端口安全配置

最新推荐文章于 2024-04-01 18:12:41 发布
最新推荐文章于 2024-04-01 18:12:41 发布
阅读量1.3k 收藏 5
点赞数 4
分类专栏: 思科NA/NP/IE 文章标签: 安全 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64050217/article/details/132899769
版权

端口安全(port-security)

端口安全就是MAC地址绑定,主要是面向非法接入,MAC地址是全球唯一标识

配置命令集

配置一对一手动绑定

image.png

注意:端口安全一定是用在交换机的access接口上的
查看PC的MAC地址

//PC
show int e0/0

image.png

en
conf ter
int e0/0
shutdown //为了防止报错,关闭接口
sw mode ac
switchport port-security //开启端口安全
switchport port-security mac-address aabb.cc00.2000 //绑定PC的MAC地址
end

查看MAC地址表

//SW
show mac address-table

image.png

查看ARP表,ARP表的数量是跟着缓存走的(一条ARP表示一个待机数)

//SW
show arp

配置MAC地址动态粘贴

动态粘贴就是会动态粘贴第一次获取到的MAC地址,不需要人为手动绑定

en
conf ter
int e0/0
switchport port-security mac-address sticky

switchport port-securiy maximum 3 //设置最大粘贴三个MAC地址,默认只能粘贴一个MAC地址
end

MAC地址一旦粘贴上之后是不会消失的,就算设备重启也不会消失,自动粘贴上的和手动配置的效果是一样的

当手动no掉粘贴一条绑定的MAC配置,他会继续再次粘贴一个MAC

MAC地址不一致接口自动shutdown

en
conf ter
int e0/0
switchport port-security mac-address sticky
switchport port-security violation shutdown //默认使用的是shutdown,当接入的设备MAC和绑定端口的MAC地址不一样时,接口就会自动shutdown
end

修改PC的MAC地址进行测试

en
conf ter
int e0/0
mac-address aabb.cc00.5001  
end

//SW
show int e0/0

image.png

err-disabled 表示接口是错误关闭状态

如果要接口重新开启,需要把PC的MAC地址修改回来,并且在SW连接PC的接口上进行shutdown,no shutdown,在此期间也会有日志提醒

设置接口shutdown之后自动恢复

但是在实际工作中,接口shutdown之后如果要手动开启时不方便的,需要结合error-disable参数来使用

en
conf ter
errdisable recovery cause psecure-violation //设置因为端口安全导致的接口errdisable(这个导致的原因参数有很多)

errdisable recovery interval 30 //设置30s检测一次接口是否恢复正常
end

修改PC的MAC地址,然后并修改回来查看效果

//SW
show ip int br

image.png

发现MAC地址修改回来之后不需要手动开启端口,它会自动恢复

清理mac地址表

en
clear mac address-table dynamic

扩展(三个violation的惩罚参数)

protect

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时,接口不会down掉,但会阻塞掉e0/0口传来的数据

en
conf ter
int e0/0
switchport port-security violation protect
end

restrict

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时,接口不会down掉,但会一直弹出报错消息,并且也会阻塞掉e0/0口传来的数据

