實戰演練!CISCO交換機埠安全一點通

餘二五發表於2017-11-15
對於很多的企業網路管理人員來說,交換機自然是最常打交道的裝置。那麼,你對交換機到底瞭解多少呢?下面我們就通過一個例項,先來探討一下對於交換機埠配置和接入安全性保障的實戰演練!
  
    場景:某單位中有一臺CISCO3550交換機,出於網路安全的考慮,對某些埠的安全性要求較高,即只能接入指定的主機,比如設定一間辦公室只有某 檯膝上型電腦可以接入網路,當他帶著筆記本出去後,即使空出了網路介面,其它的電腦也無法使用這根網線。下面我們就看網路管理人員是如何逐步實現這一需求 的。
  
  
  
    一、判斷交換機埠通斷狀態的方法
  
    作為網路管理員,在應用新的功能前,肯定要先經過測試,即為了保證網路的穩定執行,只能在空閒的埠上面測試新功能。如何找到空閒的埠,到交換機的 前面直接去檢視是一種方法,當然作為一名資深的網管人員來說,一般是不會這麼做的,我們是通過在交換機上執行相應的指令來找到自己所需的答案的。以前我是 用show inter命令來看,但是這條命令顯示的資訊太多了,看起來不方便,現在我是用show inter status命令來看,這條命令可以逐條顯示出每個埠的通斷狀態(用“connected”和“notconnect”來表示),本例中我就通過這條命 令找到了一個空閒的埠3來進行隨後的測試。
  
    3550#show inter status
  
    Port Name Status Vlan Duplex Speed Type
  
    Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
  
  
  
    二、埠安全的基本操作
  
    (一)顯示埠3口上面的MAC地址
  
    3550#show mac-address-table int fa0/3
  
    Mac Address Table
  
    ——————————————-
  
    Vlan Mac Address Type Ports
  
    —- ———– ——– —–
  
    (由於埠上面現在沒接任何網線,所以顯示該埠上面沒有任何MAC地址)
  
    (二)清除動態獲到的MAC 地址
  
    3550#clear mac-address-table dynamic inter fa0/3
  
    以上兩步操作的目的是確認當前埠上面沒有MAC地址的記錄,以便證明我們以後進行的操作是有效的。
  
    (三)關閉埠、將其配置為接入埠並執行配置埠安全的命令
  
    埠安全的實現是通過switchport port-security命令來實現的,這是一條核心的指令,輔以與之相關的其它命令,我們就可以實現埠安全的設定。由於大多采用的預設設定,所以本 例實現的功能是埠3上面只允許一個指定的MAC地址通過,並在出現安全違規時關閉埠,先對相關的設定命令做一下解釋:
  
    switchport port-security命令在埠上啟用埠安全,預設設定情況下只允許一個MAC地址通過,並在出現安全違規時關閉介面。)
  
    switchport port-security mac-add sticky命令讓交換機獲悉當前與埠相關聯的MAC地址,該地址將包含在執行配置中。如果將執行配置儲存到啟動配置中,則路由器重啟後,該地址也將保留下來。
  
    介紹完核心命令的操作,我們再介紹一下埠安全操作的思路:首先關閉埠3。使用命令switchport mode access將埠配置為接入埠,以便配置埠安全。使用命令switchport port-securtiy啟用埠安全,然後使用命令swithchport port-security mac-address sticky讓埠獲悉其連線機的主機的IP地址。最後,執行命令no shutdown重新啟用埠,使其能夠獲悉主機的MAC地址,實現以上操作的命令如下。
  
    3550#conf t
  
    Enter configuration commands, one per line. End with CNTL/Z.
  
