Cisco 交换机端口安全.ppt

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Cisco 交换机端口安全

Cisco 交换机端口安全 1、限定允许进入端口的主机数 #configure terminal //进入全局配置模式。 #interface interface-id //进入接口配置模式。 #switchport mode access //设置接口为access模式 #switchport port-security //打开该接口的端口安全功能 #Switchitchport protected #开启端口隔离保护 #switchport port-security maximum value //设置接口上安全地址的最大个数 #switchport port-security violation {protect | restrict | shutdown} //设置处理违例的方式: 设置端口的保护方式   设置处理违例的方式:   protect: 保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。   restrict: 当违例产生时,将发送一个通知Trap   shutdown: 当违例产生时,将关闭端口并发送一个通知。 (注意:当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。) 步骤7 end 回到特权模式。 步骤8  show port-security interface 验证你的配置。 端口的MAC地址绑定 #config terminal #进入配置模式 #Interface fastethernet 0/1 #进入具体端口配置模式 #switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 #no switchport port-security mac-address MAC(主机的MAC地址) #删除MAC绑定   注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。(以上功能适用于思科2950、3550、4500、6500系列交换机) 基于MAC地址的扩展访问列表 Switch(config)#Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)#permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)#interface fa0/20 #进入配置具体端口模式 Switch(config)#mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) Switch(config)#no mac access-list extended MAC10 #清除名为MAC10的访问列表 MAC地址ACL注意事项 此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。   注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image) IP地址的MAC地址绑定 Switch(config)#mac access-list extended MAC10 //定义一个MAC地址访问控制列表并命名为MAC10 Switch(config)#permit host 0009.6b4c.d4bf any //定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机 Switch(config)#permit any host 0009.6b4c.d4bf //定义任何主机可以访问MAC为0009.6b4c.d4bf的主机 Switch(config)#ip access-list extended IP10 //定义一个IP地址访问控制列表并且命名为IP10 Switch(config)#permit 192.168.0.1 0.0.0.0 any //定义IP地址为192.168.0.1的主机可以访问任何主机 Switch(config)#permit any 192.168.0.1 0.0.0.0 //定义任何主机都可以访问I

文档评论(0)

yurixiang1314 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档