交换机端口安全总结

转载 2007年09月21日 09:27:00

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。

首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。

1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时 ,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。

3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。

2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。

1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

最后说一下802.1X的相关概念和配置。

802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。

配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)

下面的配置AAA认证所使用的为本地的用户名和密码。

3550-1#conf t

3550-1(config)#aaa new-model /启用AAA认证。

3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。

3550-1(config)#int range f0/1 -24

3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

后记

通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。

通过MAC地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X身份验证协议。在可控性,可管理性上802.1X都是不错的选择。

 

华为交换机端口安全

session 1 端口安全         在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content ...
  • alone_map
  • alone_map
  • 2016年09月07日 17:09
  • 2011

你了解Cisco交换机的端口安全功能吗?

【说明】以下内容摘自刚刚上市的《Cisco/H3C交换机高级配置与管理技术手册》一书。查看详细目录,可点击: http://book.360buy.com/10959197.html         ...
  • lycb_gz
  • lycb_gz
  • 2012年05月09日 09:58
  • 6570

交换机端口安全总结

交换机端口安全总结 ...
  • yangcage
  • yangcage
  • 2008年04月24日 23:20
  • 426

详解H3C交换机“端口安全”功能

3C交换机中的“端口安全”(Port Security)与Cisco设备中的“端口安全”功能并不完全一样,它是一种对网络接入进行控制的安全机制(防止非法接入),是对已有的IEEE 802.1x认证和M...
  • lycb_gz
  • lycb_gz
  • 2013年10月16日 08:59
  • 9032

交换机端口安全配置

交换机端口安全的配置: 对交换机的某一个端口做端口安全配置,首先应该进入该端口。 即:进入到:端口模式 交换机型号:Cisco 2950  sw...
  • H002399
  • H002399
  • 2015年07月12日 10:29
  • 309

cisco交换机端口安全之端口MAC地址限制

Switch通过Arp泛红来进行MAC地址的学习,并汇聚成一张"MAC address tables",一个端口下可以有多个MAC地址的学习,因为MAC地址表的本身是有限制的,如果超过了最大定义的...
  • alone_map
  • alone_map
  • 2016年07月06日 16:45
  • 6060

cisco交换机端口安全之端口隔离

端口保护可以确保同一交换机上的端口之间不进行通信,所有端口不进行二层的通信,如果要通信必须经过路由。保护端口于非保护端口之间的通信不受影响。 命令: Switch4(config)#interfa...
  • alone_map
  • alone_map
  • 2016年07月06日 13:47
  • 1054

交换机端口安全

switchport mode access 端口调整为接入模式,切忌在uplink端口开启端口安全 switchport port-security 交换机端口安全的开关,无论后序命令为何,都必须先...
  • gofed
  • gofed
  • 2011年03月28日 19:33
  • 199

交换机的端口安全

【实验名称】交换机的端口安全配置【实验目的】掌握交换机的端口安全功能,控制用户的安全接入【实验功能】针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定【实验设备】二...
  • maxiaoqiang1
  • maxiaoqiang1
  • 2010年12月23日 16:35
  • 160

Cisco交换机端口安全

Cisco交换机端口安全       通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全.配置网络安全时应该注意如下问题: ...
  • lcgweb
  • lcgweb
  • 2014年05月19日 19:10
  • 450
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:交换机端口安全总结
举报原因:
原因补充:

(最多只允许输入30个字)