admin 管理员组文章数量: 1086019
2024年4月28日发(作者:extract在sql中)
交换机端口安全Port-Security超级详解
交换安全交换机端口安全Port-Security超级详解
一、Port-Security概述
在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:
限制交换机每个端口下接入主机的数量MAC地址数量
限定交换机端口下所连接的主机根据IP或MAC地址进行过滤
当出现违例时间的时候能够检测到,并可采取惩罚措施
上述需求,可通过交换机的Port-Security功能来实现:
二、理解Port-Security
安全地址:secure MAC address
在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口所连
接的的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实
现接入用户的限制;那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址
– secure MAC address;
安全地址表项可以通过让使用端口动态学习到的MACSecureDynamic,或者是手工在接口下
进行配置SecureConfigured,以及sticy MAC addressSecureSticky 三种方式进行配置;
当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将
只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口;
2.当以下情况发生时,激活惩罚violation:
当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,
并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩
罚措施
当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同
VLAN的另一个Port-Security接口上接入时,启动惩罚措施
当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过
如下方式获取:
在接口下使用switchport port-security mac-address 来配置静态安全地址表项
使用接口动态学习到的MAC来构成安全地址表项
一部分静态配置,一部分动态学习
当接口出现up/down,则所有动态学习的MAC安全地址表项将清空;而静态配置的安全地址
表项依然保留;
与Sticky MAC地址
上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,
将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用
switchport port-security mac-address手工来配置,工作量又太大;因此这个sticky mac
地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动
态的学,学到之后我再将你粘起来,形成一条”静态“ 实际上是SecureSticky的表项;
在up/down现象出现后仍能保存;而在使用wr后,这些sticky安全地址将被写入start-up
config,即使设备重启也不会被丢失;
三、默认的Port-Security配置
Port-Security 默认关闭
默认最大允许的安全MAC地址数量 1
惩罚模式 shutdown进入err-disable状态,同时发送一个SNMP trap
四、Port-Security的部署注意事项
版权声明:本文标题:交换机端口安全portsecurity超级详解 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1714283282a673375.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论