《#2.4#--2.4端口安全及实践.pdf》由会员分享,可在线阅读,更多相关《#2.4#--2.4端口安全及实践.pdf(3页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、2.4 2.4 端口安全及实践端口安全及实践 端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备安全性。1 1端口学习安全端口学习安全MAC地址的方式地址的方式安全MAC地址分为:安全动态MAC、安全静态MAC与Sticky MAC。定义及区别如下:安全动态MAC地址:使能端口安全而未使能Sticky MAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重新学
2、习。安全静态MAC地址:使能端口安全而未使能Sticky MAC功能时,手工配置的静态MAC地址,安全静态MAC地址不会被老化。Sticky MAC地址:使能端口安全后又使能Sticky MAC功能后,学习到的MAC地址。Sticky MAC地址不会被老化,保存配置后重启设备,Sticky MAC地址不会丢失,无需重新学习。未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Stic
3、ky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。2 2配置端口安全配置端口安全在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或StickyMAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。缺省情况下,安全动态MAC表项不会被老化
4、,但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化,设备重启后安全动态MAC地址会丢失,需要重新学习。安全静态MAC表项不老化且保存配置后重启不会丢失。Sticky MAC不会被老化,保存配置后重启设备,Sticky MAC也不会丢失,无需重新学习。具体配置方法如下。具体配置方法如下。(1)执行命令interface interface-type interface-number,进入接口视图。(2)执行命令port-security enable,使能端口安全功能。缺省情况下,未使能端口安全功能。(3)执行命令port-security mac-address mac-addre
5、ss vlan vlan-id,手工配置安全静态MAC地址表项。(4)执行命令port-security mac-address sticky,使能接口Sticky MAC功能。缺省情况下,接口未使能Sticky MAC功能。(5)执行命令port-security max-mac-num max-number,配置端口安全动态MAC学习限制数量。缺省情况下,接口学习的安全MAC地址限制数量为1。(6)执行命令port-security protect-action protect|restrict|shutdown,配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。端口安
6、全保护动作有以下三种:protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。shutdown:当学习到的MAC地址数超过接口限制数时,将接口error down,同时发出告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。如果用户希望被关闭的接口可以自动恢复自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto
7、-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延1时时间后能够自动恢复。3 3端口安全配置示例端口安全配置示例通过MSTP配置、链路聚合配置,形成的拓扑图的基础上,在LSW2交换机上添加交换机LSW5以及PC5、PC6、PC7等电脑,形成本实验拓扑图,如图所示。其中添加设备用于端口安全配置测试。1.实验名称端口安全配置实验2.实验目的(1)学习掌握MAC地址表以及端口安全知识;(2)掌握端口安全配置方法。3.实验拓扑图 端口安全配置实验拓扑4.
8、实验内容用于端口配置测试的设备连接在LSW2的G0/0/4接口,所以端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。(1)开启端口安全(2)设置Sticky MAC功能(3)设置动态学习的最大MAC地址数量为2。(4)配置安全保护功能,当学习到MAC地址数量超过最大限制数量时,关闭接口。(5)设置接口自动恢复功能,要求接口关闭后,2分钟后自动开启接口。5 实验步骤(1)初始配置为便于测试实验,将LSW2交换即端口G0/0/4划入VLAN40,给PC5、PC6、PC7分别配置IP地址:192.168.40.5/24,192.168.40.6/24;192.168.40.7/24。(
9、2)端口安全配置端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。LSW2int g/0/4LSW2-GigabitEthernet0/0/4port-secirity enable2LSW2-GigabitEthernet0/0/4port-security mac-address stickyLSW2-GigabitEthernet0/0/4port-security max-mac-num 2LSW2-GigabitEthernet0/0/4port-security protect-action shutdownLSW2-GigabitEthernet0/0/4quitLSW2error-down auto-recovery cause port-security interval 120(3)端口安全测试用PC5、PC6、PC7分别去访问其他VLAN主机,前面任意两台可以访问网络,当第三台主机访问网络时,LSW2的G0/0/4端口shutdown。由于设置为2分钟自动恢复,因此,等待2分钟后,LSW2的G0/0/4端口up。3
限制150内