ACL交换机安全端口.ppt

一、交换机安全端口 1.1 交换机安全端口概述 交换机可以通过限制允许访问交换机上某个端口的 MAC 地址以及 IP 地址（可选）来实现严格控制对该端口的输入。当为安全端口打开了 端口安全功能并配置了安全地址后，除了源地址为规定的安全地址外 的其他数据包将不进行转发，只对源地址为安全地址的数据包进行转 发。 对交换机端口安全地址的配置实现了在数据链路层上对数据包的过 滤。安全地址既可以是 MAC 地址也可以是 MAC 地址与 IP 地址的组合， 即将 MAC 地址与 IP 地址绑定后，设置为安全地址。 当一个端口被设置成安全端口以后，如果该端口收到一个源地址不 属于该端口安全地址的数据包时，将产生一个安全违例事件，该事件 可以通过配置交换机对违例事件的处理方式来采取不同的处理方法， 如：丢弃数据包或发送通知等。 每个安全端口都可以配置器安全地址的最大个数。安全地址的配置 既可以通过手动添加的方式也可以通过交换机自动学习的方式来实现。 需要注意的是，自动学习的安全地址均不会绑定地址，如果在一个端 口上，你已经设置了绑定 IP 地址的安全地址，这不能在通过自动学习 来增加安全地址。但可以设置一部分安全地址（ MAC 地址），剩下的 部分由交换机自动学习。 1.2 交换安全端口的默认配置 端口安全默认配置包括四项具体内容，如下表所示： 内容 设置 端口安全状态 所有端口均关闭端口安全功能 最大安全地址个数 128 安全地址 无 违例处理方式 保护（ protect ） 其中违例处理方式一共包含三种： 1 、 protect 保护端口。当安全地址个数满后，即出现违例事件时，安 全端口将丢弃未知（源地址不在安全地址内）的数据包； 2 、 restrict 。当违例发生时，将发送一个 Trap 通知； 3 、 shutdown . 当违例产生时，将关闭端口并发送一个 Trap 通知。当 端口因违例而被关闭后，可以在全局配置模式下通过命令 errdisable recovery 将端口从错误状态中恢复过来。 1.3 交换机安全端口配置 Ⅰ 、配置端口安全地址的最大个数及违例处理方式： ① configure terminal 进入全局配置模式； ② interface interface-id 进入端口配置模式； ③ switchport mode access 设置接口为 access 模式，如果端口已是 access 模式该步骤可以省略； ④ swtichport port-security 打开该端口的安全功能； ⑤ switchpoet port-security maximum value 设置该接口上安全地址的 最大个数（由 value 指定，范围是 1-128 ）； ⑥ switchport port-security violation {protect|restrict|shutdown} 设置安全端口违例处理方式。 实例： Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)#end Switch(config)#show port-security interface gigabitethernet 1/3 1.3 交换机安全端口配置 Ⅱ 、配置安全端口上的安全地址： ① configure terminal 进入全局配置模式； ② interface interface-id 进入端口配置模式； ③ swtichport port-security mac-address mac-address ip-address ip- a ddress 手工配置接口上的安全地址， ip-address 为可选项，为这个地址 绑定 ip 地址 ； ④ end 回到特权模式； ⑤ show port-security address 验证配置。 实例： Switch# configure termin