無法配置埠安全的場景有哪些
⑴ 交換機埠安全問題有哪些
稍微引申下埠安全,就是可以根據802.1X來控制網路的訪問流量。 首先談一下MAC地址與埠綁定,以及根據MAC地址允許流量的配置。 1.MAC地址與埠綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時 ,交換機相應的埠將down掉。當給埠指定MAC地址時,埠模式必須為access或者Trunk狀態。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /指定埠模式。 3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。 3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC地址數為1。 3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。 2.通過MAC地址來限制埠流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport trunk encapsulation dot1q 3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。 3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。 3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。 上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。 1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。 3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。 3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。 理解埠安全: 當你給一個埠配置了最大安全mac地址數量,安全地址是以一下方式包括在一個地址表中的: ·你可以配置所有的mac地址使用 switchport port-security mac-address ·你也可以允許動態配置安全mac地址,使用已連接的設備的mac地址。 ·你可以配置一個地址的數目且允許保持動態配置。 注意:如果這個埠shutdown了,所有的動態學的mac地址都會被移除。 一旦達到配置的最大的mac地址的數量,地址們就會被存在一個地址表中。設置最大mac地址數量為1,並且配置連接到設備的地址確保這個設備獨占這個埠的帶寬。 當以下情況發生時就是一個安全違規: ·最大安全數目mac地址表外的一個mac地址試圖訪問這個埠。 ·一個mac地址被配置為其他的介面的安全mac地址的站點試圖訪問這個埠。 你可以配置介面的三種違規模式,這三種模式基於違規發生後的動作: ·protect-當mac地址的數量達到了這個埠所最大允許的數量,帶有未知的源地址的包就會被丟棄,直到刪除了足夠數量的mac地址,來降下最大數值之後才會不丟棄。 ·restrict-一個限制數據和並引起"安全違規"計數器的增加的埠安全違規動作。 ·shutdown-一個導致介面馬上shutdown,並且發送SNMP陷阱的埠安全違規動作。當一個安全埠處在error-disable狀態,你要恢復正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手動的shut再no shut埠。這個是埠安全違規的默認動作。 默認的埠安全配置: 以下是埠安全在介面下的配置- 特性:port-sercurity 默認設置:關閉的。 特性:最大安全mac地址數目 默認設置:1 特性:違規模式 默認配置:shutdown,這埠在最大安全mac地址數量達到的時候會shutdown,並發snmp陷阱。 下面是配置埠安全的向導- ·安全埠不能在動態的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之後。 ·安全埠不能是一個被保護的口。 ·安全埠不能是SPAN的目的地址。 ·安全埠不能屬於GEC或FEC的組。 ·安全埠不能屬於802.1x埠。如果你在安全埠試圖開啟802.1x,就會有報錯信息,而且802.1x也關了。如果你試圖改變開啟了802.1x的埠為安全埠,錯誤信息就會出現,安全性設置不會改變。 最後說一下802.1X的相關概念和配置。 802.1X身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路設備上使用。它可基於埠來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的用戶進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。 配置802.1X身份驗證協議,首先得全局啟用AAA認證,這個和在網路邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的介面上啟用802.1X身份驗證。(建議在所有的埠上啟用802.1X身份驗證,並且使用radius伺服器來管理用戶名和密碼) 下面的配置AAA認證所使用的為本地的用戶名和密碼。 3550-1#conf t 3550-1(config)#aaa new-model /啟用AAA認證。 3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證,並使用本地用戶名與密碼。 3550-1(config)#int range f0/1 -24 3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。 後記 通過MAC地址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這里就不多介紹了。在可控性,可管理性上802.1X都是不錯的選擇
