最新消息:阿啰哈,本人90后,目前单身,欢迎妹子们来撩!.(。→‿←。) 微信:frank01991

交换机端口安全

Cisco 林志斌 1010浏览


S1(config)#interface range f0/1-3
S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport port-security
S1(config-if-range)#int f0/1
S1(config-if)#switchport port-security max 1
S1(config-if)#switchport port-security mac 0001.6331.6543
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#
int f0/2
S1(config-if)#switchport port-security max 1
S1(config-if)#switchport port-security mac sticky
S1(config-if)#switchport port-security violation ?
  protect   Security violation protect mode
  restrict  Security violation restrict mode
  shutdown  Security violation shutdown mode
S1(config-if)#switchport port-security violation 
protect
S1(config-if)#int f0/3
 S1(config-if)#switchport port-security max 1
S1(config-if)#switchport port-security mac sticky
S1(config-if)#switchport port-security violation restrict

=====================================================================================

网络中的机器现在还没有试图彼此通信,所以,暂时还没有CAM表中还没有其它MAC地址记录,sticky模式也就没有自动获取到MAC地址。
S1(config-if)#do sh mac
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0001.6331.6543    STATIC      Fa0/1

 

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address 0001.6331.6543
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation protect 
!
interface FastEthernet0/3
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation restrict 
!
========================================================================================

现在,让1.1机器PING网络中的所有PC,S1的CAM表中就生成了MAC记录,sticky模式也就自动获取到了连接到相应接口中机器的MAC。
!
interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address 0001.6331.6543
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation protect 
 switchport port-security mac-address sticky 0060.2F72.07B4
!
interface FastEthernet0/3
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation restrict 
 switchport port-security mac-address sticky 0001.C7E4.E10C
!

==========================================================================================

上图,当f0/1端口接入另一台PC时,该端口将自动处于shutdown状态。

上图,当f0/2端口接入另一台PC时,该端口不会通过该设备的任何流量。

注意到上图了吗?我们之前的f0/1端口已经连接回1.1 PC了,但为什么该接口状态仍然为shudown呢?我们现在可以使用sh port-security命令来查看一下端口状态。

S1#sh port-security
Secure Port    MaxSecureAddr    CurrentAddr    SecurityViolation      Security Action
                                (Count)                  (Count)              (Count)
--------------------------------------------------------------------------------------------------------------
        Fa0/1                   1                           1                         
 1                        Shutdown
        Fa0/2                   1                           1                          0                        Protect
        Fa0/3                   1                           1                          0                        Restrict
---------------------------------------------------------------------------------------------------------------

要想让f0/1接口工作,就得在该接口下先shudown,再no shutdown,这样接口就手工启动了。

转载请注明:林志斌 » 交换机端口安全

发表评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址