CISCO交換機，埠安全配置例項。

最近，要求做Cisco交換機埠安全的情形越來越多。這裡的埠安全主要是指通過繫結客戶端MAC地址來限制埠接入的訪問，不包括vlan間的ACL。您在這方面有什麼好的經驗嗎？

　　借鑑了前輩的經驗，同時總結自己的除錯心得，總結如下：

　　1、Cisco29系列交換機可以做基於2層的埠安全，即mac地址與埠進行繫結。

　　2、Cisco3550以上交換機均可做基於2層和3層的埠安全，即mac地址與埠繫結以及mac地址與ip地址繫結。

　　3、以cisco3550交換機為例

　　做mac地址與埠繫結的可以實現兩種應用：

　　a、設定一埠只接受第一次連線該埠的計算機mac地址，當該埠第一次獲得某計算機mac地址後，其他計算機接入到此埠所傳送的資料包則認為非法，做丟棄處理。

　　b、設定一埠只接受某一特定計算機mac地址，其他計算機均無法接入到此埠。

　　4、破解方法：網上前輩所講的破解方法有很多，主要是通過更改新接入計算機網路卡的mac地址來實現，但本人認為，此方法實際應用中基本沒有什麼作用，原因很簡單，如果不是網管，其他一般人員平時根本不可能去注意合法計算機的mac地址，一般情況也無法進入合法計算機去獲得mac地址，除非其本身就是該區域網的使用者。

　　5、實現方法：

　　針對第3條的兩種應用，分別不同的實現方法

　　a、接受第一次接入該埠計算機的mac地址：

　　Switch#config terminal

　　Switch(config)#interface interface-id 進入需要配置的埠

　　Switch(config-if)#switchport mode access 設定為交換模式

　　Switch(config-if)#switchport port-security 開啟埠安全模式

　　Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //針對非法接入計算機，埠處理模式{丟棄資料包，不發警告 | 丟棄資料包，在console發警告 | 關閉埠為err-disable狀態，除非管理員手工啟用，否則該埠失效。

　　b、接受某特定計算機mac地址：

　　Switch#config terminal

　　Switch(config)#interface interface-id

　　Switch(config-if)#switchport mode access

　　Switch(config-if)#switchport port-security

　　Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }

　　//以上步驟與a同

　　Switch(config-if)#switchport port-security mac-address sticky

　　Switch(config-if)#switchport port-security aging static //開啟靜態對映

　　Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX //為埠輸入特定的允許通過的mac地址

　　mac地址與ip地址繫結基本原理：

　　在交換機內建立mac地址和ip地址對應的對映表。埠獲得的ip和mac地址將匹配該表，不符合則丟棄該埠傳送的資料包。

　　實現方法：

　　Switch#config terminal

　　Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa

　　該配置的主要注意事項：需要將網段內所有IP都建立MAC地址對映，沒有使用的IP地址可以與0000.0000.0000建立對映。否則該繫結對於網段內沒有建立對映的IP地址無效。

本文轉自 qq8658868 51CTO部落格，原文連結：http://blog.51cto.com/hujizhou/1186336，如需轉載請自行聯絡原作者