⑵ 在思科交換機上配置埠安全性發生違規時,在介面上配置的哪種沖突模式將導致丟棄具有未知源地址的數據包
保護和限制都會丟棄未知源地址包。
1、protect 模式,當違規 時,只丟棄違規的數據流量,不違規的正常轉發,而且不會通知有流量違規,也就是不會發送SNMP trap ;
2、restrict 模式, 當違規時,只丟棄違規的流量,不違規的正常轉發,但它會產生流量違規通知,發送SNMP trap,並且會記錄日誌;
3、shutdown,這個是默認模式,當違規時,將介面變成error-disabled並shut down,並且介面LED燈會關閉,也會發SNMP trap,並會記錄syslog。
⑶ 交換機埠安全的作用
交換機埠有在交換機上做mac地址綁定、埠+mac+ip綁定,是為了防止arp攻擊、dhcp攻擊。。acl有基於ip的基於mac的訪問限制。基於MAC地址限制、允許客戶端流量;避免MAC地址擴散攻擊;避免MAC地址欺騙攻擊(主機使用虛假MAC地址發送非法數據)。
埠安全功能適用於用戶希望控制埠下接入用戶的IP和MAC必須是管理員指定的合法用戶才能使用網路,或者希望使用者能夠在固定埠下上網而不能隨意移動,變換IP/MAC或者埠號,或控制埠下的用戶MAC數。
防止MAC地址耗盡攻擊(病毒發送持續變化的構造出來的MAC地址,導致交換機短時間內學習了大量無用的MAC地址,8K/16K地址表滿掉後無法學習合法用戶的MAC,導致通信異常)的場景。
(3)無法配置埠安全的場景有哪些擴展閱讀:
當使用1X認證配合我司SU/SA客戶端的場景中,可以使用授權綁定或DHCP Snooping+IP Source Guard組合更智能的方式實現安全控制。埠安全可以配合ARP-Check可以實現靜態IP環境下的防範ARP欺騙,可以參考靜態IP環境防ARP欺騙
埠安全:埠安全功能通過定義報文的源MAC地址來限定報文是否可以進入交換機的埠,你可以靜態設置特定的MAC地址或者限定動態學習的MAC地址的個數來控制報文是否可以進入埠,使能埠安全功能的埠稱為安全埠。
只有源MAC地址為埠安全地址表中配置或者學習到的MAC地址的報文才可以進入交換機通信,其他報文將被丟棄。
⑷ 交換機埠安全主要有那兩種方式埠地址綁定可以預防哪些內網的網路攻擊
防止區域網ARP攻擊。
限制交換機埠的最大連接數 ,控制網路的惡意擴展和接入,埠的安全地址綁定, 解決區域網中IP地址沖突、ARP欺騙等問題。
VLAN具備一個物理網段所具備的特性。相同的VLAN內的主機可以相互直接訪問,不同的VLAN間的主機之間互相訪問必須經由路由設備進行轉發,廣播包只可以在本VLAN內進行傳播,不能傳輸到其他VLAN中。
(4)無法配置埠安全的場景有哪些擴展閱讀:
注意事項:
應該做好外部電源的供應工作,一般通過引入獨立的電力線來提供獨立的電源,並添加穩壓器來避免瞬間高壓或低壓現象。
如果條件允許,可以添加UPS(不間斷電源)來保證交換機的正常供電,有的UPS提供穩壓功能,而有的沒有,選擇時要注意。
在機房內設置專業的避雷措施,來避免雷電對交換機的傷害。現在有很多做避雷工程的專業公司,實施網路布線時可以考慮。
⑸ 目前電腦中的哪些埠不安全,最好關閉
xp/2k/2003下手動關閉危險的埠
怎樣關閉埠
默認情況下windows有很多埠是開放的.在你上網的時候,網路病毒和黑客可以通過這些埠連上你的電腦.所以應該關閉.主要有tcp 135 ,139,445,593,1025埠和udp135,137,138,445 埠,一些流行病毒的後門埠,如tcp 2745,3127,6129埠,以及遠程服務訪問埠3389.
下面介紹如何在xp/2k/2003下手動關閉這些網路埠.
1 、
點擊 "開始菜單/設置/控制面板/管理工具",雙擊打開"本地策略",選中"ip安全策略,在本地計算機"右邊的空白位置右擊滑鼠,談出快捷菜單,選擇"創建 ip安全策略",彈出向導.在向導中點擊下一步下一步,當顯示"安全通信請求"畫面時,把"激活默認相應規則"左邊的鉤去掉,點"完成"就創建了一個新的 ip安全策略.
2 、
右擊該ip安全策略,在"屬性"對話框中,把"使用添加向導"左邊的鉤去掉,然後再點擊右邊的"添加"按紐添加新的規則,隨後彈出"新規則屬性" 對話框,在畫面上點擊"添加"按紐,彈出ip篩選器列表窗口.在列表中,首先把"使用添加向導"左邊的鉤去掉,然後再點擊右邊的"添加"按紐添加新的篩選器.
3 、
進入"篩選器屬性'對話框,首先看到的是尋地址,源地址選"任何ip地址",目標地址選"我的ip地址",點擊"協議"選項卡,在"選擇協議類型"的下拉列表中選擇「tcp",然後在"到此埠"的下的文本框中輸入"135",點擊確定.這樣就添加了一個屏蔽tcp135 埠的篩選器,可以防止外界通過135埠連上你的電腦.
