交換機端口安全怎么配置

173次閱讀

共計 1965 個字符，預計需要花費 5 分鐘才能閱讀完成。

這篇文章主要講解了“交換機端口安全怎么配置”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著丸趣 TV 小編的思路慢慢深入，一起來研究和學習“交換機端口安全怎么配置”吧！

最常用的對端口安全的理解就是可根據 MAC 地址來做對網絡流量的控制和管理，比如 MAC 地址與具體的端口綁定，限制具體端口通過的 MAC 地址的數量，或者在具體的端口不允許某些 MAC 地址的幀流量通過。稍微引申下端口安全，就是可以根據 802.1X 來控制網絡的訪問流量。
首先談一下 MAC 地址與端口綁定，以及根據 MAC 地址允許流量的配置。
1.MAC 地址與端口綁定，當發現主機的 MAC 地址與交換機上指定的 MAC 地址不同時，交換機相應的端口將 down 掉。當給端口指定 MAC 地址時，端口模式必須為 access 或者 Trunk 狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access / 指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 / 配置 MAC 地址。
3550-1(config-if)#switchport port-security maximum 1 / 限制此端口允許通過的 MAC 地址數為 1。
3550-1(config-if)#switchport port-security violation shutdown / 當發現與上述配置不符時，端口 down 掉。

2. 通過 MAC 地址來限制端口流量，此配置允許一 TRUNK 口最多通過 100 個 MAC 地址，超過 100 時，但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk / 配置端口模式為 TRUNK。
3550-1(config-if)#switchport port-security maximum 100 / 允許此端口通過的最大 MAC 地址數目為 100。
3550-1(config-if)#switchport port-security violation protect / 當主機 MAC 地址數目超過 100 時，交換機繼續工作，但來自新的主機的數據幀將丟失。

上面的配置根據 MAC 地址來允許流量，下面的配置則是根據 MAC 地址來拒絕流量。

1. 此配置在 Catalyst 交換機中只能對單播流量進行過濾，對于多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop / 在相應的 Vlan 丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 / 在相應的接口丟棄流量。

最后說一下 802.1X 的相關概念和配置。
802.1X 身份驗證協議最初使用于無線網絡，后來才在普通交換機和路由器等網絡設備上使用。它可基于端口來對用戶身份進行認證，即當用戶的數據流量企圖通過配置過 802.1X 協議的端口時，必須進行身份的驗證，合法則允許其訪問網絡。這樣的做的好處就是可以對內網的用戶進行認證，并且簡化配置，在一定的程度上可以取代 Windows 的 AD。
配置 802.1X 身份驗證協議，首先得全局啟用 AAA 認證，這個和在網絡邊界上使用 AAA 認證沒有太多的區別，只不過認證的協議是 802.1X；其次則需要在相應的接口上啟用 802.1X 身份驗證。（建議在所有的端口上啟用 802.1X 身份驗證，并且使用 radius 服務器來管理用戶名和密碼）
下面的配置 AAA 認證所使用的為本地的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model / 啟用 AAA 認證。
3550-1(config)#aaa authentication dot1x default local / 全局啟用 802.1X 協議認證，并使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto / 在所有的接口上啟用 802.1X 身份驗證。

感謝各位的閱讀，以上就是“交換機端口安全怎么配置”的內容了，經過本文的學習后，相信大家對交換機端口安全怎么配置這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是丸趣 TV，丸趣 TV 小編將為大家推送更多相關知識點的文章，歡迎關注！

正文完