交换之端口安全

类别:CISCO / 日期:2019-10-09 / 浏览:846 / 评论:0

 一、查看交换机的 MAC地址

cisco#show switch 
Switch/Stack Mac Address : c07b.bc5e.6880
                                           H/W   Current
Switch#  Role   Mac Address     Priority Version  State 
----------------------------------------------------------
*1       Master c07b.bc5e.6880     1      1       Ready 

二、端口安全

1、思科交换机端口模式默认为dynamic,谁都可以用。要设置成ACCESS模式,在某个端口上使用port-security命令,将客户端的MAC和端口绑定。

主机A MAC:0121.e02b.3132

主机B MAC:0121.e02b.3133

命令为:

cisco(config)#int g1/0/10

cisco(config-if)#switchport mode access    //dynamic模式下是不能使用Port-security功能的,要设置为access

cisco(config-if)#switchport port-security    //启用端口安全模式

cisco(config-if)#switchport port-security mac-address 0121.e02b.3132

cisco(config-if)#switchport port-security mac-address 0121.e02b.3133

cisco(config-if)#switchport port-security maximum 2    //设2个IP,(缺省是1个)

cisco(config-if)#switchport port-security violation ?
  protect   Security violation protect mode    //丢弃数据包,不发警告

  restrict  Security violation restrict mode    //丢弃数据包,在console发警告

  shutdown  Security violation shutdown mode    //关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效

cisco(config-if)#switchport port-security violation protect   

这样,G1/0/10的端口只有主机A和B能通过,其它主机丢弃数据包。

2、将IP地址和MAC绑定

cisco(config)#arp 192.168.1.244 0121.e02b.3132 arpa    //将主机A的IP和MAC绑定

这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不通,(tcp/udp协议不通,但netbios网络共项可以访问)

该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。

3、快速将MAC和端口绑定

企业中如何快速将MAC地址与交换机端口绑定呢?在实际的运用中常用黏性可靠的MAC地址绑定:举CISCO 2950为例
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security 
2950 (config-if-range)#switchport port-security mac-address violation protect 

2950 (config-if-range)#switchport port-security mac-address sticky     //使用sticky粘性参数,由于maximum默认为1,所以每个端口只学习第一个MAC地址

这样交换机的48个端口都绑定了,注意:在实际运用中要求把连在交换机上的PC机都打开,这样才能学到MAC地址,并且要在学到MAC地址后保存配置文件,这样下次就不用再学习MAC地址了。

4、最后用show port-security address查看绑定的端口,确认配置正确。

打赏

感谢您的赞助~

打开支付宝扫一扫,即可进行扫码打赏哦~

版权声明 : 本文未使用任何知识共享协议授权,您可以任何形式自由转载或使用。

 可能感兴趣的文章

10张图片教会你配置ipsec vpn【转】
10张图片教会你配置ipsec vpn【转】

跨地区联网办公最经济实惠的方式,莫过于ipsec vpn,笔者此前也不止一次地写过ipsec vpn的配置方法,但是总有网友说太复杂了,今天我非要给各位看官来个简单版的教程,只用10张图片,就能展示华...

远程控制软件(Todesk和RustDesk)小技巧
远程控制软件(Todesk和RustDesk)小技巧

0x00 前言假设已经通过某个漏洞拿到目标主机的Webshell权限,但是由于目标主机安装了云锁、护卫神等防护软件无法进行远程桌面连接,这时可以看下目标主机是否安装了第三方软件ToDesk、RustD...

DD-WRT特色功能
DD-WRT特色功能

一、登录DD-WRT设备: 登录DD-WRT设备的方法和其他无线路由器没有什么区别,我们只需要知道其默认管理IP地址即可。当然当我们把设备刷新成DD-WRT驱动后会自动开启DHCP服务功能,可以自动提...

热门文章

标签列表