en
conf ter
int e0/0
switchport port-security violation restrict
end

shutdown

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时,接口直接会down掉

en
conf ter
int e0/0
switchport port-security violation shutdown
end
孑然i
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
服务器安全设置_系统端口安全配置
09-30
下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果 你对端口方面已经有较深了解可以略过这一步。
交换机端口安全 port-security配置详解
MySpace
10-17 1万+
一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现: 二、理
Cisco交换机安全配置
最新发布
CairBin的博客
04-01 1979
DHCP攻击针对的目标是网络中的DHCP服务器,原理是耗尽DHCP服务器所有的IP地址资源,使其无法正常提供地址分配服务。然后在网络中再架设假冒的DHCP服务器为客户端分发IP地址,从而来实现中间人攻击。DHCP耗竭攻击可以使用端口安全来得到有效地缓解,因为每个发送的DHCP请求消息中使用一个唯一的源MAC地址。但是,缓解 DHCP欺骗攻击需要采取更多保护措施。使用真实的接口 MAC地址作为源以太网地址,在DHCP负载中使用一个不同的以太网地址。
Port_Security
weixin_34211761的博客
11-24 207
端口安全Port-Security) 1、 Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、 Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例  做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端...
交换机port-security配置
ibulll的博客
04-28 1579
http://blog.csdn.net/xlh1991/article/details/12836487
Port Security
mn3321的博客
06-04 1273
背景需求 如下图所示的网络拓扑中,展示的是一个对安全性要求较高的网络, 某企业搭建该网络需求如下: (1)员工通过该企业分配的PC连接到接入层交换机(Access-Switch)上,以便获得与核心网络(Core Network)的IP连通。 (2)出于网络安全考虑,企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC接入网络,也就是说,如果有用户试图在某个接口下级联一台小型交换机或者集线器从而扩展上网接口,那么这种行为应该被发现而且被禁止。 (3)并且要求,只有可信赖的终端发送的数据帧才允许被交换
端口安全配置
xiongIT的博客
10-29 1410
在S0上配置端口安全,设置服务器端口MAC绑定、限制端口MAC连接数量为1,超过最大值则丢弃数据帧。
配置端口安全
weixin_34167819的博客
12-29 743
实验案例一:配置端口安全1、需求描述:(可先用模拟器模拟)配置交换机设置端口安全,保证合法的客户端可以接入网络,非法客户端不许接入网络并且将交换机端口置为err-disable状态2、实验拓扑:3、实现思路a)将交换机的F0/1、F0/2、F0/3端口为接入模式,属于Vlan 10 b)在这3个接口启用端口安全c)配置黏贴功能sticky(粘连)特性d)配置端口违规e)配置e...
局域网14-端口安全配置
09-13
14-端口安全配置
交换机端口安全配置
06-29
交换机的安全配置配置端口安全规则,实现安全配置
H3C交换机端口安全配置
01-25
包括端口安全简介、安全功能 ,安全配置安全特性,配置安全的MAC等具体操作
Port Security端口安全
vx XIxi_AL
11-06 6915
是cisco 交换机上所支持的特性,它可以在交换机端口上限定一个具体的MAC 地址或限定MAC 地址的数量。 合法的MAC 地址才能使用端口。合法地址可以自动学习也可静态定义合法MAC 地址 SW(config-if)#switchport port-security #开启端口安全,默认只允许学习到一个MAC地址 SW(config-if)#switchport port-security maximum 2 #设置可以允许学到两个MAC地址 SW(config-if...
思科交换机端口模式配置 端口安全配置 思科模拟器
m0_73910867的博客
10-15 1万+
思科交换机端口模式配置 端口安全配置 switchport port-security //开启端口安全 switchport port-security mac-address 000d.bd8c.6ccd//表明次端口只能这个msc地址的设备使用 switchport port-security maximum 4 //允许最大mac地址数 思科模拟器
【交换安全】交换机端口安全Port-Security超级详解
热门推荐
mypanlong的专栏
10-07 3万+
