最常用的對埠安全的理解就是可根據MAC地址來做對網路流量的控制和管理,比如MAC地址與具體的埠繫結,限制具體埠通過的MAC地址的數量,或者在具體的埠不允許某些MAC地址的幀流量通過。稍微引申下埠安全,就是可以根據802.1X來控制網路的訪問流量。
首先談一下MAC地址與埠繫結,以及根據MAC地址允許流量的配置。
1.MAC地址與埠繫結,當發現主機的MAC地址與交換機上指定的MAC地址不同時,交換機相應的埠將down掉(埠因啟用安全設定down掉後,需在特權模式下reload重啟後在埠合法連線的情況下方能開啟)。當給埠指定MAC地址時,埠模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定埠模式。
3550-1(config-if)#switchport port-security /開啟埠的安全功能
3550-1(config-if)#switchport port-security mac-address 0090.F510.79C1 /在埠繫結MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。
2.通過MAC地址來限制埠流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的資料幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的資料幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 0090.F510.79C vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 0090.F510.79C vlan 2 int f0/1 /在相應的介面丟棄流量。