Cisco交換機上配置端口安全性的方法:
靜態安全MAC地址:靜態MAC地址是使用switchport port-security mac-address mac-address接口配置命令手動配置的。以此方法配置的MAC地址存儲在地址表中,並添加到交換機的運行配置中。
動態安全MAC地址:動態MAC地址是動態獲取的,並且僅存儲在地址表中。以此方式配置的MAC地址在交換機重新啓動時將被移除。
粘滯安全MAC地址:可以將端口配置爲動態獲得MAC地址,然後將這些MAC地址保存到運行配置中。
粘滯安全MAC地址有以下特性:
(1)當使用 switchport port-security mac-address sticky 接口配置命令啓用粘滯獲取時,
靜態安全MAC地址:靜態MAC地址是使用switchport port-security mac-address mac-address接口配置命令手動配置的。以此方法配置的MAC地址存儲在地址表中,並添加到交換機的運行配置中。
動態安全MAC地址:動態MAC地址是動態獲取的,並且僅存儲在地址表中。以此方式配置的MAC地址在交換機重新啓動時將被移除。
粘滯安全MAC地址:可以將端口配置爲動態獲得MAC地址,然後將這些MAC地址保存到運行配置中。
粘滯安全MAC地址有以下特性:
(1)當使用 switchport port-security mac-address sticky 接口配置命令啓用粘滯獲取時,
接口將所有動態安全MAC地址(包括那些在啓用粘滯獲取之前動態獲得的MAC地址)轉換爲粘滯安全MAC地址,並將所有粘滯安全MAC地址添加到運行配置。
(2)當使用noswitchport port-security mac-address sticky 接口配置命令禁用粘滯獲取時,
(2)當使用noswitchport port-security mac-address sticky 接口配置命令禁用粘滯獲取時,
粘滯安全MAC地址仍作爲地址表的一部分,但是已從運行配置中移除。
已經被刪除的地址可以作爲動態地址被重新配置和添加到地址表。
(3)當使用 switchport port-security mac-address stickymac-address接口配置命令配置粘滯安全MAC地址時,
(3)當使用 switchport port-security mac-address stickymac-address接口配置命令配置粘滯安全MAC地址時,
這些地址將添加到地址表和運行配置中。如果禁用端口安全性,則粘滯安全MAC地址仍保留在運行配置中。
(4)若果將粘滯安全MAC地址保存在啓動配置文件中,則當交換機重新啓動或者接口關閉時,接口不需要重新獲取這些地址。
(4)若果將粘滯安全MAC地址保存在啓動配置文件中,則當交換機重新啓動或者接口關閉時,接口不需要重新獲取這些地址。
如果不保存粘滯安全地址,則它們將丟失。
如果粘滯獲取被禁用,粘滯安全MAC地址則被轉換爲動態安全地址,並被從運行配置中刪除。
(5)如果禁用粘滯獲取並輸入switchport port-security mac-address sticky mac-address接口配置命令,則會出現錯誤消息,並且粘滯安全MAC地址不會添加到運行配置。
當出現以下任一情況時,則會發生安全違規:
(1)地址表中添加了最大數量的安全MAC地址,有工作站試圖訪問接口,而該工作站的MAC地址未出現在該地址表中。
(2)在一個安全接口上獲取或配置的地址出現在同一個VLAN中的另一個安全接口上。
根據出現違規時要採取的操作,可以將接口配置爲3種違規模式之一:
保護:當安全MAC地址的數量達到端口允許的限制時,帶有未知源地址的數據包將被丟棄,直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 不會得到發生安全違規的通知。
限制:當安全MAC地址的數量達到端口允許的限制時,帶有未知源地址的數據包將被丟棄,直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 在此模式下,您會得到發生安全違規的通知。具體而言就是,將有SNMP陷阱發出、syslog消息記入日誌,以及違規計數器的計數增加。
關閉:在此模式下,端口安全違規將造成接口立即變爲錯誤禁用(error-disabled)狀態,並關閉端口LED。該模式還會發送SNMP陷阱、將syslog消息記入日誌,以及增加違規計數器的計數。當安全端口處於錯誤禁用狀態時,先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態。此模式爲默認模式。
(5)如果禁用粘滯獲取並輸入switchport port-security mac-address sticky mac-address接口配置命令,則會出現錯誤消息,並且粘滯安全MAC地址不會添加到運行配置。
當出現以下任一情況時,則會發生安全違規:
(1)地址表中添加了最大數量的安全MAC地址,有工作站試圖訪問接口,而該工作站的MAC地址未出現在該地址表中。
(2)在一個安全接口上獲取或配置的地址出現在同一個VLAN中的另一個安全接口上。
根據出現違規時要採取的操作,可以將接口配置爲3種違規模式之一:
保護:當安全MAC地址的數量達到端口允許的限制時,帶有未知源地址的數據包將被丟棄,直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 不會得到發生安全違規的通知。
限制:當安全MAC地址的數量達到端口允許的限制時,帶有未知源地址的數據包將被丟棄,直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 在此模式下,您會得到發生安全違規的通知。具體而言就是,將有SNMP陷阱發出、syslog消息記入日誌,以及違規計數器的計數增加。
關閉:在此模式下,端口安全違規將造成接口立即變爲錯誤禁用(error-disabled)狀態,並關閉端口LED。該模式還會發送SNMP陷阱、將syslog消息記入日誌,以及增加違規計數器的計數。當安全端口處於錯誤禁用狀態時,先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態。此模式爲默認模式。