一、Port-Security概述   在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现:  
第十五讲:神州交换机端口安全配置
weixin_41687096的博客
12-28 2095
神州交换机端口安全配置
Port-Security概述与作用
清箫的专栏
02-02 5451
概述 端口安全Port Security):允许在一个端口上限制MAC地址的数量。匹配了MAC地址的数据包(安全数据包)就转发,其他数据包(不安全数据包)就限制。基于端口启用。锁定后,只有允许的MAC地址的数据包才会被转发。同时支持动态和静态两种流量过滤的实现方法 –动态锁定 – 用户指定一个端口
思科交换设备安全配置命令
Tony_long7483的博客
12-06 3755
思科交换设备安全配置命令
port-security 交换安全技术
阿亮的小仓库
07-21 544
生活中防止黑客或者人通过蓄意发送无数多个不同的mac地址包 导致mac地址表被无用的mac地址占满,而其他有效的主机之间通信每次都要泛洪 因此我们就有了port-securty技术的诞生 port-securty技术主要是为了限制某个端口允许的MAC地址数量(理解为限制该接口可以接入的主机数目) 或者限制某些主机转发(用IP或者mac来筛选)
端口安全技术:安全动态(静态,sticky)MAC
qq_59122236的博客
06-12 1042
PC1,PC2,PC3通过接入设备连接网络,为了提高安全性,SW使用端口安全功能,设置接口学习MAC地址数的上限,这样其他外来人员使用自己的设备就无法入网。这样只有2台设备可以访问自己的网关,例如:当PC1和PC2先访问网关,则PC3无法访问互联网了。SW3:基本配置如下。
如何在ensp中配置端口安全
09-15
### 回答1: 要在ENSP中配置端口安全,可以使用以下步骤: 1. 首先登录到 ENSP 控制台。 2. 选择需要配置端口安全的交换机,并进入该设备的配置模式。 3. 在配置模式下,输入以下命令来启用端口安全port-security enable 4. 接下来,使用以下命令配置端口安全的参数: port-security port max-mac-num 1 // 设置端口允许连接的 MAC 地址数量为 1 port-security port mode userlogin // 设置端口模式为用户登录模式 5. 为了增加安全性,可以使用以下命令配置静态 MAC 地址: mac-address static xxxx-xxxx-xxxx interface GigabitEthernet0/0/1 // 指定 MAC 地址并将其绑定到接口 6. 最后,使用以下命令保存并退出配置模式: save quit 以上步骤可以帮助你在 ENSP 中配置端口安全。请注意,在实际操作中,你可能需要根据具体情况进行适当的调整。 ### 回答2: 在ENSP(Enterprise Network Simulation Platform)中配置端口安全,可以通过以下步骤完成: 1. 登录ENSP,并创建一个网络拓扑。选择需要配置端口安全的设备,并在拓扑中将它们连接起来。 2. 右键点击要配置端口安全的设备,选择"配置"。 3. 在设备配置界面的左上角找到"端口管理"选项,并点击进入。 4. 在端口管理页面中,选择要配置端口,并点击编辑按钮进入端口配置页面。 5. 在端口配置界面的左侧菜单中,找到"物理属性"选项,并点击进入。 6. 在物理属性页面中,找到"端口安全"选项,并勾选启用端口安全功能。 7. 在启用端口安全功能后,可以设置相关参数。例如,可以限制每个端口上允许连接的MAC地址数量,设置某一个端口允许连接的MAC地址,或者配置端口安全策略等。 8. 配置完毕后,点击"应用"按钮保存配置。 9. 重复上述步骤,对其他需要配置端口安全的设备进行相同的操作。 通过以上步骤,在ENSP中配置端口安全,可以限制每个端口上允许连接的MAC地址数量,提高网络安全性。此外,还可以根据实际需求,配置相应的端口安全策略,以保护网络免受未经授权的访问。 ### 回答3: 在eNSP中配置端口安全可以通过以下步骤进行: 1. 打开eNSP软件并创建仿真环境,选择合适的设备进行配置。 2. 确保设备已连接,并进入设备的命令行界面(CLI)。 3. 配置接口的安全等级,可以使用命令"port-security enable"启用端口安全功能。 4. 配置最大允许的MAC地址数量,可以使用命令"port-security max-mac-num s"来设置。 5. 配置安全MAC地址列表,可以使用命令"port-secuity mac-address secure s"来添加安全的MAC地址。 6. 配置违规MAC地址动作,可以使用命令"port-security violation-action"来设置当有违规MAC地址出现时的动作。 7. 配置违规MAC地址最大次数,可以使用命令"port-security mac-violation max"来设置最大次数。 8. 配置端口安全的其他参数,如安全MAC地址的静态学习等,可以根据实际需求进行配置。 9. 保存配置,并确保配置已生效。 通过以上步骤,就可以在eNSP中配置端口安全,以保护网络免受未经授权的设备接入。但需要注意的是,具体的配置操作可能会根据所使用的设备型号和固件版本略有差异,请参考设备的官方文档或者使用帮助来进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孑然i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值