交换机端口安全系统Port-Security超级详解.docVIP

实用标准文案 文档大全 交换机端口安全Port-Security超级详解 交换安全】交换机端口安全Port-Security超级详解 ?一、Port-Security概述 ? 在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求： 限制交换机每个端口下接入主机的数量（MAC地址数量） 限定交换机端口下所连接的主机（根据IP或MAC地址进行过滤） 当出现违例时间的时候能够检测到，并可采取惩罚措施 上述需求，可通过交换机的Port-Security功能来实现： ? 二、理解Port-Security 1.Port-Security安全地址：secure MAC address ????在接口上激活Port-Security后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的）的最大MAC数量，从而限制接入的主机用户；或者限定接口所连接的特定MAC，从而实现接入用户的限制。那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址 – secure MAC address。 ????安全地址表项可以通过让使用端口动态学习到的MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及sticy MAC address（SecureSticky） 三种方式进行配置。 ????当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址，那么这个接口将只为该MAC所属的PC服务，也就是源为该MAC的数据帧能够进入该接口。 2.当以下情况发生时，激活惩罚（violation）： ????当一个激活了Port-Security的接口上，MAC地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源MAC并不在这些安全地址中，那么启动惩罚措施 ????当在一个Port-Security接口上配置了某个安全地址，而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时，启动惩罚措施 ????当设置了Port-Security接口的最大允许MAC的数量后，接口关联的安全地址表项可以通过如下方式获取： 在接口下使用switchport port-security mac-address 来配置静态安全地址表项 使用接口动态学习到的MAC来构成安全地址表项 一部分静态配置，一部分动态学习 当接口出现up/down，则所有动态学习的MAC安全地址表项将清空。而静态配置的安全地址表项依然保留。 3.Port-Security与Sticky MAC地址 ????上面我们说了，通过接口动态学习的MAC地址构成的安全地址表项，在接口出现up/down后，将会丢失这些通过动态学习到的MAC构成的安全地址表项，但是所有的接口都用switchport port-security mac-address手工来配置，工作量又太大。因此这个sticky mac地址，可以让我们将这些动态学习到的MAC变成“粘滞状态”，可以简单的理解为，我先动态的学，学到之后我再将你粘起来，形成一条”静态“ （实际上是SecureSticky）的表项。 ????在up/down现象出现后仍能保存。而在使用wr后，这些sticky安全地址将被写入start-up config，即使设备重启也不会被丢失。 三、默认的Port-Security配置 Port-Security ??????????????????????默认关闭 默认最大允许的安全MAC地址数量 ??????1 惩罚模式 ???????????????????????????shutdown（进入err-disable状态），同时发送一个SNMP trap 四、Port-Security的部署注意事项 1.Port-Security配置步骤 a) ?在接口上激活Port-Security ????Port-Security开启后，相关参数都有默认配置，需关注 b) ?配置每个接口的安全地址（Secure ?MAC Address） ????可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址 c) ?配置Port-Security惩罚机制 ????默认为shutdown，可选的还有protect、restrict d) （可选）配置安全地址老化时间 2.关于被惩罚后进入err-disable的恢复： 如果一个psec端口由于被惩罚进入了err-disable，可以使用如下方法来恢复接口的状态： 使用全局配置命令：err-disable recovery psecure-violation? 手工将特定的端口shutdown再noshutdown 3.清除接口上动态学习到的安全地址表项 使