交換機最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理,比如MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數(shù)量,或者在具體的端口不允許某些MAC地址的幀流量通過。稍微引申下端口安全,就是可以根據(jù)802.1X來控制網(wǎng)絡(luò)的訪問流量。
一、MAC地址與端口綁定和根據(jù)MAC地址允許流量的配置
1.MAC地址與端口綁定
當發(fā)現(xiàn)主機的MAC地址與交換機上指定的MAC地址不同時 ,交換機相應(yīng)的端口將down掉。當給端口指定MAC地址時,端口模式必須為access或者Trunk狀態(tài)。
2.通過MAC地址來限制端口流量
此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數(shù)據(jù)幀將丟失。
二、根據(jù)MAC地址來拒絕流量
上面的配置根據(jù)MAC地址來允許流量,下面的配置則是根據(jù)MAC地址來拒絕流量。
此配置在Catalyst交換機中只能對單播流量進行過濾,對于多播流量則無效。
三、理解端口安全
當你給一個端口配置了最大安全mac地址數(shù)量,安全地址是以一下方式包括在一個地址表中的:
你可以配置所有的mac地址使用 switchport port-security mac-address
你也可以允許動態(tài)配置安全mac地址,使用已連接的設(shè)備的mac地址。
你可以配置一個地址的數(shù)目且允許保持動態(tài)配置。
注意:如果這個端口shutdown了,所有的動態(tài)學(xué)的mac地址都會被移除。
一旦達到配置的最大的mac地址的數(shù)量,地址們就會被存在一個地址表中。設(shè)置最大mac地址數(shù)量為1,并且配置連接到設(shè)備的地址確保這個設(shè)備獨占這個端口的帶寬。
四、端口安全規(guī)則
當以下情況發(fā)生時就是一個安全違規(guī):
最大安全數(shù)目mac地址表外的一個mac地址試圖訪問這個端口。
一個mac地址被配置為其他的接口的安全mac地址的站點試圖訪問這個端口。
五、配置接口的三種違規(guī)模式
你可以配置接口的三種違規(guī)模式,這三種模式基于違規(guī)發(fā)生后的動作:
protect-當mac地址的數(shù)量達到了這個端口所最大允許的數(shù)量,帶有未知的源地址的包就會被丟棄,直到刪除了足夠數(shù)量的mac地址,來降下最大數(shù)值之后才會不丟棄。
restrict-一個限制數(shù)據(jù)和并引起"安全違規(guī)"計數(shù)器的增加的端口安全違規(guī)動作。
shutdown-一個導(dǎo)致接口馬上shutdown,并且發(fā)送SNMP陷阱的端口安全違規(guī)動作。當一個安全端口處在error-disable狀態(tài),你要恢復(fù)正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手動的shut再no shut端口。這個是端口安全違規(guī)的默認動作。
六、默認的端口安全配置
以下是端口安全在接口下的配置:
特性:port-sercurity 默認設(shè)置:關(guān)閉的。
特性:最大安全mac地址數(shù)目 默認設(shè)置:1
特性:違規(guī)模式 默認配置:shutdown,這端口在最大安全mac地址數(shù)量達到的時候會shutdown,并發(fā)snmp陷阱。
七、配置端口安全的向?qū)В?/strong>
安全端口不能在動態(tài)的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之后。
安全端口不能是一個被保護的口。
安全端口不能是SPAN的目的地址。
安全端口不能屬于GEC或FEC的組。
安全端口不能屬于802.1x端口。如果你在安全端口試圖開啟802.1x,就會有報錯信息,而且802.1x也關(guān)了。如果你試圖改變開啟了802.1x的端口為安全端口,錯誤信息就會出現(xiàn),安全性設(shè)置不會改變。
八、802.1X的相關(guān)概念和配置
802.1X身份驗證協(xié)議最初使用于無線網(wǎng)絡(luò),后來才在普通交換機和路由器等網(wǎng)絡(luò)設(shè)備上使用。它可基于端口來對用戶身份進行認證,即當用戶的數(shù)據(jù)流量企圖通過配置過802.1X協(xié)議的端口時,必須進行身份的驗證,合法則允許其訪問網(wǎng)絡(luò)。這樣的做的好處就是可以對內(nèi)網(wǎng)的用戶進行認證,并且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協(xié)議,首先得全局啟用AAA認證,這個和在網(wǎng)絡(luò)邊界上使用AAA認證沒有太多的區(qū)別,只不過認證的協(xié)議是802.1X;其次則需要在相應(yīng)的接口上啟用802.1X身份驗證。(建議在所有的端口上啟用802.1X身份驗證,并且使用radius服務(wù)器來管理用戶名和密碼)
九、配置AAA認證所使用的為本地的用戶名和密碼
十、交換機端口安全總結(jié)
通過MAC地址來控制網(wǎng)絡(luò)的流量既可以通過上面的配置來實現(xiàn),也可以通過訪問控制列表來實現(xiàn),比如在Cata3550上可通過700-799號的訪問控制列表可實現(xiàn)MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這里就不多介紹了。
通過MAC地址綁定雖然在一定程度上可保證內(nèi)網(wǎng)安全,但效果并不是很好,建議使用802.1X身份驗證協(xié)議。在可控性,可管理性上802.1X都是不錯的選擇。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:交換機端口安全總結(jié)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112157121.html