端口安全-端口绑定操作.pdf

目 录 1 端口安全 1-1 1.1 端口安全简介 1-1 1.1.1 端口安全概述 1-1 1.1.2 端口安全的特性 1-1 1.1.3 端口安全的模式 1-1 1.2 端口安全配置 1-3 1.2.1 启动端口安全功能 1-3 1.2.2 配置端口允许接入的最大MAC地址数 1-4 1.2.3 配置端口安全模式 1-4 1.2.4 配置端口安全的相关特性 1-5 1.2.5 配置当前端口不应用RADIUS服务器下发的授权信息 1-6 1.2.6 配置Security MAC地址 1-7 1.3 端口安全配置显示 1-7 1.4 端口安全配置举例 1-8 1.4.1 端口安全配置举例 1-8 2 端口绑定 2-1 2.1 端口绑定配置2-1 2.1.1 端口绑定简介 2-1 2.1.2 端口绑定配置 2-1 2.2 端口绑定配置显示 2-1 2.3 端口绑定配置举例 2-2 i 1 端口安全 1.1 端口安全简介 1.1.1 端口安全概述 端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x 认证和 MAC 地址认证的扩充。 Port Security 的主要功能就是用户通过定义各种安全模式，让设备学习到合法的源 MAC 地址，以 达到相应的网络管理效果。 启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源 MAC 地址的报文，系统将视 为非法报文；对于不能通过 802.1x 认证或 MAC 地址认证的事件，将被视为非法事件。 当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少 了用户的维护工作量，极大地提高了系统的安全性和可管理性。 1.1.2 端口安全的特性 端口安全的特性包括： NTK 特性：NTK （Need To Know）特性通过检测从端口发出的数据帧的目的 MAC 地址，保 证数据帧只能被交换机发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。 Intrusion Protection 特性：该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认 证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、 永久断开端口连接或是过滤源地址是此 MAC 地址的报文，保证了端口的安全性。 Trap 特性：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起） 传送时，设备将会发送 Trap 信息，便于网络管理员对这些特殊的行为进行监控。 1.1.3 端口安全的模式 对于端口安全模式的具体描述，请参见 表 1-1。 表1-1 端口安全模式描述表 安全模式类型 描述 特性说明 此模式下，NTK 特性和 Intrusion noRestriction 此模式下，端口处于无限制状态