端口安全配置步骤及说明

最新推荐文章于 2024-03-10 20:04:39 发布
最新推荐文章于 2024-03-10 20:04:39 发布
阅读量2k 收藏 10
点赞数
原文链接:http://www.cnblogs.com/yitongtianxia59/archive/2009/08/19/1549878.html
版权
       借助安全端口,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
当配置端口安全时,应当注意以下问题:
1、安全端口不能是Trunk端口。
2、安全端口不能是Switch Port Analyzer (SPAN)的目的端口。
3、安全端口不能是属于EtherChannel的端口。
4、安全端口不能是private-VLAN端口。
一.配置安全端口
第一步:进入全局配置模式。
Switch# configure terminal
第二步:指定欲配置端口安全的接口。
Switch(config)# interface interface_id
第三步:将接口设置为访问模式。
Switch(config-if)# switchport mode access
第四步:在接口启用端口安全。
Switch(config-if)# switchport port-security
第五步:(可选)在接口设置安全MAC地址的最大数量,以限制该端口所连接的计算机数量。取值范围为1~3 072,默认值是1。
Switch(config-if)# switchport port-security maximum value
第六步:(可选)设置违例发生后的处理模式。当安全违例事件发生时,将端口置于restrict或shutdown模式。选择restrict模式时,当非法MAC地址或太多MAC连接至该接口时,将丢弃数据包,并向网管计算机发送SNMP陷阱通知。选择shutdown模式时,发生安全错误的端口将被置于error-disable状态,除非网络管理员使用no shutdown命令手工激活,否则该端口失效。
Switch(config-if)# switchport port-security violation {restrict | shutdown}
第七步:设置坏包速率限制。
Switch(config-if)# switchport port-security limit rate invalid-source-mac
第八步:(可选)为该接口指定安全MAC地址。也可以使用该命令指定最大安全MAC 地址数。如果指定的MAC地址数量少于安全地址的最大数量,动态学习的MAC地址将被保留。
Switch(config-if)# switchport port-security mac-address mac_address
第九步:在端口启动sticky learning。
Switch(config-if)# switchport port-security mac-address sticky
第十步:返回特权EXEC模式。
Switch(config-if)# end
第十一步:查看并校验配置。
Switch# show port-security address interface interface_id
Switch# show port-security address
第十二步:保存当前配置。
Switch# copy running-config startup-config

【注意】  使用no switchport port-security mac-address mac_address命令,可以从地址表中删除MAC地址。

二、设置端口安全老化
       当为端口指定最大MAC地址数时,为了保障该端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间未连接的MAC地址,从而不必手动删除,减少网络维护的工作量。
第一步:进入全局配置模式。
Switch# configure terminal
第二步:指定欲配置端口安全老化的接口。
Switch(config)# interface interface_id
第三步:为安全端口设置老化时间和老化类型。老化时间的取值范围为0 ~ 1440分钟。采用absolute模式时,一旦到达指定的老化时间,那么,即将从安全地址列表中移除。采用inactivity时,即使到达指定的老化时间,如果没有其他数据通信,那么,MAC地址仍然被保留在安全地址列表中。
Switch(config-if)# switchport port-security  [ aging time aging_time | type {absolute | inactivity} ]
第四步:返回特权EXEC模式。
Switch(config-if)# end
第五步:查看并校验配置。
Switch# show port security [interface interface_id] [address]
第六步:保存当前配置。
Switch# copy running-config startup-config

设置端口允许的最大安全MAC地址数量后,可采取如下方式将安全MAC地址加入到MAC地址表中:

手工配置所有的地址(switchport port-security mac-address 0008.eeee.eeee);
允许端口动态配置所有地址(switchport port-security mac-address sticky);
配置一定数量的MAC地址,并允许动态地配置余下的地址。

可对接口启用粘性学习(sticky learning),使其将动态MAC地址转换为粘性安全MAC地址并将其加入到运行配置中。要启用粘性学习,可使用接口配置命令switchport port-security mac-address sticky。配置该命令后,接口将把所有的动态安全MAC地址(包括启用粘性学习前动态获悉的安全MAC地址)转换为粘性安全MAC地址。















