交换机端口安全
概念:针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。
端口安全的分类:
1)限制交换机端口的最大连接数
2)针对交换机端口进行MAC地址、IP地址的绑定。交换机端口的地址绑定,可针对IP地址、MAC地址、IP+MAC地址进行灵活绑定。
端口安全的限制:
以下端口类型不能配置端口安全:聚合端口(aggregate port)、镜像端口(span port)、接入端口(Access port)。
安全违例的处置方式:Protect(丢弃,不产生告警)、Restrict(丢弃,产生告警,默认情况下为Restrict)、shutdown(丢弃,并关闭接口)。
端口安全的配置方法:
(1)接口动态安全MAC地址
1)进入接口,开启接口安全功能
port-security enable
2)限制安全MAC地址最大数量(默认为1)
Port-security max-mac-num 数量
3)配置处理动作
Port-security protect-action 动作(Protect,Restrict,shutdown)
4)配置老化时间(默认不老化)
Port-security aging-time 时间(单位:秒)
(2)StickyMAC地址(静态MAC地址绑定)
1)进入接口,开启接口安全
Port-security enable
2)修改接口安全模式为sticky
Port-security mac-address sticky
3)绑定接口与MAC地址
Port-security mac-address sticky 主机的MAC地址 主机所属VLANID
4)配置处理动作(默认为:restrict)
Port-security protect-action 动作(Protect,Restrict,shutdown)
验证:
PC1可以访问PC4
PC2不可以访问PC4
PC3可以访问PC4
PC6不可以访问PC4
