交换机端口安全

2021年3月1日发(作者：desktop是什么意思)

各种交换机端口安全总结

(

配置实例

< p>
)

最常用的对端口安全的理解就是可根据

mac

地址来 做对网络流量的控制和管理，比如

mac

地址与具体的端口绑定 ，限制具体端口通过的

mac

地址的数量，或者在具体的端口不

允许某些

mac

地址的帧流量通过。稍 微引申下端口安全，就是可以根据

802.1x

来控制网络

的访问流量。

首先谈 一下

mac

地址与端口绑定，以及根据

mac

地址允许流量的配置。

地址与端口绑定，当发现主机的

mac

地址与交换机上指定的

mac

地址不同时，

交换机相应的端口将

down

掉。

当给端口指定

mac

地址时，

端口模式必须为

access

或者

< br>trunk

状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /

指定端口模式。

3550-1(config-if)#switchport port- security mac-address 00-90-f5-10-79-c1 /

配置

mac

地址。

3550-1(config- if)#switchport

port-security

maximum

1

/

限制此端口允许通过的

mac

地址

< br>数为

1

。

3550-1(config- if)#switchport port-security violation shutdown /< /p>

当发现与上述配置不符时，

端口

down

掉。

2.< /p>

通过

mac

地址来限制端口流量，

此配置允许一

trunk

口最多通过

100

个

mac

地址，

超

过

100

时 ，但来自新的主机的数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /

配置端口模式为

trunk

。

3550-1(config- if)#switchport

port-security

maximum

100

/

允许此端口通过的最大

mac

地

址数目为

100

。

3550-1(config- if)#switchport port-security violation protect /

当主机

mac

地址数目超过

100

时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据

< br>mac

地址来允许流量，下面的配置则是根据

mac

地址来拒绝流量。

1.

此配置在

catalyst

< p>
交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 drop /

在相应的

vlan

丢弃

流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 int f0/1 /

在相应的接口丢

弃流量。

最后说一下

802.1x

< p>
的相关概念和配置。

802 .1x

身份验证协议最初使用于无线网络，

后来才在普通交换机 和路由器等网络设备上

使用。它可基于端口来对用户身份进行认证，即当用户的数据流量 企图通过配置过

802.1x

协议的端口时，

< br>必须进行身份的验证，

合法则允许其访问网络。

这样的做 的好处就是可以对

内网的用户进行认证，并且简化配置，在一定的程度上可以取代

windows

的

ad

。

配置

802.1x

< br>身份验证协议，首先得全局启用

aaa

认证，这个和在网 络边界上使用

aaa

认证没有太多的区别，

只不过认证的协议是

802.1x

；

其次则需要在相应的接口上启用

802.1x

身份验证。

（建议在所有的端口上启用

802.1x

身 份验证，并且使用

radius

服务器来管理用户

名和密码）

下面的 配置

aaa

认证所使用的为本地的用户名和密码。

3550-1#conf t

3550-1(config)#aaa new- model /

启用

aaa

认证。

3550-1(config)#aaa authentication dot1x default local /

全局启用

802.1x

协议认证，并使用

本地用户名与密码。

3550-1(config)#int range f0/1 -24

3550-1(config- if-range)#dot1x port-control auto /

在所有的 接口上启用

802.1x

身份验证。

后记

通过

mac

地址来控制网络的流量既可以通 过上面的配置来实现，也可以通过访问控制

列表来实现，比如在

cata3550

上可通过

700-799

号的访问控制列表可实现

mac

地址过滤。

但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。

< br>

通过

mac

地址绑定虽然在一定程度上可保证内网安全，但效 果并不是很好，建议使用

802.1x

身份验证协议。在可控性 ，可管理性上

802.1x

都是不错的选择。

< br>

一、通过

IP

查端口

先查ＭＡＣ地址，再根据ＭＡＣ地址查端口：

bangonglou3#show arp | include 208.41

或者

show mac-address-table

来查看整

个端口的

ip- mac

表

nternet

10.138.208.41

4

0006.1bde.3de9

ARPA

Vlan10

bangonglou3#show mac-add | in 0006.1bde

10

0006.1bde.3de9

DYNAMIC

Fa0/17

bangonglou3#exit

二、

ip

与

mac

地址的绑定，

这种绑定可以简单有效的防止

ip

被盗用，< /p>

别人将

ip

改成了你绑

< br>定了

mac

地址的

ip

后，

其网络不同，

（

t cp/udp

协议不同，

但

netbi os

网络共项可以访问）

，

具体做法：

cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA

这样就将

10.138.208.81

与

mac:0000.e268.9980 ARPA

绑定在一起了

< p>
三、

ip

与交换机端口的绑定，此种方法绑定后的 端口只有此

ip

能用，改为别的

ip< /p>

后立即断

网。有效的防止了乱改

ip

。

cisco(config)#

interface FastEthernet0/17

cisco(config-if)# ip access-group 6 in

cisco(config)#access-list 6 permit 10.138.208.81

这样就将交换机的

< p>
FastEthernet0/17

端口与

ip: 10.138.208.81

绑定了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ＝＝＝＝＝＝＝＝＝＝＝＝

＝＝＝＝＝

最常用的对端口安全的理解 就是可根据

MAC

地址来做对网络流量的控制和管理，比如

MAC

地址与具体的端口绑定，限制具体端口通过的

MAC

地址的数量，或者在具体的端口

不允许某些

MAC

地址的帧流量通过。

地址与端 口绑定，当发现主机的

MAC

地址与交换机上指定的

< p>
MAC

地址不同时，交

换机相应的端口将

down

掉。

当给端口指定

MAC

地址时，

端口模式必须为

a ccess

或者

Trunk

状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config- if)#switchport mode access /

指定端口模式。

3550-1(config- if)#switchport port-security mac-address 00-90-F5-10-79-C1 /

配置

MAC

地

址。

3550-1(config- if)#switchport port-security maximum 1 /

限制此端口允许通过的

MAC

地址数

为

1

。

3550-1(config- if)#switchport port-security violation shutdown /< /p>

当发现与上述配置不符时，

端口

down

掉。

< /p>

2.

通过

MAC

地址来限制端口流量，此配置允许一

TRUNK

口最多通过

100

个

MAC

地 址，

超过

100

时，但来自新的主机的 数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config- if)#switchport trunk encapsulation dot1q

3550-1(config- if)#switchport mode trunk /

配置端口模式为

< p>
TRUNK

。

3550-1(config- if)#switchport port-security maximum 100 /

< br>允许此端口通过的最大

MAC

地

址数目为

100

。

3550-1(config- if)#switchport port-security violation protect /

当主机

MAC

地址数目超过

100

时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据

MAC

地址来允许流量，下面的配置则是根据

MAC

地址来拒绝流量。

1.

此配置在

Catalyst

交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /

在相应的

Vlan

丢弃流量。

3550-1#conf t

3550-1(config)#mac-address- table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /

在相应的接口

丢弃流量。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

＝＝＝＝＝

在

网络

安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍

采用的做法之一就是

IP

地址、

网卡的

MAC

地址与交换机端口绑定，

但是

MAC

与交换机端

口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的

MAC

地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功

能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；

能根据

MAC

地址

确定允许访问的 设备；允许访问的设备的

MAC

地址既可以手工配置，也可以从 交换机

“

学

到

”

；

当一个未批准的

MAC

< p>
地址试图访问端口的时候，

交换机会挂起或者禁用该端口等等。

< p>