一、交换机端口安全
交换机端口安全机制是工作在交换机二层端口上的一个安全特性,它的功能是:
根据MAC地址来做对网络流量的控制和管理。比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量;
或者在具体的端口不允许某些MAC地址的帧流量通过。
二、端口安全原理
当一个端口开启了端口安全特性以后,交换机将检查从此端口接收到的帧的源MAC地址,并检查在此端口上配置的最大安全地址数。若此帧的源MAC地址存在于安全地址表中,则直接将直接转发帧;若安全地址数没有超过最大安全地址数量,并且此帧的源MAC地址不在安全地址表中,则交换机学习此MAC地址,将其添加到安全地址表中,进行后续转发。
三、安全违例处理模式
Protect:当安全地址数目超过最大数目后,安全端口会丢弃来自非安全地址的数据帧。
Restrict:当违例发生时,安全端口会丢弃来自非安全地址的数据帧,并发送一个trap通知。
Shutdown:违例发生时,安全端口会丢弃来自非安全地址的数据帧,关闭端口并发送一个trap通知。
四.配置交换机端口安全
Switch0(config)#interface f0/24 //进入接口配置模式
Switch0(config-if)#switchport mode access //设置交换机端口模式为access
Switch0(config-if)#switchport port-security //开启端口安全
Switch0(config-if)#switchport port-security maximum 2
//设置接口上安全地址的最大数是2,默认值是128
Switch0(config-if)#switchport port-security violation shutdown
//设置处理违例的方式为shutdown,默认为protect
Switch0(config-if)#end //直接返回到特权模式
Switch0#show port-security //查看端口安全配置
注意:
当端口由于违规操作而进入“err-disabled”状态后,必须在全局模式下使用如下命令手工将其恢复为UP状态:
Switch0(conifg)# errdisable recovery