端口安全
- 格式:ppt
- 大小:432.50 KB
- 文档页数:6


背景:
防止外来未获批准的人员随便随机的通过内网来做一些对内网不利的事情(比如:
利用黑客扫描软件扫描),针对这些潜在的非安全因素我们可以采用端口安全、端
口保护、地址绑定的功能;为了防止外来主动或内网本身中的机器发生故障,频繁
的对局域网中的机器发送数据;再或者限制机器广播包的发送流量或正常包的发送
流量;针对这种问题我们可以采用风暴控制。
配置过程
端口安全
第一步进入相应的端口
interface fa0/1
第二步设置端口为访问模式
switchport mode access
第三步设置启用端口保护
switchport port-security
第四步设置端口的在端口保护模式下允许通过的机器数目
switchport port-security maximum 2
第五步设置端口的地址学习方式或者是地址绑定方式
switchport port-security mac-address sticky 0004.9A84.E4C6(1)
switchport port-security mac-address sticky (2)
switchport port-security mac-address 0004.9A84.E4C6(3)
第六步设置条件违反后应采取的措施
switchport port-security violation shutdown(1)
switchport port-security violation protected(2)
switchport port-security violation restrict(3)
第七步端口关闭之后的如何启用
先要进入端口执行shutdown
然后在执行no shudown
第八步端口关闭后自动回复
errdisable recovery cause psecure-violation
errdisable recovery cause psecure-violation
设置端口安全功能,端口安全的
违例处理等。使用该命令的no选项关闭端口安全的设置,或者将安全违例处理方式恢复成缺省值。
switchport port-security [violation {protect | restrict | shutdown}]
no switchport port-security [violation] 参数说明参数 描述port-security 接口安全开关violation protect 发现违例,则丢弃违例的报文。violation restrict 发现违例,则丢弃违例的报文并且发送trap。 violation shutdown发现违例,则丢弃报文、发送Trap并且关闭接口。 接口的安全缺省是关闭的。 接口配置模式 利用端口安全这个特性,可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报。此外,还可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。 下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能,并设置违例处理为shutdown:
Ruijie(config)# interface gigabitethernet1/1
Ruijie(config-if)# switchport port-security
Ruijie(config-if)# switchport port-security violation shutdown 二、switchport port-security aging
该命令为一个接口上的所有安全地址配置老化时间。打开这个功能,就需要设置安全地址的最大个数,这样,就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址,或者关闭老化功能。
<端口安全>
·Switch端口安全是2层特性,提供两个方面的保护:
1、可以限定一个接口所能学习的MAC地址数量
2、可以在一个接口静态绑定MAC地址
1.基于主机MAC来允许流量
·可定义授权的MAC地址/允许学习多少个MAC地址(默认=1)
·违背端口安全,采取的行为:
1.shutdown :将永久性或特定周期内Err-Disable端口(默认行为),并发送snmp trap
2.restrict:当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop,发送SNMP trap,并将violation计数器增加
3.protect :当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop
int f0/1
switchport mode access //启用端口安全时,必须先设为access接口
switchport port-security //启用端口安全(默认只能学一个MAC)
switchport port-security maximum 1 //指定最多允许学多少个地址
switchport port-security mac-address cc
switchport port-security violation
[protect|restrict|shutdown] //指定行为
switchport port-security aging time 1 (分钟)//设定动态学习MAC多长时间后老化,也就是设定现有MAC地址的有效期
switchport port-security mac-address sticky //将动态学到的地址粘住,永久使用
errdisable recovery cause
errdisable interdd
show port-security //可以看到哪些接口应用了端口安全
第1篇
一、实验背景
随着信息技术的飞速发展,网络安全问题日益突出。端口作为网络通信的通道,其安全性直接关系到整个网络的安全。为了提高网络安全性,防止未授权访问和攻击,本次实验旨在通过华为eNSP平台,学习并掌握端口安全配置的方法,提高网络安全防护能力。
二、实验目的
1. 理解端口安全的基本概念和作用。
2. 掌握华为eNSP平台中端口安全的配置方法。
3. 熟悉端口安全策略的设置和应用。
4. 提高网络安全防护能力。
三、实验环境
1. 实验平台:华为eNSP
2. 网络设备:华为S5700交换机
3. 实验拓扑:实验拓扑图
4. 实验设备:计算机、路由器等
四、实验内容
1. 端口安全基本概念
端口安全(Port Security)是一种防止未授权访问和攻击的安全策略,通过对端口进行MAC地址绑定,限制端口接入的设备数量,从而保障网络的安全。
2. 端口安全配置方法
(1)静态MAC地址绑定
静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定,只有绑定的MAC地址才能通过该端口进行通信。
(2)动态MAC地址绑定 动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址,并将其绑定到端口上,实现动态管理。
(3)粘滞MAC地址绑定
粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址,确保MAC地址的稳定性。
3. 端口安全策略设置
(1)设置最大MAC地址数量
限制端口接入的设备数量,防止未授权设备接入。
(2)设置MAC地址学习时间
设置MAC地址学习时间,超过该时间未更新的MAC地址将被移除。
(3)设置违规行为处理方式
设置违规行为处理方式,如关闭端口、报警等。
五、实验步骤
1. 搭建实验拓扑,配置网络设备。
2. 在交换机端口上配置端口安全,设置最大MAC地址数量、MAC地址学习时间等。
3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定,观察效果。