Cisco交換機(jī)配置端口安全性的三種方法：靜態(tài)、動(dòng)態(tài)、粘滯端口安全

發(fā)布時(shí)間：2014-09-29 15:53:12 作者：佚名

企業(yè)網(wǎng)絡(luò)安全涉及到方方面面。從交換機(jī)來(lái)說(shuō)，首選需要保證交換機(jī)端口的安全。在這篇文章中，腳本之家的小編就是大家談?wù)凜isco交換機(jī)配置端口安全性的三種方法的特性及優(yōu)缺點(diǎn)，需要的朋友可以參考下

　　企業(yè)網(wǎng)絡(luò)安全涉及到方方面面。從交換機(jī)來(lái)說(shuō)，首選需要保證交換機(jī)端口的安全。在不少企業(yè)中，員工可以隨意的使用集線器等工具將一個(gè)上網(wǎng)端口增至多個(gè)，或者說(shuō)使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中。類似的情況都會(huì)給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)不利的影響。在這篇文章中，腳本之家的小編就是大家談?wù)凜isco交換機(jī)配置端口安全性的三種方法的特性及優(yōu)缺點(diǎn)。

　　Cisco交換機(jī)上配置端口安全性的方法：

　　靜態(tài)安全MAC地址：靜態(tài)MAC地址是使用switchport port-security mac-address mac-address接口配置命令手動(dòng)配置的。以此方法配置的MAC地址存儲(chǔ)在地址表中，并添加到交換機(jī)的運(yùn)行配置中。

　　動(dòng)態(tài)安全MAC地址：動(dòng)態(tài)MAC地址是動(dòng)態(tài)獲取的，并且僅存儲(chǔ)在地址表中。以此方式配置的MAC地址在交換機(jī)重新啟動(dòng)時(shí)將被移除。

　　粘滯安全MAC地址：可以將端口配置為動(dòng)態(tài)獲得MAC地址，然后將這些MAC地址保存到運(yùn)行配置中。

　　粘滯安全MAC地址有以下特性：

　　(1)當(dāng)使用 switchport port-security mac-address sticky 接口配置命令啟用粘滯獲取時(shí)，接口將所有動(dòng)態(tài)安全MAC地址(包括那些在啟用粘滯獲取之前動(dòng)態(tài)獲得的MAC地址)轉(zhuǎn)換為粘滯安全MAC地址，并將所有粘滯安全MAC地址添加到運(yùn)行配置。

　　(2)當(dāng)使用noswitchport port-security mac-address sticky 接口配置命令禁用粘滯獲取時(shí)，粘滯安全MAC地址仍作為地址表的一部分，但是已從運(yùn)行配置中移除。

　　已經(jīng)被刪除的地址可以作為動(dòng)態(tài)地址被重新配置和添加到地址表。

　　(3)當(dāng)使用 switchport port-security mac-address stickymac-address接口配置命令配置粘滯安全MAC地址時(shí)，這些地址將添加到地址表和運(yùn)行配置中。如果禁用端口安全性，則粘滯安全MAC地址仍保留在運(yùn)行配置中。

　　(4)若果將粘滯安全MAC地址保存在啟動(dòng)配置文件中，則當(dāng)交換機(jī)重新啟動(dòng)或者接口關(guān)閉時(shí)，接口不需要重新獲取這些地址。

　　如果不保存粘滯安全地址，則它們將丟失。

　　如果粘滯獲取被禁用，粘滯安全MAC地址則被轉(zhuǎn)換為動(dòng)態(tài)安全地址，并被從運(yùn)行配置中刪除。

　　(5)如果禁用粘滯獲取并輸入switchport port-security mac-address sticky mac-address接口配置命令，則會(huì)出現(xiàn)錯(cuò)誤消息，并且粘滯安全MAC地址不會(huì)添加到運(yùn)行配置。

　　當(dāng)出現(xiàn)以下任一情況時(shí)，則會(huì)發(fā)生安全違規(guī)：

　　(1)地址表中添加了最大數(shù)量的安全MAC地址，有工作站試圖訪問(wèn)接口，而該工作站的MAC地址未出現(xiàn)在該地址表中。

　　(2)在一個(gè)安全接口上獲取或配置的地址出現(xiàn)在同一個(gè)VLAN中的另一個(gè)安全接口上。

　　根據(jù)出現(xiàn)違規(guī)時(shí)要采取的操作，可以將接口配置為3種違規(guī)模式之一：

　　保護(hù)：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的限制時(shí)，帶有未知源地址的數(shù)據(jù)包將被丟棄，直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)。不會(huì)得到發(fā)生安全違規(guī)的通知。

　　限制：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的限制時(shí)，帶有未知源地址的數(shù)據(jù)包將被丟棄，直至移除足夠數(shù)量的安全MAC地址或增加允許的最大地址數(shù)。在此模式下，您會(huì)得到發(fā)生安全違規(guī)的通知。具體而言就是，將有SNMP陷阱發(fā)出、syslog消息記入日志，以及違規(guī)計(jì)數(shù)器的計(jì)數(shù)增加。

　　關(guān)閉：在此模式下，端口安全違規(guī)將造成接口立即變?yōu)殄e(cuò)誤禁用(error-disabled)狀態(tài)，并關(guān)閉端口LED。該模式還會(huì)發(fā)送SNMP陷阱、將syslog消息記入日志，以及增加違規(guī)計(jì)數(shù)器的計(jì)數(shù)。當(dāng)安全端口處于錯(cuò)誤禁用狀態(tài)時(shí)，先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態(tài)。

　　以上就是Cisco交換機(jī)配置端口安全性的三種方法，分別為靜態(tài)、動(dòng)態(tài)、粘滯端口安全的優(yōu)缺點(diǎn)，謝謝閱讀，希望能幫到大家，請(qǐng)繼續(xù)關(guān)注腳本之家，我們會(huì)努力分享更多優(yōu)秀的文章。