网络通信 频道

实战演练!CISCO交换机端口安全一点通

  二、端口安全的基本操作

  (一)显示端口3口上面的MAC地址

  3550#show mac-address-table int fa0/3

  Mac Address Table

  -------------------------------------------

  Vlan Mac Address Type Ports

  ---- ----------- -------- -----

  (由于端口上面现在没接任何网线,所以显示该端口上面没有任何MAC地址)

  (二)清除动态获到的MAC 地址

  3550#clear mac-address-table dynamic inter fa0/3

  以上两步操作的目的是确认当前端口上面没有MAC地址的记录,以便证明我们以后进行的操作是有效的。

  (三)关闭端口、将其配置为接入端口并执行配置端口安全的命令

  端口安全的实现是通过switchport port-security命令来实现的,这是一条核心的指令,辅以与之相关的其它命令,我们就可以实现端口安全的设置。由于大多采用的默认设置,所以本例实现的功能是端口3上面只允许一个指定的MAC地址通过,并在出现安全违规时关闭端口,先对相关的设置命令做一下解释:

  switchport port-security命令在端口上启用端口安全,默认设置情况下只允许一个MAC地址通过,并在出现安全违规时关闭接口。)

  switchport port-security mac-add sticky命令让交换机获悉当前与端口相关联的MAC地址,该地址将包含在运行配置中。如果将运行配置保存到启动配置中,则路由器重启后,该地址也将保留下来。

  介绍完核心命令的操作,我们再介绍一下端口安全操作的思路:首先关闭端口3。使用命令switchport mode access将端口配置为接入端口,以便配置端口安全。使用命令switchport port-securtiy启用端口安全,然后使用命令swithchport port-security mac-address sticky让端口获悉其连接机的主机的IP地址。最后,执行命令no shutdown重新启用端口,使其能够获悉主机的MAC地址,实现以上操作的命令如下。

  3550#conf t

  Enter configuration commands, one per line. End with CNTL/Z.

  3550(config)#inter fa0/3

  3550(config-if)#shutdown

  3550(config-if)#switchport mode access

  3550(config-if)#switchport port-security

  3550(config-if)#switchport port-security mac-address sticky (设置MAC地址的粘性,我对这条命令的理解是交换机会自动的学习到第一次接到到该端口的网络设备的MAC地址,并把它记录到当前的配置文件中)

  3550(config-if)#end

  (四)查看配置信息的操作

  1、查看当前配置文件中有关FA0/3端口的信息

  3550#show run inter fa0/3

  Building configuration...

  Current configuration : 281 bytes

  !

  interface FastEthernet0/3

  switchport access vlan 66

  switchport mode access

  switchport port-security

  switchport port-security mac-address sticky

  end

  2、查看有关FA0/3端口安全方面的信息

  Port Security : Enabled

  Port Status : Secure-down

  Violation Mode : Shutdown

  Aging Time : 0 mins

  Aging Type : Absolute

  SecureStatic Address Aging : Disabled

  Maximum MAC Addresses : 1

  Total MAC Addresses : 0

  Configured MAC Addresses : 0

  Sticky MAC Addresses : 0

  Last Source Address : 0000.0000.0000

  Security Violation Count : 0

  (五)实际测试

  我们拿一台笔记本电脑,接入FA0/3端口,这台笔记本网卡的状态显示为连通,由于VLAN66网段内有DHCP服务器,也可以顺利的获取IP地址,访问网络。然后再将连接这台笔记本电脑的网线接到另外一台微机上,该微机的网卡状态显示为断开,说明端口安全已经生效。

  (六)存在的问题

  本来以为端口安全的操作到此已经完成了,但是将这根网线再插回到刚才的那台笔记本电脑上时,却发现网络仍然处于断开状态,查看端口的状态,处于“error disable”,虽然我们可以通过在FA0/3端口执行shutdown和no shutdown命令将这个端口恢复正常,但是这个操作太麻烦了,而且也不现实,总不能每次用户每次发现端口关闭了以后,都去找网管员执行shutdown、no shutdonw命令。

0
相关文章