交換機埠總結
交換機埠安全總結
常用的對埠安全的理解就是可根據MAC地址來做對網路流量的控制和管理,比如 MAC地址與具體的埠繫結,限制具體埠通過的MAC地址的數量,或者在具體的埠不允許某些MAC地址的幀流量通過。稍微引申下埠安全,就是可以根據802.1X來控制網路的訪問流量。
首先談一下MAC地址與埠繫結,以及根據MAC地址允許流量的配置。
1.MAC地址與埠繫結,當發現主機的MAC地址與交換機上指定的MAC地址不同時,交換機相應的埠將down掉。當給埠指定MAC地址時,埠模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定埠模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許 通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。
2.通過MAC地址來限制埠流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的資料幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的資料幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。
最後說一下802.1X的相關概念和配置。
802.1X身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路裝置上使用。它可基於埠來對使用者身份進行認證,即當使用者的資料流量企圖通過配置過802.1X協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的使用者進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全域性啟用AAA認證,這個和在網路邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的介面上啟用802.1X身份驗證。(建議在所有的埠上啟用802.1X身份驗證,並且使用radius伺服器來管理使用者名稱和密碼)
下面的配置AAA認證所使用的為本地的使用者名稱和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全域性啟用802.1X協議認證,並使用本地使用者名稱與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。
後記
通過MAC地址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這裡就不多介紹了。
通過MAC地址繫結雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1X身份驗證協議。在可控性,可管理性上802.1X都是不錯的選擇。
關於交換機埠安全配置的補充
實現交換機埠安全配置後一旦接入口的PC更換,則該埠需要重新配置.
使用如下操作會更加快捷
1 埠 shutdown
2 清埠上繫結的Mac地址並綁入新的Mac地址
3 clear arp
4 clear port all int fa0/*
5 埠 no shutdown
相關文章
- 交換機埠安全總結
- 各種交換機埠安全總結(配置例項)(轉)
- HUAWEI交換機埠映象
- 華為交換機和銳捷交換機埠隔離
- 二層交換機埠模式模式
- 華為交換機埠映象配置
- cisco交換機命令總結匯集
- 記近日各型別交換機MAC與埠繫結配置型別Mac
- 談談IP、MAC與交換機埠繫結的方法Mac
- 交換機M:N埠映象配置
- 思科3560交換機埠限速
- 網路卡繫結與交換機埠聚合配置(CentOS6.2)CentOS
- 埠總結
- CISCO交換機,埠安全配置例項。
- 關於光纖交換機種類大總結
- 交換機基礎知識總結之層數
- 快速查詢交換機埠的VLAN ID
- Cisco交換機配置新手篇-埠配置(一)
- 華為交換機埠安全詳解--埠隔離、環路檢測與埠安全
- 乙太網交換機埠型別有哪些?型別
- 常用埠號總結
- 詳解H3C交換機“埠安全”功能
- 實戰演練!CISCO交換機埠安全一點通
- 華為S2300交換機埠映象配置
- 解決交換機埠出現err-disabled現象
- 核心交換機光纖埠級連線方式與型別型別
- 交換機埠滿了 怎麼樣才能共享上網(轉)
- 認識交換機組網結構
- 計算機網路實驗七:交換頻寬與埠密度計算機網路
- 串列埠伺服器和光纖交換機有什麼不同串列埠伺服器
- Linux Swap交換分割槽介紹總結Linux
- 二層交換機 三層交換機 四層交換機的區別
- 6、埠轉發流量操控工具總結
- 7、Linux 埠轉發特徵總結Linux特徵
- 你最需要了解的H3C交換機埠安全模式模式
- 一個查埠連線交換機的一條線的技術
- 千兆乙太網交換機的SFP埠有什麼優點(轉)
- 用串列埠連線 設定超級終端管理交換機(轉)串列埠