端口安全配置是一种网络安全策略,用于防止未经授权的设备接入网络,保护网络资源的安全。
端口安全配置主要包括以下几个方面:
-
端口安全模式:端口安全模式分为三种,分别是关闭、启用和强制。关闭模式下,不进行端口安全检查;启用模式下,对接入设备的MAC地址进行检查,如果MAC地址不在安全列表中,则拒绝接入;强制模式下,只允许安全列表中的设备接入,其他设备一律拒绝。
-
端口安全MAC地址限制:可以设置每个端口允许接入的MAC地址数量,以及是否允许动态学习新的MAC地址。当接入设备的MAC地址超过限制时,将触发端口安全事件。
-
端口安全动作:当发生端口安全事件时,可以设置相应的动作,如警告、限制速率、关闭端口等。这些动作可以帮助管理员及时发现和处理非法接入设备。
-
端口安全日志:记录端口安全事件的详细信息,包括事件发生的时间、地点、原因等,便于管理员进行故障排查和安全审计。
实验拓扑:
S1的配置:
[S1]in g0/0/1
[S1-GigabitEthernet0/0/1]port-security enable
[S1-GigabitEthernet0/0/1]port-security max-mac-num 2 //限制MAC地址学习为2
[S1-GigabitEthernet0/0/1]port-security protect-action shutdown //触发MAC地址限制后将会关闭g0/0/1端口
[S1]display mac-address security //查看MAC地址表
[S1-GigabitEthernet0/0/1]restart //开启g0/0/1接口
测试:
在对PC1、PC2到PC4的ping测试成功的,且S1的MAC地址表也出现这俩个PC设备,接下来使用PC名为攻击者对PC4进行Ping测试。
通过上面测试我们可以得知攻击者无法访问PC4且ping完后G0/0/1端口关闭了,说明配置成功了。
配置交换机S1的g0/0/2为静态安全MAC:
[S1]interface g0/0/2
[S1-GigabitEthernet0/0/2]port-security enable
[S1-GigabitEthernet0/0/2]port-security max-mac-num 1
[S1-GigabitEthernet0/0/2]port-security mac-address sticky
[S1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1
配置交换机S1的g0/0/3为sticky MAC:
[S1]interface g0/0/3
[S1-GigabitEthernet0/0/3]port-security enable
[S1-GigabitEthernet0/0/3]port-security max-mac-num 1
[S1-GigabitEthernet0/0/3]port-security mac-address sticky
查看配置是否成功:
通过上述步骤,配置端口安全可以有效地防止未经授权的设备接入网络,保护网络资源的安全。这种配置对于提高网络的整体安全性至关重要,尤其是在公共或半公共的网络环境中。