    3550(config)#inter fa0/3
  
    3550(config-if)#shutdown
  
    3550(config-if)#switchport mode access
  
    3550(config-if)#switchport port-security
  
    3550(config-if)#switchport port-security mac-address sticky (設定MAC地址的粘性,我對這條命令的理解是交換機會自動的學習到第一次接到到該埠的網路裝置的MAC地址,並把它記錄到當前的配置檔案中)
  
    3550(config-if)#end
  
    (四)檢視配置資訊的操作
  
    1、檢視當前配置檔案中有關FA0/3埠的資訊
  
    3550#show run inter fa0/3
  
    Building configuration…
  
    Current configuration : 281 bytes
  
    !
  
    interface FastEthernet0/3
  
    switchport access vlan 66
  
    switchport mode access
  
    switchport port-security
  
    switchport port-security mac-address sticky
  
    end
  
    2、檢視有關FA0/3埠安全方面的資訊
  
    Port Security : Enabled
  
    Port Status : Secure-down
  
    Violation Mode : Shutdown
  
    Aging Time : 0 mins
  
    Aging Type : Absolute
  
    SecureStatic Address Aging : Disabled
  
    Maximum MAC Addresses : 1
  
    Total MAC Addresses : 0
  
    Configured MAC Addresses : 0
  
    Sticky MAC Addresses : 0
  
    Last Source Address : 0000.0000.0000
  
    Security Violation Count : 0
  
    (五)實際測試
  
    我們拿一臺膝上型電腦,接入FA0/3埠,這檯筆記本網路卡的狀態顯示為連通,由於VLAN66網段內有DHCP伺服器,也可以順利的獲取IP地址,訪問網路。然後再將連線這檯膝上型電腦的網線接到另外一臺微機上,該微機的網路卡狀態顯示為斷開,說明埠安全已經生效。
  
    (六)存在的問題
  
    本來以為埠安全的操作到此已經完成了,但是將這根網線再插回到剛才的那臺膝上型電腦上時,卻發現網路仍然處於斷開狀態,檢視埠的狀態,處於 “error disable”,雖然我們可以通過在FA0/3埠執行shutdown和no shutdown命令將這個埠恢復正常,但是這個操作太麻煩了,而且也不現實,總不能每次使用者每次發現埠關閉了以後,都去找網管員執行 shutdown、no shutdonw命令。
  
  
  
    三、對埠安全設定的深入研究
  
    在已經實現埠安全的基礎上(雖然效果跟我們的要求還有一定差距),我們繼續對相關的功能進行研究,在檢視埠安全狀態的“Violation(違 背) Mode”時,發現預設的處理是shutdown,那麼還有沒有其它的選項呢通過“”(幫助),我們還真找到其它的兩個選項,分別為
  
    3550(config-if)#switchport port-security violation 
  
    protect Security violation protect mode
  
    restrict Security violation restrict mode
  
    shutdown Security violation shutdown mode
  
    通過檢視相關的資料,我們瞭解到protect引數的含義是當發生違背安全的情況時,是將資料包丟棄,這正好我們的設想,即不是將發生違規的埠關閉,而是將違規的資料包丟棄,這才是我們所要的結果,具體的設定命令如下:
  
    3550#conf t
  
    Enter configuration commands, one per line. End with CNTL/Z.
  
    3550(config)#inter fa0/3
  
    3550(config-if)#shut
  
    3550(config-if)#end
  
    3550#show port-security inter fa0/3
  
    Port Security : Enabled
  
    Port Status : Secure-down
  
    Violation Mode : Protect
  
    Aging Time : 0 mins
  
    Aging Type : Absolute
  
    SecureStatic Address Aging : Disabled
  
    Maximum MAC Addresses : 1
  
    Total MAC Addresses : 1
  
    Configured MAC Addresses : 0
  
    Sticky MAC Addresses : 1
  
    Last Source Address : 485b.39b8.a060
  
    Security Violation Count : 0
  
    從實際測試的效果來看也達到我們的要求,即該埠安全的設定生效後,首先連線膝上型電腦是可以接入網路的,更換為一臺桌上型電腦以後,該桌上型電腦的網路卡狀態仍然顯示為已連線,但是網路資料不通,當重新接回膝上型電腦後,網路的通訊又恢復正常了。
本文轉自 h2appy  51CTO部落格,原文連結:http://blog.51cto.com/h2appy/624401,如需轉載請自行聯絡原作者


相關文章