互换机端口安全Port-Security【Cisco篇】

一、概念

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地点表记录连接到互换机端口的以太网MAC地点（即网卡号），并只答应某个MAC地点通过本端口通信。其他MAC地点发送的数据包通过此端口时，端口安全特性会制止它。使用端口安全特性可以防止未经答应的装备访问网络，并加强安全性。另外，端口安全特性也可用于防止MAC地点泛洪造成MAC地点表填满。 常见的端口安全有绑定其MAC地点，只答应本台物理装备访问网络，一般安全性较高的公司不答应私家电脑连接公司内网，纵然连接上也是无法访问网络的。也有的限定其最大的连接数，当超过一定命量的MAC地点时，自动关闭端口来掩护网络，这两种方法都能有用的防止MAC诱骗和泛洪攻击。
二、拓扑图示例

三、配置步骤

1.进入接口配置模式

1. Switch(config)# interface range fa 0/1-4

复制代码

 2. 设置端口模式为接入模式

1. Switch(config-if)# switchport mode access

复制代码

将端口设置为接入模式，这意味着该端口将连接到终端装备（如盘算机或打印机），而不是另一个互换机。
3. 启用端口安全功能

1. Switch(config-if)# switchport port-security

复制代码

启用端口安全功能，这答应进一步配置端口安全的相关参数。
4.设置最大答应的MAC地点数量为2

1. Switch(config-if)# switchport port-security maximum 2

复制代码

指定该端口最多可以学习和答应2个MAC地点。这有助于限定连接到该端口的装备数量，加强安全性。
5. 设置违反安全计谋时的动作为关闭端口

1. Switch(config-if)# switchport port-security violation shutdown

复制代码

当检测到违反安全计谋（如连接的装备超过答应的MAC地点数量）时，将端口置于错误禁用（err-disabled）状态，并关闭该端口。这是最严酷的安全措施。
6.启用粘性MAC地点学习

1. Switch(config-if)# switchport port-security mac-address sticky

复制代码

使端口可以自动学习并记住连接装备的MAC地点。学习到的MAC地点将被自动添加到运行配置中，并在装备重启时保留。这有助于自动管理连接装备，而无需手动配置每个MAC地点。‘
7.手动配置一个答应的MAC地点

1. Switch(config)# interface fa 0/1
2. Switch(config-if)# switchport port-security mac-address 0000.1111.2222

复制代码

手动指定一个答应连接到该端口的MAC地点0000.1111.2222。这个MAC地点会被以为是受信任的，并且将被答应通过该端口通信。
四、端口安全（Port Security）模式

紧张有以下几种模式，用于处理违反安全计谋的环境：

• 掩护模式（Protect Mode）
  
• 限定模式（Restrict Mode）
  
• 关闭模式（Shutdown Mode）
  

1. 掩护模式（Protect Mode）

在掩护模式下，当端口接收到超过答应数量的MAC地点时，超出的MAC地点将被丢弃，不会影响已授权的MAC地点的通信。不会天生任何告诫或日志记录。
配置示例：

1. Switch(config)# interface fastEthernet 0/1
2. Switch(config-if)# switchport port-security violation protect

复制代码

2. 限定模式（Restrict Mode）

在限定模式下，当端口接收到超过答应数量的MAC地点时，超出的MAC地点将被丢弃，同时互换机会天生一个SNMP陷阱和日志记录。如许管理员可以收到告诫并采取相应措施。
配置示例：

1. Switch(config)# interface fastEthernet 0/1
2. Switch(config-if)# switchport port-security violation restrict

复制代码

3. 关闭模式（Shutdown Mode）

在关闭模式下，当端口接收到超过答应数量的MAC地点时，端口将被自动关闭，并且被置于错误禁用（err-disabled）状态，需要手动或自动重新启用。此模式是默认模式，也是最严酷的安全措施。
配置示例：

1. Switch(config)# interface fastEthernet 0/1
2. Switch(config-if)# switchport port-security violation shutdown

复制代码

总结

• 掩护模式：丢弃超出限定的MAC地点，不天生告诫。
  
• 限定模式：丢弃超出限定的MAC地点，并天生告诫和日志。
  
• 关闭模式：禁用端口，并天生错误禁用状态，需要人工干预。
  

每种模式都适用于不同的安全需求，管理员可以根据详细的网络安全计谋选择符合的模式举行配置。
原文链接：

互换机端口安全Port-Security【Cisco篇】-星雨博客

https://www.wniui.com/583.html

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。