正文

如何实现CISCO交换机端口安全策略? 2007-10-26 21:53:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/ccna/30511.html

分享到:

当设置了安全端口上安全地址的最大个数后,你可以使用下面几种方式加满端口上的安全地址:可以使用接口配置模式下的命令switchport port-security mac-address mac-address来手工配置端口的所有安全地址。
  可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。
  当违例产生时,可以设置下面几种针对违例的处理模式:

   protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包

         restrict:当违例产生时,将发送一个通知Trap            shutdown:当违例产生时,将关闭端口并发送一个通知。

步骤1:configure terminal 进入全局配置模式。
步骤2:interface interface-id 进入接口配置模式。
步骤3:switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)
步骤4: switchport port-security 打开该接口的端口安全功能
步骤5: switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-132(不同厂家这个数值略微有不同。)
步骤6: switchport port-security violation{protect | restrict | shutdown}
  设置处理违例的方式:
  protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
  Restrict:当违例产生时,将发送一个通知Trap
  shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
步骤7: end 回到特权模式。
步骤8: show port-security interface 验证你的配置。
步骤9: wr 保存配置。
   注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了。

阅读(4233) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册