《cisco端口安全配置详解》由会员分享,可在线阅读,更多相关《cisco端口安全配置详解(4页珍藏版)》请在装配图网上搜索。
1、 cisco交换机端口的平安配置一、switchport port-security设置端口平安功能,端口平安的违例处理等。运用该吩咐的no选项关闭端口平安的设置,或者将平安违例处理方式复原成缺省值。switchport port-security violation protect | restrict | shutdownno switchport port-security violation参数说明 参数描述 port-security接口平安开关 violation protect发觉违例,则丢弃违例的报文。 violation restrict发觉违例,则丢弃违例的报文并且发送tr
2、ap。 violation shutdown发觉违例,则丢弃报文、发送Trap并且关闭接口。 缺省配置 接口的平安缺省是关闭的。吩咐模式 接口配置模式运用指导 利用端口平安这个特性,可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格限制对该接口的输入。当为平安端口(打开了端口平安功能的端口)配置了一些平安地址后,则除了源地址为这些平安地址的包外,这个端口将不转发其它任何报。此外,还可以限制一个端口上能包含的平安地址最大个数,假如将最大个数设置为1并且为该端口配置一个平安地址,则连接到这个口的工作站(其地址为配置的平安M地址)将独享该端口的全部带宽。 配置举例 下面的例子是
3、在接口Gigabitethernet 1/1 上打开端口平安功能,并设置违例处理为shutdown:Ruijie(config)# interface gigabitethernet1/1Ruijie(config-if)# switchport port-securityRuijie(config-if)# switchport port-security violation shutdown二、 switchport port-security aging 该吩咐为一个接口上的全部平安地址配置老化时间。打开这个功能,就须要设置平安地址的最大个数,这样,就可以让设备自动的增加和删除接口上的平
4、安地址。运用该吩咐的no选项设置老化时间只应用于自动学习的地址,或者关闭老化功能。switchport port-security aging static | time time no switchport port-security aging static | time参数说明 参数描述 Static表示老化时间将同时应用于手工配置的平安地址和自动学习的地址,否则则只应用于自动学习的地址。 time time表示这个端口上平安地址的老化时间,范围是01440,单位是分钟。假如设置为0,则老化功能事实上被关闭。缺省配置 不老化任何平安地址吩咐模式 接口配置模式运用指导 可以在接口配置模式下
5、运用吩咐no switchport port-security aging time关闭一个接口的平安地址老化功能,运用吩咐no switchport port-security aging static来是老化时间仅应用于动态学习到的平安地址。运用show port-security吩咐查看设置。配置举例 Ruijie(config)# interface gigabitethernet1/1Ruijie(config-if)# switchport port-security aging time8Ruijie(config-if)# switchport port-security ag
6、ing static相关吩咐 吩咐描述 show port-security显示端口平安的设置信息和平安地址。三、switchport port-security maximum 设置端口最大平安地址个数,运用no选项可复原缺省个数:switchport port-security maximum valueno switchport port-security maximum 参数说明 参数描述 value平安地址个数1-128缺省配置 128吩咐模式 接口模式运用指导 平安地址个数包含静态配置和动态学习的平安地址个数的总和,缺省为128个,假如设置的平安地址个数小于当前已有的平安地址个数,
7、将提示设置失败配置举例 例1:设置口10的端口平安地址个数为2:Ruijie(config)#interg0/10Ruijie(config-if)# switchport port-security maximum2 四、 switchport port-security mac-address 接口模式下手工配置静态平安地址,运用no选项删除配置的地址:no switchport port-security mac-address mac-addressvlan vlan-id参数说明 参数描述 mac-address静态平安地址 vlan-idMAC地址的VID留意:仅在TRUNK口下才
8、支持设置vlan-id的设置缺省配置 无吩咐模式 接口模式配置举例 例1:设置TRUNK接口10的静态平安地址00d0.f800.5555 VID=2:Ruijie(config)#inter g0/10Ruijie(config-if)# switchport port-security mac-address00d0.f800.5555 vlan2 五、 show port-security 显示端口平安的设置信息和平安地址。show port-security address interfaceinterface-id all参数说明 参数描述 address显示全部的平安地址,或者是指
9、定接口的全部平安地址。 interfaceinterface-id显示指定接口的端口平安设置信息。 all显示全部接口的端口平安设置信息。吩咐模式 特权模式运用指导 假如运用该吩咐时不加参数,则显示全部接口的平安设置状态、违例处理等信息,同时显示全部平安地址表的信息。配置举例 Ruijie# show port-securitySecure Port MaxSecureAddr(count) CurrentAddr(count) Security Action- - - -Gi1/1 128 1 RestrictGi1/2 128 0 RestrictGi1/3 8 1 Protect六、sw
10、itchport protected该吩咐是将接口设为爱护接口。运用该吩咐的no选项关闭爱护接口。switchport protectedno switchport protected 缺省配置 缺省关闭爱护接口 吩咐模式 接口配置模式 运用指导 当将某些端口设为爱护口之后,缺省状况下爱护口和爱护口之间不能进行二层交换可以进行3层路由,爱护口与非爱护口之间可以正常通讯。运用show interfaces switchport吩咐查看设置。 配置举例 Ruijie(config)# interface gigabitethernet 1/1Ruijie(config-if)# switchport protected 相关吩咐 吩咐描述 show interfaces switchport查看接口设置和统计信息。
cisco端口安全配置详解
