在工业生产环境中,接入交换机的现场管理比较困难,受制与环境或者使用场景,交换机可能无法处于机柜中管理,可能会因为私拉乱接引起广播风暴或者其他故障,为了避免这种现象发生可以在交换机上启用端口安全配置,交换机端口安全配置的主要思路是对接入的设备MAC地址进行管控、将MAC地址添加到安全地址库,设立安全触发机制。
在配置端口安全之前我们需要了解端口安全的几种模式:
静态模式:在这种模式下,管理员需要手动配置允许接入端口的设备的MAC地址。这种模式适用于需要严格控制接入设备的情况,在静态模式下需要手动绑定每条MAC地址,工作量还是比较大的,只适合小规模网络。
动态模式:在这种模式下,交换机自动学习接入设备的MAC地址,并在达到设备指定数量后,拒绝其他设备的接入,这种模式适用于需要自动学习MAC地址但需要限制接入数量的场景。动态模式对MAC地址具备一定限制但限制比较宽松,不够定制化。
最大模式:类似于动态模式,但允许管理员配置每个端口的最大允许设备数量。这种模式结合了动态学习和静态配置的优点,既能够自动学习MAC地址,又能通过配置限制接入数量。
autolearn模式:在这种模式下,交换机端口在达到最大MAC地址数后,新接入的设备会被暂时断开连接,一段时间后自动恢复。这种模式适用于需要限制接入设备数量,但允许临时断开后自动恢复的场景。
我们可以根据工作的要求标准来选择适合的模式。
下面是具体命令介绍及解释:
[H3C] port-security enable #开启交换机端口安全功能,开启端口安全后的默认端口安全配置如下:
[H3C] port-security timer autolearn aging 30 #设置Sticky MAC地址的老化时间为30分钟,为防止交换机与用户相连端口学习到的MAC地址的丢失,及安全MAC地址不老化会带来一些问题,需配置安全MAC地址并设定安全MAC地址老化时间(例如30分钟)。
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] port-security max-mac-count 1 #设置端口允许的最大安全MAC地址数为1,必须进入到具体接口进行配置。
[H3C-GigabitEthernet1/0/1] port-security port-mode autolearn #设置端口安全模式为autoLearn,必须进入到具体接口进行配置。
[H3C-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[H3C-GigabitEthernet1/0/1] quit
[H3C] port-security timer disableport 30 #设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒,默认时间为20秒。
[H3C]display port-security interface gigabitethernet 1/0/1 #查看端口安全配置如下:各项配置已经生效。
现实生产环境中有时还需要清除端口安全配置,下面是清除端口安全配置的命令解释:
undo port-security port-mode # 清除端口安全配置,使用此命令可以清除如下端口安全配置:
port-security port-mode autolearn
port-security mac-address security sticky 5838-7973-8845 vlan 26
undo port-security max-mac-count #清除端口最大MAC地址连接数限制,使用此命令可以清除如下端口安全配置:
port-security max-mac-count 1
undo port-security intrusion-mode #清除端口的自动关闭设置:
port-security intrusion-mode disableport-temporarily
以上就是交换机端口的一些安全配置以及如何清除安全配置的操作命令以及解释。
扫一扫
2498
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
