Cisco 交换机端口安全.ppt

Cisco 交换机端口安全 1、限定允许进入端口的主机数 #configure terminal //进入全局配置模式。 #interface interface-id //进入接口配置模式。 #switchport mode access //设置接口为access模式 #switchport port-security //打开该接口的端口安全功能 #Switchitchport protected #开启端口隔离保护 #switchport port-security maximum value //设置接口上安全地址的最大个数 #switchport port-security violation {protect | restrict | shutdown} //设置处理违例的方式: 设置端口的保护方式 　　设置处理违例的方式:　　protect: 保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。　　restrict: 当违例产生时，将发送一个通知Trap　　shutdown: 当违例产生时，将关闭端口并发送一个通知。 (注意:当端口因为违例而Trap被关闭后，你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。)步骤7 end 回到特权模式。步骤8 　show port-security interface 验证你的配置。 端口的MAC地址绑定 #config terminal ＃进入配置模式 #Interface fastethernet 0/1 ＃进入具体端口配置模式 #switchport port-security mac-address MAC(主机的MAC地址) ＃配置该端口要绑定的主机的MAC地址 #no switchport port-security mac-address MAC(主机的MAC地址) #删除MAC绑定 　　注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。（以上功能适用于思科2950、3550、4500、6500系列交换机） 基于MAC地址的扩展访问列表 Switch(config)#Mac access-list extended MAC10 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)#permit host 0009.6bc4.d4bf any ＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)#interface fa0/20 #进入配置具体端口模式 Switch(config)#mac access-group MAC10 in ＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） Switch(config)#no mac access-list extended MAC10 ＃清除名为MAC10的访问列表 MAC地址ACL注意事项 此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。 　　注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image） IP地址的MAC地址绑定 Switch(config)#mac access-list extended MAC10 //定义一个MAC地址访问控制列表并命名为MAC10 Switch(config)#permit host 0009.6b4c.d4bf any //定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机 Switch(config)#permit any host 0009.6b4c.d4bf //定义任何主机可以访问MAC为0009.6b4c.d4bf的主机 Switch(config)#ip access-list extended IP10 //定义一个IP地址访问控制列表并且命名为IP10 Switch(config)#permit 192.168.0.1 0.0.0.0 any //定义IP地址为192.168.0.1的主机可以访问任何主机 Switch(config)#permit any 192.168.0.1 0.0.0.0 //定义任何主机都可以访问I