会计学
1
交换机端口安全设置
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。
通过配置 Port Security 可以控制:
• 端口上最大可以通过的 MAC 地址数量。
• 端口上学****或通过哪些 MAC 地址。
• 对于超过规定数量的 MAC 处理进行违背处理的方式。
第1页/共8页
交换机绑定MAC地址两种方式
,静态绑定端口 MAC 方式
当设置成动态学****端口MAC地址时:
交换机动态学****端口 MAC ,直到学****完指定的 MAC 地址数量后,就不在学****了。除非交换机关机或者后重置端口后重新学****br/>当设置动态时,你可以使用想进行安全绑定PC进行连接。
当开启动态动态学****静态绑定MAC方式时,要在此SW端口为初始化时让它动态的学****首先网络管理员要确定SW在动态学****时,你要保证SW现在所连接的PC,终端是合法接入。
当你动态指定学****MAC为6条MAC,当学满6条MAC地址时,其它MAC地址就不会再学****了。
动态学****完后的MAC地址,等同于自动静态保存在此端口的端口安全设置上面,方便于网络管理员不用手工敲上去。
第2页/共8页
静态学****是指手工设置你想进行安全绑定的MAC地址。
-if)#switchport port-security mac-address
(这种方式必须事先知道次端口要进行绑定的MAC地址)
第3页/共8页
MAC地址违规进行处理的三种方式。
1. Shutdown:这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
:丢弃非法流量,不报警。 端口处于UP UP状态。(默认为此模式)
3. Restrict 。丢弃非法流量,报警。(对比上面会使交换机 CPU 利用率上升,但是不影响交换机的正常使用。实际应用中推荐使用这种方式。)
第4页/共8页
配置实例:静态手工绑定,定义MAC地址最大数量
interface G3/48
switchport port-security maximum 2 (绑定MAC地址为2条)
switchport port-security Mac-address (网络管理员手工敲上去的静态绑定)
第5页/共8页
配置实例:
-if)#switchport port-security violation restrict
(定义违规方式:此为丢弃流量并报警)
-if)#sw
交换机端口安全设置PPT教案 来自淘豆网www.taodocs.com转载请标明出处.