-
一、原理
1
、首先必须明白两个概念:
可靠
的
MAC
地址。设置时候有三种类型。
静态可靠的
MAC
< br>地址:在交换机接口模式下手动设置,这个设置会被保存在交换
机
MAC
地址表和运行设置文件中,交换机重新启动后不丢失(当然是在保存设置
完成
后)
,具体命令如下:
Switch(config-if)#switchport port-security mac-
address
Mac
地址
动态可靠的
MAC
< br>地址:这种类型是交换机默认的类型。在这种类型下,交换机会
动态学习
MAC
地址,不过这个设置只会保存在
MAC<
/p>
地址表中,不会保存在运行设置文
件中,并且交换机重新启动后,
这些
MAC
地址表中的
MAC
地址自动会被清除。
黏性可靠的
MAC
地址:这种类型下,能手动设置
MAC
地址和端口的绑定,也能让
交换机自动学
习来绑定,这个设置会被保存在
MAC
地址中和运行设置文件中
,如果保
存设置,交换机重起动后不用再自动重新学习
MAC<
/p>
地址,虽然黏性的可靠的
MAC
地址
p>
能手动设置,不过
CISCO
官方不推荐这
样做。具体命令如下:
Switch(config-
if)#switchport port-security mac-address sticky <
/p>
其实在上面这
条命令设置后并且该端口得到
MAC
地址后,会自动生成一条设置命令
Switch(config-if)#switchport port-
security mac-address sticky
Mac
地址
这也
是为何在这种类型下
CISCO
不推荐手动设置
MAC
地址的原因。
2
、违反
MAC
安全采取的措施:
当超过设定
M
AC
地址数量的最大值,或访问该端口的
备
MAC
地址不是这个
MAC
p>
地址表中该端口的
MAC
地址,或同一个<
/p>
VLAN
中一个
MA
地址被设置在几个端口上时,就会引发违反
MAC
地址安全,这个时候采取的措施有三
种:
保护模式(
protect
)
:丢弃数据包,不发警告。
.
限制模式(
restrict
)
:丢弃数据包发警告,发出
SNMP
trap
,同时被记录在
syslog
日志里。
关闭模式
(
shutdown
)
:
这交换机
默认模式,
在这
种情况下端口即时变为
err-disable
状态,并且关掉
端口灯,发出
SNMPtrap
,同时被记录在
syslog
日志里,除非管理
员手工激活,否则该端
口失效。
具体命令下:
Switch(config-
if)#switchport port-security violation {protect |
restrict
| shutdown }
下面这个表一就是具体的对比
Violation
Mode Traffic is forwarded Sends SNMP
trap Sends syslog message Displays
error message Shuts down port protect No
No No No No restrict No Yes Yes No No
shutdown No Yes Yes No Yes
表一
设
置端口安全时还要注意以下几个问题:
端口安全仅仅设置在静态
Access
端口;
在
trunk
端口、
SPA
N
端口、
快速以太通道、
吉比特以太通
道端口组或被动态划给一个
VLAN
的端口上不能设置端口安全
功能;不能
基于每
VLAN
设置端口安
全;交换机不支持黏性可靠的
MAC
地址老化时间。
protect
和
restrict
模式不能同时设置在同一端口上。
下面寻修网把上面的知识点连接起来谈谈实现设置步骤的全部
命令。
1
.
静
p>
态可靠的
MAC
地址的命令步骤:
Switch#config terminal
Switch(config)#interface interface-id
进入需要设置的端口
Switch(config-if)#switchport mode
Access
设置为交换模式
Switch(config-if)#switchport port-
security
打开端口安全模式
Switch(config-if)#switchport port-
security violation {protect |
restrict
| shutdown }
上面这一条命令是可选的,也就是能不用设置,默认
p>
的是
shutdown
模式,不过在实际设
置中寻修网推荐用
restrict
。
Switch(config-if)#switchport port-
security maximum value
上面这一条
命令也是可选的,也就是能不用设置,默认的
maximum
是个
MAC
地址,
2950
和
3550
交换机的这个最大值是
132
。
其实上面这几条
命令在静态、黏性下都是
相同的,
Switch(config-if)#switchport port-security mac-
address MAC
地址
上面这
一条命令就说明是设置为静态可靠的
MAC
地址
2
.动态可靠的
MAC
地址设置,因为是交换机默认的设置。
3
.黏性可靠的
MAC
地址设置的命令步骤:
Switch#config terminal
Switch(config)#interface
interface-id Switch(config-
if)#switchport
mode
Access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-
security violation {protect | restrict
|
shutdown
}
Switch(config-if)#switchport
port-
security
maximum
value
上
面这几天命令解释和前面静态讲到原因相同,不再说明。
Switch(config-if)#switchport
port-security mac-address sticky
上面这一条<
/p>
命令就说明是设置为黏性可靠的
MAC
地
址。
最后,说说企业中怎么快速
M
AC
地址
和交换机端口绑定。在实际的运用中常用黏性可靠的<
/p>
MAC
地址绑定,目前我们在一
台
2950EMI
上绑定。
方法
1
:在
CLI
方式下设置
2950
(config)#int
rang
fa0/1
- 48 2950 (config-if-
range)#switchport mode Access 2950
(config-if-range)#switchport port-
security 2950
(config-if-
range)#switchport
port-security
mac-address
violation
restrict
2950 (config-if-
range)#switchport port-security mac-address sticky
这样