一、Port Security 的作用
Port Security 是一种强大的安全功能,它通过限制连接到交换机端口的 MAC 地址数量,并定义哪些 MAC 地址可以通信,从而实现对网络接入的严格控制。具体来说,它有以下几大作用:
-
防止非法设备接入:例如,防止未经授权的路由器、无线接入点(AP)等设备私自接入网络,避免网络拓扑结构被非法篡改,确保网络的可控性。
-
防止MAC 地址泛洪攻击:MAC 地址泛洪攻击(CAM 表溢出攻击)是一种常见的网络攻击手段,攻击者通过大量伪造的 MAC 地址请求,使交换机的 CAM 表溢出,导致交换机无法正确转发数据帧。Port Security 可以有效限制端口的 MAC 地址数量,从而防止此类攻击。
-
控制每个端口允许的最大MAC 地址数量:根据实际需求,我们可以设置每个端口允许的最大 MAC 地址数量,例如,在某些场景下,一个端口可能只允许一台设备接入,而在另一些场景下,可能允许两台或多台设备共享一个端口。
-
可设置违规行为后的响应方式:当检测到违规行为时,我们可以选择不同的响应方式,如关闭端口、限制流量或记录日志,以便及时发现和处理潜在的安全威胁。
二、Port Security 基本配置步骤
接下来,我们将详细介绍如何在思科交换机上配置Port Security 功能。以下是基本的配置步骤:
1. 进入接口模式(只能在访问模式端口上启用 Port Security)
首先,我们需要进入交换机的接口模式,并将端口设置为访问模式。例如,对于FastEthernet0/1 端口,可以使用以下命令:
Switch(config)# interface FastEthernet0/1Switch(config-if)# switchport mode access
注意:Port Security 只能在 access 模式接口 上启用,不能在 trunk 接口上直接使用。
2. 启用 Port Security 功能
在接口模式下,使用以下命令启用Port Security 功能:
Switch(config-if)# switchport port-security3. 设置最大允许的 MAC 地址数量(默认为 1)
根据实际需求,我们可以设置每个端口允许的最大MAC 地址数量。例如,允许两个设备通过这个端口接入网络:
Switch(config-if)# switchport port-security maximum 24. 设置允许的 MAC 地址(可选)
我们可以选择手动指定允许的MAC 地址,或者让交换机自动学习当前已连接的 MAC 地址。
方法一:静态指定MAC 地址
如果已知需要接入设备的MAC 地址,可以直接指定:
Switch(config-if)# switchport port-security mac-address0000.1111.2222方法二:自动学习当前已连接的MAC 地址
使用以下命令,交换机会自动学习当前连接设备的MAC 地址,并将其“粘性”绑定到此端口,重启后仍有效(需保存配置):
Switch(config-if)# switchport port-security mac-address sticky5. 设置违规处理方式(Violation Mode)
当检测到违规行为时,我们可以选择不同的处理方式:
Switch(config-if)# switchport port-security violation {protect | restrict | shutdown}模式说明
-
protect:丢弃非法数据包,不通知发送方,不记录日志
-
restrict:丢弃非法数据包,发送SNMP trap 和 syslog 日志
-
shutdown:默认模式,触发违规时立即关闭端口
6. 查看 Port Security 状态
配置完成后,我们可以使用以下命令查看Port Security 的状态:
Switch# show port-security interface FastEthernet0/1示例输出:
PortSecurity : EnabledPortStatus : Secure-upViolationMode : ShutdownMaximumMAC Addresses :1TotalMAC Addresses :1ConfiguredMAC Addresses :0StickyMAC Addresses :1LastSource Address:Vlan :0000.1111.2222:10SecurityViolation Count :0
三、完整配置示例
以下是一个完整的Port Security 配置示例:
Switch(config)# interface FastEthernet0/1Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security maximum 1Switch(config-if)# switchport port-security mac-address stickySwitch(config-if)# switchport port-security violation restrict
四、注意事项
在使用Port Security 功能时,还需要注意以下几点:
-
Trunk 端口无法直接启用 Port Security,但可以在 Trunk 允许的 VLAN 上做动态限制。
-
若使用sticky 学习 MAC 地址,务必保存配置 (copy running-config startup-config),否则重启后丢失。
-
在VOIP 或 IP Phone 环境中,通常允许一个电话和一个 PC 共享一个端口,此时 maximum 应设为 2。
五、常见问题
1.如何恢复被关闭的端口?
如果端口因违规进入shutdown 状态,可以使用以下命令恢复端口:
Switch(config-if)# shutdownSwitch(config-if)# no shutdown
或者重启交换机。
2.Port Security 是否支持 IPv6?
Port Security 是基于 MAC 地址的安全机制,与 IPv4/IPv6 无关,因此对两者都适用。
通过以上介绍,相信大家对思科交换机的Port Security 功能有了更深入的了解。合理配置和使用 Port Security,可以有效提升网络的安全性和稳定性,防止未经授权的设备接入网络,保障网络的正常运行。
发表回复