點擊確定後回到篩選器列表的對話框,可以看到已經添加了一條策月.重復以上步驟繼續添加tcp 137 139 445 593 埠和udp 135 139 445 埠,為它們建立相應的篩選器.
重復以上步驟添加tcp 125 2745 3127 6129 3389 埠的屏蔽策月,建立好上述埠的篩選器,最後點擊確定按紐.
4 、
在"新規則屬性"對話框中,選擇"新ip篩選器列表'然後點擊其左邊的復選框,表示已經激活.最後點擊"篩選器操作"選項卡中,把"使用添加向導"左邊的鉤去掉,點擊"添加"按鈕,進行"阻止"操作,在"新篩選器操作屬性"的"安全措施"選項卡中,選擇"阻止",然後點擊"確定"
5 、
進入"新規則屬性"對話框,點擊"新篩選器操作".,選取左邊的復選框,表示已經激活,點擊"關閉"按鈕,關閉對話框.最後"新ip安全策月屬性"對話框,在"新的ip篩選器列表"左邊打鉤,按確定關閉對話框.在"本地安全策月"窗口,用滑鼠右擊新添加的ip安全策月,然後選擇"指派".
重新啟動後,上述埠就可以關閉了!電腦就安全多了!!!
怎樣關閉埠?
每一項服務都對應相應的埠,比如眾如周知的WWW服務的埠是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉埠也就是關閉無用的服務。「控制面板」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等埠:關閉SimpleTCP/IPService,支持以下TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為"WorldWideWebPublishingService",通過Internet信息服務的管理單元提供Web連接和管理。
3、關掉25埠:關閉SimpleMailTransportProtocol(SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21埠:關閉FTPPublishingService,它提供的服務是通過Internet信息服務的管理單元提供FTP連接和管理。
5、關掉23埠:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。
6、還有一個很重要的就是關閉server服務,此服務提供RPC支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139埠,139埠是NetBIOSSession埠,用來文件和列印共享,注意的是運行samba的unix機器也開放了139埠,功能一樣。以前流光2000用來判斷對方主機類型不太准確,估計就是139埠開放既認為是NT機,現在好了。
關閉139口聽方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性,進入「高級TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139埠。
對於個人用戶來說,可以在各項服務屬性設置中設為「禁用」,以免下次重啟服務也重新啟動,埠也開放了。
我們一般採用一些功能強大的反黑軟體和防火牆來保證我們的系統安全,但是有些用戶不具備上述條件。怎麼辦呢?下面就介紹一種簡易的辦法——通過限制埠來幫助大家防止非法入侵。
非法入侵的方式
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描埠,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的後門進入主機。
3、採用數據溢出的手段,迫使主機提供後門進入主機。
4、利用某些軟體設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對後兩種方式來說,只有一些手段高超的黑客才利用,波及面並不廣泛,而且只要這兩種問題一出現,軟體服務商很快就會提供補丁,及時修復系統。
因此,如果能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點,就是通過埠進入主機。
埠就像一所房子(伺服器)的幾個門一樣,不同的門通向不同的房間(伺服器提供的不同服務)。我們常用的FTP默認埠為21,而WWW網頁一般默認埠是80。但是有些馬虎的網路管理員常常打開一些容易被侵入的埠服務,比如139等;還有一些木馬程序,比如冰河、BO、廣外等都是自動開辟一個您不察覺的埠。那麼,只要我們把自己用不到的埠全部封鎖起來,不就杜絕了這兩種非法入侵嗎?
每一項服務都對應相應的埠,比如眾如周知的WWW服務的埠是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉埠也就是關閉無用的服務。「控制面板」的「管理工具」中的「服務」中來配置。
「控制面板」的「管理工具」中的「服務」中來配置。
我們一般採用一些功能強大的反黑軟體和防火牆來保證我們的系統安全,但是有些用戶不具備上述條件。怎麼辦呢?下面就介紹一種簡易的辦法——通過限制埠來幫助大家防止非法入侵。
非法入侵的方式
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描埠,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的後門進入主機。
3、採用數據溢出的手段,迫使主機提供後門進入主機。
4、利用某些軟體設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對後兩種方式來說,只有一些手段高超的黑客才利用,波及面並不廣泛,而且只要這兩種問題一出現,軟體服務商很快就會提供補丁,及時修復系統。
因此,如果能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點,就是通過埠進入主機。
埠就像一所房子(伺服器)的幾個門一樣,不同的門通向不同的房間(伺服器提供的不同服務)。我們常用的FTP默認埠為21,而WWW網頁一般默認埠是80。但是有些馬虎的網路管理員常常打開一些容易被侵入的埠服務,比如139等;還有一些木馬程序,比如冰河、BO、廣外等都是自動開辟一個您不察覺的埠。那麼,只要我們把自己用不到的埠全部封鎖起來,不就杜絕了這兩種非法入侵嗎?
