分类: 系统运维
2008-05-22 11:11:23
保护端口和端口安全在园区网内用的还是比较广泛的,现就详细介绍一些这两种技术,供大家参考参考。(具体的配置和特性以锐捷网络的设备为例,与CISCO有一些小的不同,但总体意思都是一样)
保护端口:
有些应用环境下,要求一台交换机上的有些端口之间不能互相通讯。在这种环境下,这些端口之间的通讯,不管是单址帧,还是广播帧,以及多播帧,都只有通过三层设备进行通讯。
当您
将某些端口设为保护口之后,保护口之间互相无法通讯,保护口与非保护口之间可以正常通讯。
步骤1
configure terminal 进入全局配置模式。
步骤2
interface interface-id 指明一个接口,并进入接口 配置模式。
步骤3
switchport protected 将该接口设置为保护口
步骤4
end 退回到特权模式。
步骤5
show interfaces switchport 验证配置
步骤6
copy running-config startup-config 保存配置。
端口安全:
利用端口安全这个特性,你可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报文。此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全MAC地址)将独享该端口的全部带宽。
为了增强安全性,你可以将地址和地址绑定起来作为安全地址。当然你也可以只指定地MACIPMAC址而不绑定地址。IP如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。当安全违例将产生时,你可以选择多种方式来处理违例,比如丢弃接收到的报文,发送违例通知或关闭相应端口等。
当你设置了安全端口上安全地址的最大个数后,你可以使用下面几种方式加满端口上的安全地址:
你可以使用接口配置模式下的命令switchport port-security mac-address mac-address来手工配置端口的所有安全地址。
你也可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。
当违例产生时,你可以设置下面几种针对违例的处理模式:
protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包
restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。
步骤1
configure terminal 进入全局配置模式。
步骤2
interface interface-id 进入接口配置模式。
步骤3
switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)
步骤4
switchport port-security 打开该接口的端口安全功能
步骤5
switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-128,缺省值为128。(此处好像和CISCO有些不同)
步骤6
switchport port-security violation{protect | restrict | shutdown}
设置处理违例的方式:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
步骤7
end 回到特权模式。
步骤8
show port-security interface 验证你的配置。
步骤9
copy running-config startup-config 保存配置可选。()
在端口安全里,还可以绑定IP或MAC或一起绑定,还可以设置安全地址的老化时间等。具体还有很多的应用,可以参考相关的操作手册。
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效,因为一般不同VLAN访问都做了路由.而相同VLAN内的保护端口是不能访问的了.