交换端口安全介绍.pptx

交换机端口安全 桂荣枝 2015-9-22 回顾 课程配置的交换机和路由器，其操作系统叫什么？ 我们主要配置的交换机型号是？是哪种类别的交换机？（二层/三层、固定配置式/模块式） 上次课计算机终端通过连接交换机的哪个接口完成了对交换机的第一次配置？ 交换机使用分级式的配置模式，说出你已经使用过的命令模式，以及进入该模式的命令是什么？ 解释如下对于？的使用 ？ E? Show ? ， 2节课内容 交换技术基础知识 交换机端口安全配置常用命令 实验 交换技术基础知识 MAC地址 注意：第二层交换过程通过使用MAC地址在低层实现通信，即是说，网络中的数据包最终是通过MAC地址找到目标电脑。 交换机的工作原理 交换机内部都有一张MAC地址表 MAC地址学习 最初交换机的MAC地址表为空 MAC地址学习 MAC地址表没有记录，数据帧从其它所有端口转发出去 识别数据帧的源MAC地址，学习MAC地址和端口对应关系 MAC地址学习 通过MAC地址表实现数据帧的单点转发 MAC地址表的维护 局域网的三种帧交换方式 局域网交换机在传送数据时，采用帧交换(Frame Switching)，该技术包括三种主要的交换方式，即： 存储转发(Store and Forward) 直通(Cut Through) 自由分段(FragmentFree)。 存储转发 LAN switch复制整个帧到它的缓冲区里。然后计算CRC。帧的长短可能不一样,所以延时根据帧的长短而变化。 如果CRC不正确,帧将被丢弃;如果正确， LAN switch查找硬件目标地址然后转发它们。 交换机需要解读数据帧的目的地址与源地址，并在MAC地址列表中进行适当的过滤。 如果所接收到的数据帧存在错误、太短(小于64B)或太长(大于l 518B)，最终都会被抛弃。 采用这种转发方式的交换机在接收数据帧时延迟较大，且越大的数据帧延迟时间越长。 直通 Cisco称这种模式叫cut-through,fastforward或者real time模式,使用这种模式的时候，LAN switch只读取到帧的目标地址为止,减少延时,但是不适合于高偏向错误率的网络。 在减少传输延迟的同时也削减了对数据帧的错误检测能力。 自由分段 fragmentfree(modified cut-through):和cut-through类似，但在转发数据之前，过滤有包错误的冲突分段(长度为64B)。这是因为通常认为数据帧的错误总是发生在刚开始的64B内。 该方式的错误检测级别要高于直通交换方式。 是Catalyst 1900的默认模式。 综合运用 存储转发+直通——有些交换机把存储转发与直通两种技术合并在一起使用。它们首先在交换机里设置一个错误检测的门限值，当错误发生率低于该值时使用直通的交换方法以减少数据的传输延迟。当误码率提高大于该门限值时，交换机将自动改为存储转发交换方式，从而保证了数据的正确性与准确性。在链路恢复正常后，误码率下降低干该门限值后，系统将再次回到直通方式工作。（厂商产品的卖点） 交换机端口安全配置常用命令 端口安全配置步骤（命令见P35） 设置某端口的安全性 设置安全mac地址 设置允许的最多mac地址数 设置发生安全违规时的措施 查看端口安全信息 查看mac地址表 设置端口安全性 在端口配置模式下，使用下面的命令可开启设置某端口的安全性： Switch (config-if)#switchport port-security 注意：开启端口的安全配置 设置安全MAC地址 在端口配置模式下，使用下面的命令可给某端口设置安全MAC地址： switch(config-if)#switchport port-security mac-address MAC地址 说明：该命令可分配一个安全的MAC地址给某个端口，如果命令中的MAC地址已被其它端口使用，这个命令设置的MAC地址将会被拒绝而变成动态学习到MAC地址。 设置安全MAC地址数 switch(config-if)#switchport port-security 注意： maximum指 允许的最多MAC地址数量 该命令指定某端口最多允许多少个有MAC地址的设备与该端口进行通信，在HUB与交换机级连时就会有这种情况．一个端口可以有1~132个安全MAC地址． 如果手工设置的安全MAC地址数没有达到允许的最大MAC地址数，其它的安全MAC地址将会被动态学习到。 设置端口地址违规时的措施 在端口配置模式下，使用下面的命令可设置端口地址违规时的措施： Switch(config-if)#switchport port-security violation{shutdown |restrict|protect} 说明；如果出现了违反端口安全性设置的情况