转载于:https://www.cnblogs.com/yitongtianxia59/archive/2009/08/19/1549878.html

weixin_34326558
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
端口安全配置
xiongIT的博客
10-29 1456
S0配置端口安全设置服务器端口MAC绑定限制端口MAC连接数量为1,超过最大值则丢弃数据帧。
5 配置端口安全
wqy1837154675的博客
02-21 2837
配置端口安全 网络拓扑图 1 在交换机上启用端口安全特性 2 手工配置VPC17的mac地址,即保证只有VPC17可以接到此端口 查看VPC17的ip 配置 3 配置端口接入数量限制 4 配置当此端口违规时的操作 5 验证测试 5.1 按当前拓扑图测试 5.1.1 配置ip VPC 17 VPC 18 VPC 19 5.1.2 测试 VPC17 ping VPC18 VPC1...
配置端口安全
weixin_45490798的博客
10-18 417
交换机端口安全
华为端口安全配置详解
最新发布
qq_61685194的博客
03-10 1281
port-security mac-address sticky 5489-9830-0D4B vlan 10--写入安全静态mac。port-security aging-time 800----配置地址老化时间为800s(默认老化时间无限)port-security max-mac-num 2---接口下接口学习的安全MAC地址限制数量为2。port-security mac-address sticky---开启接口Sticky MAC功能。不好的的地方,或者有哪些地方有错误,请大家批评指正。
交换机端口安全配置
KangVcar
07-04 1561
交换机端口安全配置 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。 1.MAC地址与端口绑定,当发现主机的MAC地址
交换机端口安全设置
qq_70242064的博客
03-18 2774
第四步,配置级联允许通过的最大MAC地址数目为23。第二步,配置交换机安全端口MAC地址绑定。第一步,配置交换机端口最大连接限制。第五步,查看交换机端口安全配置情况。第三步,启用安全端口
H3C交换机802.1x配置步骤详细说明
01-30
H3C交换机802.1x配置步骤详细说明
基于端口安全的公司网络组建
02-15
1、资源内容:Word文档和topo文件 ...4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5、适用人群:网络系统的建设与运维 6、使用说明:重点内容已标红
Web服务器安全加固步骤.docx
06-07
仅开放必要的端口(如80) 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接 Web服务器安全加固步骤全文共12页,当前为第3页。修改数据包的生存时间(TTL)值...
Linux-FTP配置说明及安装源文件
12-15
说明:虚拟用户的上传下载权限的配置是用匿名配置选项来进行配置的,前提是不能允许匿名用户登录,可以匿名用户可写,虚拟用户就可 以写或上传了。 2.编辑独立配置文件 (1)虚拟帐户配置文件目录 vsftpd可以为不同...
PIX详细配置命令说明
03-30
cisco PIX 命令详细介绍,和相关的步骤。1、 建立用户和修改密码 跟Cisco IOS路由器基本一样。 2、 激活以太端口 必须用enable进入,然后进入configure模式 PIX525>enable Password: PIX525#config t ...
局域网防火墙(只允许邦定了MAC地址的电脑访问本机)
10-28
使用防火墙后,在局域网中就只有邦定了MAC地址的电脑可以访问这能电脑了,本软件只针对内网,请开机就运行,修改CONFIG.INI后就再次运行防火墙修改内存中的邦定列表。
常见端口配置
weixin_45761101的博客
02-21 2457
1、端口安全端口安全:通过将接口学习到的动态mac地址转换成安全mac地址,阻止用户私自接入到接入层交换机。 安全地址分类 安全动态mac地址、安全静态mac地址、sticky mac地址。 1、安全动态mac地址配置: int g/0/0/1 port-security enable 启用端口安全,默认只允许一个mac地址进入。 port-security max-mac-num 2 允许两个mac 2、sticky mac地址配置 port-security enable port-se
配置并检验 S1 上的安全功能
KangVcar
07-04 2555
配置并检验 S1 上的安全功能 您将关闭未使用的端口,关闭交换机上运行的某些服务,并根据 MAC 地址配置端口安全。交换机可能会受到 MAC 地址表溢出攻击、 MAC 欺骗攻击和与交换机端口的未经授权连接。 您将会配置端口安全限制可以在交换机端口上获知的 MAC 地址的数量,并在超出最大数量时禁用端口 第 1 步: 在 S1 上配置常规安全功能 a. 在 S1 上使用适当的安全
MAC端口安全
weixin_46648541的博客
05-31 465
MAC端口安全 实验拓扑图 实验要求 1.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。 2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现? 3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。 4.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有
锐捷端口安全与全局IP+MAC地址绑定实验配置
m0_49864110的博客
11-21 8957
端口安全分为IP+MAC绑定、仅IP绑定、仅MAC绑定配置端口安全是注意事项如果设置了IP+MAC绑定或者仅IP绑定,该交换机还会动态学习下联用户的MAC地址如果要让IP+MAC绑定或者仅IP绑定的用户生效,需要先让端口安全学习到用户的MAC地址,负责绑定不生效交换机如果某些端口设置端口安全端口MAC绑定),但是某些端口没有设置端口安全,则绑定mac的设备只可以在设置端口安全的那个端口上网例如:1口设置端口MAC绑定的用户为PC1,则PC1只可以在1口上网,在其它端口无法上网。
实验十五:配置交换机端口安全
TXTbaby的博客
03-16 2316
实验拓扑: 实验目标: 理解端口安全的基本命令 实验步骤: 1、配置MAC地址静态绑定; 2、配置端口MAC地址粘滞;
如何把外部端口转为内部端口
06-08
需要注意的是,不同的路由器或防火墙设置方式可能不同,具体的设置步骤可能会有所差异。一般来说,路由器或防火墙的管理界面中都会有相应的帮助文档或说明,用户可以参考相关文档进行设置。 此外,端口映射也存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值