Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1351738
  • 博文数量: 632
  • 博客积分: 2778
  • 博客等级: 大尉
  • 技术积分: 3387
  • 用 户 组: 普通用户
  • 注册时间: 2012-05-31 09:09
个人简介

123

文章分类

全部博文(632)

文章存档

2014年(36)

2013年(33)

2012年(563)

分类:

2012-07-08 09:13:50

原文地址:CISCO交换机端口安全策略 作者:utm168

当设置了端口上的最大个数后,你可以使用下面几种方式加满端口上的安全:可以使用接口模式下的命令switchport port-security mac-address mac-address来手工端口的所有安全地址。
可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地 址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址,剩下的部分让交换 机自己学习。
当违例产生时,可以设置下面几种针对违例的处理模式:

  protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包

          restrict:当违例产生时,将发送一个通知Trap             shutdown:当违例产生时,将关闭端口并发送一个通知。

1:configure terminal 进入全局配置模式。
步骤2:interface interface-id 进入接口配置模式。
步骤3:switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)
步骤4: switchport port-security 打开该接口的端口安全功能
步骤5: switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-132(不同厂家这个数值略微有不同。)
步骤6: switchport port-security violation{protect | restrict | shutdown}
设置处理违例的方式:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
Restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
步骤7: end 回到特权模式。
步骤8: show port-security interface 验证你的配置。
步骤9: wr 保存配置。
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了。
阅读(1268) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~