交换机端口安全设置PPT教案.pptx

会计学
1
交换机端口安全设置
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。
通过配置 Port Security 可以控制：
• 端口上最大可以通过的 MAC 地址数量。
• 端口上学****或通过哪些 MAC 地址。
• 对于超过规定数量的 MAC 处理进行违背处理的方式。
第1页/共8页
交换机绑定MAC地址两种方式
,静态绑定端口 MAC 方式
当设置成动态学****端口MAC地址时：
交换机动态学****端口 MAC ，直到学****完指定的 MAC 地址数量后，就不在学****了。除非交换机关机或者后重置端口后重新学****br/>当设置动态时，你可以使用想进行安全绑定PC进行连接。
当开启动态动态学****静态绑定MAC方式时,要在此SW端口为初始化时让它动态的学****首先网络管理员要确定SW在动态学****时,你要保证SW现在所连接的PC,终端是合法接入。
当你动态指定学****MAC为6条MAC，当学满6条MAC地址时,其它MAC地址就不会再学****了。
动态学****完后的MAC地址,等同于自动静态保存在此端口的端口安全设置上面，方便于网络管理员不用手工敲上去。
第2页/共8页

静态学****是指手工设置你想进行安全绑定的MAC地址。
-if)#switchport port-security mac-address
（这种方式必须事先知道次端口要进行绑定的MAC地址）
第3页/共8页
MAC地址违规进行处理的三种方式。
1. Shutdown：这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。
：丢弃非法流量，不报警。 端口处于UP UP状态。（默认为此模式）
3. Restrict 。丢弃非法流量，报警。（对比上面会使交换机 CPU 利用率上升,但是不影响交换机的正常使用。实际应用中推荐使用这种方式。）
第4页/共8页
配置实例：静态手工绑定,定义MAC地址最大数量
interface G3/48
switchport port-security maximum 2 (绑定MAC地址为2条)
switchport port-security Mac-address (网络管理员手工敲上去的静态绑定)
第5页/共8页
配置实例：
-if)#switchport port-security violation restrict
(定义违规方式：此为丢弃流量并报警)

-if)#sw