網絡管理員面臨的一個日漸嚴峻的挑戰是決定哪些人可以訪問單位內部的網絡,哪些人不可以。如果公司需要演示某個外來客戶的產品,將以太網電纜從公司內部一臺計算機上拔下來,插到的客戶電腦上。這樣一來,他計算機內部的蠕蟲、病毒什么的對你的局域網就是一個極大威脅了。今天我們看一下怎樣通過配置交換機端口來解決類似的安全問題。
從基本原理上講,Port Security(端口安全)特性記住的是連接到交換機端口的以太網MAC地址即網卡號,并只允許某個MAC地址通過本端口通信。如果任何其它MAC地址試圖通過此端口通信,端口安全特性會阻止它。使用端口安全特性可以防止某些設備訪問網絡,并增強安全性。
配置端口安全是相對比較簡單的。最簡單的形式,就是Port Security需要指向一個已經啟用的端口并輸入Port Security接口模式命令。
Switch)# config t Switch(config-if)# switchport port-security |
在此我們通過輸入最基本的命令來配置端口安全,接授了只允許一個MAC地址的默認設置,這就決定了只有第一個設備的MAC地址可以與這個端口通信;如果另一MAC地址試圖通過此端口通信,交換機會關閉此端口。下面談一下如何可以改變此設置。
當然應該根據實際情況來配置端口安全。此例中,實際上用戶還可以配置其它的端口安全命令:
switchport port-security maximum {允許的最多MAC地址數量}:可以使用這個選項允許多個MAC地址。例如,如果用戶有一個12端口的集線器連接到交換機的此端口,就需要12個MAC:switchport port-security maximum 12 /允許此端口通過的最大MAC地址數目為12。
switchport port-security violation {shutdown | restrict | protect}:此命令告訴交換機當端口上MAC地址數超過了最大數量之后交換機應該怎么做。默認是關閉端口。我們可以選擇使用restrict來警告網絡管理員,也可以選擇protect來允許通過安全端口通信并丟棄來自其它MAC地址的數據包。
switchport port-security mac-address {MAC 地址}:使用此選項來手動定義允許使用此端口的MAC地址而不是由端口動態地定義MAC地址。
當然,你可以在一系列端口上配置端口安全。下面舉一個例子:
Switch)# config t |
然而,如果在一個UPLINK端口上輸入此命令,用戶必須十分小心使用此選項,因為它指向不只一個設備,第二個設備一旦發送一個數據包,整個端口就會關閉,這樣可就麻煩了。
一旦你配置了端口安全而此端口上的以太網設備又發出了數據,交換機會記錄下MAC地址而且通過使用這個地址來保障端口安全。要查看交換機上端口安全狀態,可以使用show port security address 和show port-security interface命令。舉例說明如下:
Switch# show port-security address |
