网管必备:交换机端口安全总结 时间:2009-05-22 10:29 来源:51CTO.COM 技术博客 作者:佚名 点击: 687 次 最常用的对端口安全的理解就是可根据MAC 地址来做对网络流量的控制和管理,比如MAC 地址与具体的端口绑定,限制具体端口通过的MAC 地址的数量,或者在具体的端口不允许某些MAC 地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X 来控制网络的访问流量。 最常用的对端口安全的理解就是可根据MAC 地址来做对网络流量的控制和管理,比如MAC 地址与具体的端口绑定,限制具体端口通过的MAC 地址的数量,或者在具体的端口不允许某些MAC 地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X 来控制网络的访问流量。 首先谈一下 MAC 地址与端口绑定,以及根据MAC 地址允许流量的配置。 1.MAC 地址与端口绑定,当发现主机的MAC 地址与交换机上指定的MAC 地址不同时 ,交换机相应的端口将 down 掉。当给端口指定MAC 地址时,端口模式必须为 access 或者Trunk 状态。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置 MAC 地址。 3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC 地址数为 1。 3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down 掉。 2.通过MAC 地址来限制端口流量,此配置允许一 TRUNK 口最多通过100 个 MAC 地址,超过100 时,但来自新的主机的数据帧将丢失。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport trunk encapsulation dot1q 3550-1(config-if)#switchport mode trunk /配置端口模式为 T RUNK。 3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大 MAC 地址数目为 100。 3550-1(config-if)#switchport port-security violation protect /当主机MAC 地址数目超过100 时,交换机继续工作,但来自新的主机的数据帧将丢失。 上面的配置根据MAC 地址来允许流量,下面的配置则是根据MAC 地址来拒绝流量。 1.此配置在 Catalyst 交换机中只能对单播流量进行过滤,对于多播流量则无效。 3550-1#conf t 3550-1(config)#mac-ad...
