. Ethernet 0/2 Port Security : Enabled Port Status : Secure-up 端口状态 Violation Mode : Restrict Aging Time : 1 mins 违规策略 Aging Type : Inactivity Secure. Static Address Aging : Disabled Maximum MAC Addresses : 1 最大MAC地址数量 Total MAC Addresses : 1 Configured MAC Addresses : 1 静态绑定MAC地址数量 Sticky MAC Addresses : 0 Last Source Address: Vlan : 0025. 1234. 1258: 2 Security Violation Count : 0 安全违规次数

端口安全配置示例5 -3 § 修改违规策略为shutdown § 当F 0/2端口接入其他MAC地址的设备,端口将进入errdisable状态,系 统日志如下所示 %PM-4 -ERR_DISABLE: psecure-violation error detected on

端口安全配置示例5 -3 § 修改违规策略为shutdown § 当F 0/2端口接入其他MAC地址的设备,端口将进入errdisable状态,系 统日志如下所示 %PM-4 -ERR_DISABLE: psecure-violation error detected on Fa 0/2, putting Fa 0/2 in err-disable state %PORT_SECURITY-2 -PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021. 1 ba 5. 6983 on port Fast. Ethernet 0/2. %LINEPROTO-5 -UPDOWN: Line protocol on Interface Fast. Ethernet 0/2, changed state to down %LINK-3 -UPDOWN: Interface Fast. Ethernet 0/2, changed state to down 端口状态改变

端口安全配置示例5 -4 § 查看端口安全状态 Switch#show port-security interface fast. Ethernet 0/2 Port Security : Enabled

端口安全配置示例5 -4 § 查看端口安全状态 Switch#show port-security interface fast. Ethernet 0/2 Port Security : Enabled Port Status : Secure-shutdown 端口状态 Violation Mode : Shutdown Aging Time : 1 mins Aging Type : Inactivity Secure. Static Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address: Vlan : 0021. 1 ba 5. 6983: 2 Security Violation Count : 1 违规次数

端口安全配置示例5 -5 § 查看处于errdisable状态的端口 Switch#show interfaces status err-disabled Errdisable状态原因 Port Name Status Reason Fa

端口安全配置示例5 -5 § 查看处于errdisable状态的端口 Switch#show interfaces status err-disabled Errdisable状态原因 Port Name Status Reason Fa 0/2 err-disabled psecure-violation § 显示端口安全状态的摘要信息 Switch#show port-security Secure Port Max. Secure. Addr Current. Addr Security. Violation Security Action (Count) ------------------------------------- Fa 0/2 1 1 Shutdown -------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192

12 三月 2021 22

12 三月 2021 22

配置交换机端口安全 1 § § § § 1. 配置端口f 0/1只允许pc 1通过,如果其他主机尝试通过就关闭端口 SW 1>enable SW 1#conf

配置交换机端口安全 1 § § § § 1. 配置端口f 0/1只允许pc 1通过,如果其他主机尝试通过就关闭端口 SW 1>enable SW 1#conf ter SW 1(config)#interface f 0/1 SW 1(config-if)#shutdown //先关闭端口配置 SW 1(config-if)#switchport mode access //将端口改为接入模式 SW 1(config-if)#switchport-security //开启端口安全 SW 1 (config-if)#switchport-security maximum 1 //限制该端口 最多连接 1个mac地址 § SW 1(config-if)#switchport-security violation shutdown //配置违 规处理为关闭 § SW 1(config-if)#switchport-security mac-address 0060. 2 F 60. 0202 !设定PC 1的安全MAC地址。 § SW 1(config-if)#no shudown 12 三月 2021 24

查看交换机端口安全信息 § § § § SW 1#show mac-address-table Mac Address Table ---------------------Vlan Mac Address

查看交换机端口安全信息 § § § § SW 1#show mac-address-table Mac Address Table ---------------------Vlan Mac Address Type Ports -----------1 0060. 2 F 60. 0202 STATIC Fa 0/1 1 0001. 97 D 6. 7 E 44 DYNAMIC Fa 0/2 1 0009. 7 C 7 C. CA 83 DYNAMIC Fa 0/3 12 三月 2021 25

违规后处理 § 如果出现端口关闭则需如下方式重新开启端口 SW 1(config)#interface fastethernet 0/5 SW 1(config-if)#shutdown //先全部关闭 SW 1(config-if)#no shutdown //再打开端口才能开启

违规后处理 § 如果出现端口关闭则需如下方式重新开启端口 SW 1(config)#interface fastethernet 0/5 SW 1(config-if)#shutdown //先全部关闭 SW 1(config-if)#no shutdown //再打开端口才能开启

配置交换机端口安全 2 § 2. 配置端口f 0/2和f 0/3只允许pc 3和pc 4通过,如果其他主机尝试通过 就保护端口 § SW 1>enable §

配置交换机端口安全 2 § 2. 配置端口f 0/2和f 0/3只允许pc 3和pc 4通过,如果其他主机尝试通过 就保护端口 § SW 1>enable § SW 1#conf ter § SW 1(config)#interface range f 0/2 -3 § SW 1(config-if)#shutdown //先关闭端口配置 § SW 1(config-if)#switchport mode access //将端口改为接入模式 § SW 1(config-if)#switchport-security //开启端口安全 § SW 1 (config-if)#switchport-security maximum 1 //限制该端口 最多连接 1个mac地址 § SW 1(config-if)#switchport-security violation protect //配置违规处 理为保护 § SW 1(config-if)#switchport-security mac-address sticky !设定 安全MAC地址为自动粘连第一次接入的mac。 § SW 1(config-if)#no shudown

交换机端口安全配置步骤 § 步骤 1. 配置交换机端口的最大连接数限制 Switch>enable Switch 1#configure terminal switch 1(config)#interface range fastethernet 0/1

交换机端口安全配置步骤 § 步骤 1. 配置交换机端口的最大连接数限制 Switch>enable Switch 1#configure terminal switch 1(config)#interface range fastethernet 0/1 -23 进入一组端口配置模式 Switch 1(config-if-range)#switchport mode access !配置为接入模式 Switch 1(config-if-range)#switchport-security !开启交换机的端口安全 功能 Switch 1(config-if-range)#switchport-secruity maximum {max_addr} ! 配置端口的最大连接数 Ø Switch 1(config-if-range)#switchport-secruity violation { protect |restrict | shutdown } !配置安全违例的处理方式 验证测试:查看交换机的端口安全配置 Switch 1#show port-security

交换机端口安全配置步骤 § 步骤 2. 配置交换机端口的地址绑定 在主机上打开CMD命令窗口,执行ipconfig/all命令查看IP和 MAC地址信息。 Switch 1#configure terminal switch 1(config)#interface fastethernet 0/5

交换机端口安全配置步骤 § 步骤 2. 配置交换机端口的地址绑定 在主机上打开CMD命令窗口,执行ipconfig/all命令查看IP和 MAC地址信息。 Switch 1#configure terminal switch 1(config)#interface fastethernet 0/5 Switch 1(config-if)#switchport-secruity mac-address 置MAC地址的绑定 验证测试:查看交换机安全绑定配置 switch 1#show mac_address_table switch 1#show port-security address switch 1#show run 0005. 5 E 55. EA 3 D !配