扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
步骤1:对存在问题的端口启用端口安全
步骤2:配置学习主机mac地址
步骤3:指定安全违背行为(默认行为是永久性地关闭端口)
步骤4:如果安全违背行为准备关闭端口,就需要配置err-disable计时器,err-disable计时器是一个全局值。
配置过程
1. 配置每个端口所允许的最大mac地址数
1) 进入全局模式 configure terminal
2) 进入接口模式 interface 接口
3) 配置接口模式
switchport mode access|trunk
注意:一个接口使用默认模式(动态协商)不能启用端口安全
4) 设置最大mac数
swtichport port-security maximum 最大值
switchport port-security vlan vlan列表 [access|voice]
可以设置每个vlan中允许的最大mac数,access表示为该vlan是接入vlan,voice表示该vlan是语音vlan
2.配置端口允许的mac地址
1) 进入接口模式 interface 接口
2) 配置允许的mac地址
手工指定:
switchport port-security mac-address mac地址 [vlan vlan号|[access|voice]]
动态学习:交换机可以动态学习mac地址并加入到mac地址表中,当交换机重新启动后将丢失
粘性地址:可以动态学习或手工配置,学习后mac地址加入到mac地址表,如果保存配置文件,当交换机重新启动后,交换机不再需要动态学习的那些之前动态学习的地址了
switchport port-security mac-address sticky
3. 配置安全违背行为
1) 进入接口模式 interface 接口
2) 配置违规后的动作
switchport port-security violation protect|restrict|shutdown
protect:保护,当安全mac地址数量达到了端口所允许的最大mac地址数的时候,交换机会继续工作,但将把来自新主机的数据帧丢弃,直到删 除足够数量的mac地址使其低于最大值。
restrict:限制,交换机继续工作,向网络管理站(snmp)发出一个陷阱trap通告
shutdown:关闭,交换机将永久性或在特定时间周期内err-disable端口,并发送一个snmp的trap陷阱通告
需要配置关闭模式下的err-disable计时器
err-disable recovery cause secure-violation
启用err-disable
err-disable recovery interval 计时器
案例:
switch(config)# interface gigabitethernet0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 50
switch(config-if)# switchport port-security mac-address sticky
--------------------------------------------------------------------
switch(config)# interface f0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 1
switch(config-if)# switchport port-security mac-address 0000.0000.0008
switch(config-if)# switchport port-security violation restrict
switch(config)# interface f0/2
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 1
switch(config-if)# switchport port-security mac-address 0000.0000.0011
switch(config-if)# switchport port-security violation shutdown
-----------------------------------------------------------------------
案例:
switch(config)#int f0/1
switch(config-if)#switchport port-security
command rejected: fa0/1 is not an access port. //先启动端口安全会出现错误提示
switch(config-if)#swit mode access
switch(config-if)#switchport port-security //启动端口安全
switch(config-if)#switchport port-security maximum ?
<1-132> maximum addresses
switch(config-if)#do show mac-address-table
mac address table
-------------------------------------------
vlan mac address type ports
---- ----------- -------- -----
all 000d.6564.0280 static cpu
all 0100.0ccc.cccc static cpu
all 0100.0ccc.cccd static cpu
all 0100.0cdd.dddd static cpu
1 000b.5f2c.2097 dynamic fa0/23
1 0010.7b35.e9b6 dynamic fa0/1 //这是和路由器相连的地址
1 00a1.b003.3cd7 dynamic fa0/18
10 000b.5f2c.2097 dynamic fa0/23
20 000b.5f2c.2097 dynamic fa0/23
30 000b.5f2c.2097 dynamic fa0/23
40 000b.5f2c.2097 dynamic fa0/23
100 000b.5f2c.2097 dynamic fa0/23
200 000b.5f2c.2097 dynamic fa0/23
201 000b.5f2c.2097 dynamic fa0/23
202 000b.5f2c.2097 dynamic fa0/23
total mac addresses for this criterion: 15
京公网安备 11010802021500号