文档介绍:目录核心技术交换机端口安全学****目标◆交换机端口安全技术◆交换机保护端口安全技术◆交换机端口阻塞安全技术◆,不提供任何安全检查措施允许所有数据流通过。因此为保护网络内用户安全,对交换机的端口增加安全访问功能,可以有效保护网络安全。交换机的端口安全是工作在交换机二层端口上一个安全特性,它主要有以下功能:只允许特定MAC地址的设备接入到网络中,防止非法或未授权设备接入网络限制端口接入的设备数量,防止用户将过多的设备接入到网络中。、配置端口安全地址通过在交换机某个端口上配置限制访问MAC地址以及P(可选),可以控制该端口上的数据安全输入。当交换机的端口配置端口安全功能后,设置包含有某些源地址的数据是合法地址数据后,除了源地址为安全地址的数据包外,这个端口将不转发其他任何包。为了增强网络的安全性,还可以将MAC地址和|P地址绑定起来,作为安全接入的地址,实施更为严格的访问限制,当然也可以只绑定其中一个地址,如只绑定MAC地址而不绑定I地址,或者相反。2、配置端口安全地址个数交换机的端口安全功能还表现在,可以限制一个端口上能连接安全地址的最多个数。如果一个端口被配置为安全端口,配置有最多的安全地址的连接数量,当其上连接的安全地址的数目达到允许的最多个数,或者该端口收到一个源地址不属于该端口上的安全地址时,交换机将产生个安全违例通知。,就是根据交换机端口上连接设备的MAC地址,实施对网络流量的控制和管理:比如限制具体端口上通过的MAC地址的最多连接数量,这样可以限制终端用户,非法使用集线器等简单的网络互联设备,随意扩展企业内部网络的连接数量,造成网络中流量的不可控制,增大网络的负载要想使交换机的端口成为一个安全端口,需要在端口模式下,启用端口安全特性switchportport-security当交换机端口上所连接安全地址数目达到允许的最多个数,交换机将产生一个安全违例通知。启用端口端口安全特性后,使用如下命令为端口配置允许最多的安全地址数switchportport-securitymaximumnumber默认情况下,端口的最多安全地址个数为128个。,可以设置交换机,针对不同的网络安全需求,采用不同安全违例的处理模式,其中Protect:当所连接端口通过安全地址,达到最大的安全地址个数后安全端口将丢弃其余未知名地址(不是该端口的安全地址中任何一个)数据包,但交换机将不作出任何通知以报告违规的产生。RestrictTrap:当安全端口产生违例事件后,交换机不但丢弃接收到的帧(MAC地址不在安全地址表中),而且将发送一个SNMPTrap报文,等候处理。Shutdown:当安全端口产生违例事件后,交换机将丢弃接收到的帧(MAC地址不在安全地址表中),发送一个SNMPTrap报文,而且将端口关闭,端口将进入“er-disabled”状态,之后端口将不再接收任何数据帧。,通过以下步骤配置安仝端口和违售处理方式。itchportport-securit,打开口的安全功能读置接口上安全地址最多个数,范匾是1-128,默认值为128。设置接口声例方式当嵌囗太为遍例而被关闭后选择方式Showport-securityinterface[interface-idI验证置。maxirnurm复交机端□默认连接址址Nositchportport-securityviolation抒违例理置为默认模式。,还可以根据MAC地址限制端口接入,实施网络安全:比如把接入主机的MAC地址与交换机相连的端口绑定。通过在交换机的指定端口上限制带有某些接入设备的MAC地址帧流量通过,从而实现对网络接入设备的安全控制访问目的当需要手工指定静态安全地址时,使用如下命令配置:switchportport-securitymac-addressmac-address当主机的MAC地址与交换机连接端口绑定后,交换机发现主机MAC地址与交换机上配置MAC地址不同时,交换机相应的端口将执行违例措施:如连接端口Down掉。,通过以下命令和步手工配置。portport-securitymac-addressmac-ad