限制埠的方法
對於個人用戶來說,您可以限制所有的埠,因為您根本不必讓您的機器對外提供任何服務;而對於對外提供網路服務的伺服器,我們需把必須利用的埠(比如WWW埠80、FTP埠21、郵件服務埠25、110等)開放,其他的埠則全部關閉。
這里,對於採用Windows2000或者WindowsXP的用戶來說,不需要安裝任何其他軟體,可以利用「TCP/IP篩選」功能限制伺服器的埠。具體設置如下:
1、右鍵點擊「網上鄰居」,選擇「屬性」,然後雙擊「本地連接」(如果是撥號上網用戶,選擇「我的連接」圖標),彈出「本地連接狀態」對話框。
2、點擊[屬性]按鈕,彈出「本地連接屬性」,選擇「此連接使用下列項目」中的「Internet協議(TCP/IP)」,然後點擊[屬性]按鈕。
3、在彈出的「Internet協議(TCP/IP)」對話框中點擊[高級]按鈕。在彈出的「高級TCP/IP設置」中,選擇「選項」標簽,選中「TCP/IP篩選」,然後點擊[屬性]按鈕。
4、在彈出的「TCP/IP篩選」對話框里選擇「啟用TCP/IP篩選」的復選框,然後把左邊「TCP埠」上的「只允許」選上。
這樣,您就可以來自己添加或刪除您的TCP或UDP或IP的各種埠了。
添加或者刪除完畢,重新啟動機器以後,您的伺服器就被保護起來了。
如果只上網瀏覽的話,可以不添加任何埠。但是要利用一些網路聯絡工具,比如OICQ的話,就要把「4000」這個埠打開,同理,如果發現某個常用的網路工具不能起作用的時候,請搞清它在您主機所開的埠,然後在「TCP/IP篩選」中添加埠即可。
⑹ 思科三層交換機埠安全怎麼配置
常用命令:
第一種用法:限制第一個白名單MAC地址,則其他MAC地址流量進入則自動關閉埠
enable
configure terminal
interface fastethernet0/1
switchport port-security /開啟埠安全
switchport port-security maximum 1 /啟動白名單MAC地址只有一個
switchport port-security violation shutdown /如果不是該MAC,那麼此埠自動關閉
第二種,MAC埠安全靜態綁定
enable
configure terminal
interface fastethernet0/1
switchport port-security
switchport port-security mac-address 0060.2F06.88D8 /MAC埠靜態綁定
switchport port-security violation shutdown /如果不是該MAC的流量,則自動關閉埠
⑺ 寫出網路中不安全埠,以及對應不安全埠的不安全因素
容易受攻擊的埠號:
135埠開放實際上是一個WINNT漏洞,開放的135的埠情況容易引起自外部的」Snork」攻擊;
139埠,NetBIOS提供服務的tcp埠;
445埠,埠說明:用來傳輸文件和NET遠程管理,埠漏洞:黑客喜歡掃描掃描的漏洞,也是震盪病毒掃描的.
554埠 ,埠說明:554埠默認情況下用於「Real Time Streaming Protocol」(實時流協議,簡稱RTSP)。埠漏洞:目前,RTSP協議所發現的漏洞主要就是RealNetworks早期發布的Helix Universal Server存在緩沖區溢出漏洞,相對來說,使用的554埠是安全的。
1029埠和20168埠: 埠說明:這兩個埠是lovgate蠕蟲所開放的後門埠。
1080埠 埠說明:1080埠是Socks代理服務使用的埠,大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。
3389埠, 首先說明3389埠是windows的遠程管理終端所開的埠,它並不是一個木馬程序,請先確定該服務是否是你自己開放的。
4899埠,首先說明4899埠是一個遠程式控制制軟體(remote administrator)服務端監聽的埠,他不能算是一個木馬程序,但是具有遠程式控制制功能,通常殺毒軟體是無法查出它來的.
4000埠,埠說明:4000埠是用於大家經常使用的qq聊天工具的,再細說就是為qq客戶端開放的埠,qq服務端使用的埠是8000。
5554埠。 埠說明一種針對微軟lsass服務的新蠕蟲病毒——震盪波(Worm.Sasser),該病毒可以利用TCP 5554埠開啟一個FTP服務,主要被用於病毒的傳播。
5632埠 埠說明:5632埠是被大家所熟悉的遠程式控制制軟體pcAnywhere所開啟的埠,分TCP和UDP兩種,通過該埠可以實現在本地計算機上控制遠程計算機,查看遠程計算機屏幕,進行文件傳輸,實現文件同步傳輸。
⑻ 交換機埠安全 違反交換機埠安全規則分別有哪些懲罰措施
那麼啟動懲罰措施 當在一個Port-Security介面上配置了某個安全地址,而這個安全地址... 交換機埠安全 總結(配置實例) 各種 交換機埠安全
⑼ 交換機埠安全問題有哪些
交換機埠安全總結
最常用的對埠安全的理解就是可根據MAC地址來做對網路流量的控制和管理,比如MAC地址與具體的埠綁定,限制具體埠通過的MAC地址的數量,或者在具體的埠不允許某些MAC地址的幀流量通過。稍微引申下埠安全,就是可以根據802.1X來控制網路的訪問流量。
首先談一下MAC地址與埠綁定,以及根據MAC地址允許流量的配置。
1.MAC地址與埠綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時 ,交換機相應的埠將down掉。當給埠指定MAC地址時,埠模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定埠模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。
2.通過MAC地址來限制埠流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。
理解埠安全:
當你給一個埠配置了最大安全mac地址數量,安全地址是以一下方式包括在一個地址表中的:
·你可以配置所有的mac地址使用 switchport port-security mac-address
·你也可以允許動態配置安全mac地址,使用已連接的設備的mac地址。
·你可以配置一個地址的數目且允許保持動態配置。
注意:如果這個埠shutdown了,所有的動態學的mac地址都會被移除。
一旦達到配置的最大的mac地址的數量,地址們就會被存在一個地址表中。設置最大mac地址數量為1,並且配置連接到設備的地址確保這個設備獨占這個埠的帶寬。
當以下情況發生時就是一個安全違規:
·最大安全數目mac地址表外的一個mac地址試圖訪問這個埠。
·一個mac地址被配置為其他的介面的安全mac地址的站點試圖訪問這個埠。
你可以配置介面的三種違規模式,這三種模式基於違規發生後的動作:
·protect-當mac地址的數量達到了這個埠所最大允許的數量,帶有未知的源地址的包就會被丟棄,直到刪除了足夠數量的mac地址,來降下最大數值之後才會不丟棄。
·restrict-一個限制數據和並引起"安全違規"計數器的增加的埠安全違規動作。
·shutdown-一個導致介面馬上shutdown,並且發送SNMP陷阱的埠安全違規動作。當一個安全埠處在error-disable狀態,你要恢復正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手動的shut再no shut埠。這個是埠安全違規的默認動作。
默認的埠安全配置:
以下是埠安全在介面下的配置-
特性:port-sercurity 默認設置:關閉的。
特性:最大安全mac地址數目 默認設置:1
特性:違規模式 默認配置:shutdown,這埠在最大安全mac地址數量達到的時候會shutdown,並發snmp陷阱。
下面是配置埠安全的向導-
·安全埠不能在動態的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之後。
·安全埠不能是一個被保護的口。
·安全埠不能是SPAN的目的地址。
·安全埠不能屬於GEC或FEC的組。
·安全埠不能屬於802.1x埠。如果你在安全埠試圖開啟802.1x,就會有報錯信息,而且802.1x也關了。如果你試圖改變開啟了802.1x的埠為安全埠,錯誤信息就會出現,安全性設置不會改變。
最後說一下802.1X的相關概念和配置。
802.1X身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路設備上使用。它可基於埠來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的用戶進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全局啟用AAA認證,這個和在網路邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的介面上啟用802.1X身份驗證。(建議在所有的埠上啟用802.1X身份驗證,並且使用radius伺服器來管理用戶名和密碼)
下面的配置AAA認證所使用的為本地的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證,並使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。
後記
通過MAC地址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這里就不多介紹了。
通過MAC地址綁定雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1X身份驗證協議。在可控性,可管理性上802.1X都是不錯的選擇
⑽ Cisco交換機配置埠安全,埠被shutdown後無法手動啟動怎麼辦
埠安全不是真正的shutdown,狀態應該是error disable的狀態吧。
你需要先打shutdown,然後再no shutdown
這樣就好了