当前课程知识点:计算机网络工程实践 > 10 期末考试 > 期末考试题01 > 2.4 端口安全及实践
2.4 端口安全及实践
端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备安全性。
1端口学习安全MAC地址的方式
安全MAC地址分为:安全动态MAC、安全静态MAC与Sticky MAC。定义及区别如下:
² 安全动态MAC地址:使能端口安全而未使能Sticky MAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重新学习。
² 安全静态MAC地址:使能端口安全而未使能Sticky MAC功能时,手工配置的静态MAC地址,安全静态MAC地址不会被老化。
² Sticky MAC地址:使能端口安全后又使能Sticky MAC功能后,学习到的MAC地址。Sticky MAC地址不会被老化,保存配置后重启设备,Sticky MAC地址不会丢失,无需重新学习。
未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。
2配置端口安全
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
缺省情况下,安全动态MAC表项不会被老化,但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化,设备重启后安全动态MAC地址会丢失,需要重新学习。安全静态MAC表项不老化且保存配置后重启不会丢失。Sticky MAC不会被老化,保存配置后重启设备,Sticky MAC也不会丢失,无需重新学习。
具体配置方法如下。
(1)执行命令interface interface-type interface-number,进入接口视图。
(2)执行命令port-security enable,使能端口安全功能。缺省情况下,未使能端口安全功能。
(3)执行命令port-security mac-address mac-address vlan vlan-id,手工配置安全静态MAC地址表项。
(4)执行命令port-security mac-address sticky,使能接口Sticky MAC功能。缺省情况下,接口未使能Sticky MAC功能。
(5)执行命令port-security max-mac-num max-number,配置端口安全动态MAC学习限制数量。缺省情况下,接口学习的安全MAC地址限制数量为1。
(6)执行命令port-security protect-action {protect | restrict | shutdown},配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。
端口安全保护动作有以下三种:
² protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。
² restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。
² shutdown:当学习到的MAC地址数超过接口限制数时,将接口error down,同时发出告警。
默认情况下,接口关闭后不会自动恢复,只能由网络管理人员执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。
如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。
3端口安全配置示例
通过MSTP配置、链路聚合配置,形成的拓扑图的基础上,在LSW2交换机上添加交换机LSW5以及PC5、PC6、PC7等电脑,形成本实验拓扑图,如图所示。其中添加设备用于端口安全配置测试。
1. 实验名称
端口安全配置实验
2. 实验目的
(1)学习掌握MAC地址表以及端口安全知识;
(2)掌握端口安全配置方法。
3. 实验拓扑图
端口安全配置实验拓扑
4. 实验内容
用于端口配置测试的设备连接在LSW2的G0/0/4接口,所以端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。
(1)开启端口安全
(2)设置Sticky MAC功能
(3)设置动态学习的最大MAC地址数量为2。
(4)配置安全保护功能,当学习到MAC地址数量超过最大限制数量时,关闭接口。
(5)设置接口自动恢复功能,要求接口关闭后,2分钟后自动开启接口。
5 实验步骤
(1)初始配置
为便于测试实验,将LSW2交换即端口G0/0/4划入VLAN40,给PC5、PC6、PC7分别配置IP地址:192.168.40.5/24,192.168.40.6/24;192.168.40.7/24。
(2)端口安全配置
端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。
[LSW2]int g/0/4
[LSW2-GigabitEthernet0/0/4]port-secirity enable
[LSW2-GigabitEthernet0/0/4]port-security mac-address sticky
[LSW2-GigabitEthernet0/0/4]port-security max-mac-num 2
[LSW2-GigabitEthernet0/0/4]port-security protect-action shutdown
[LSW2-GigabitEthernet0/0/4]quit
[LSW2]error-down auto-recovery cause port-security interval 120
(3)端口安全测试
用PC5、PC6、PC7分别去访问其他VLAN主机,前面任意两台可以访问网络,当第三台主机访问网络时,LSW2的G0/0/4端口shutdown。
由于设置为2分钟自动恢复,因此,等待2分钟后,LSW2的G0/0/4端口up。
-1.1 计算机网络基础
-1.3 网络路由技术
-1.4 局域网技术
-1.5 ACL技术
-1.6 NAT技术
-第1章作业:计算机网络互联基础
-2.1 高级VLAN技术
-第2章作业:局域网高级技术
-(3.4-3.8) 各类网络互联实践-拓扑图及初始配置
--(3.4-3.8)-1 各类网络互联配置实践-拓扑图构建
--(3.4-3.8)-2 各类网络互联配置实践--初始配置
-3.4 X.25 网络
-3.6 FR网络
-3.7 ATM网络
-3.8 SDH网络
-第3章作业:城域网和广域网技术
-4.4 OSPF 路由协议
-4.5 ISIS路由协议
-第4章作业:内部路由技术
-5.4 BGP路由配置实践
-第5章作业:外部路由协议
-6.6 路由控制实践
-第6章作业:路由控制技术
-7.3 出口选路控制实践
-第7章作业:出口选路控制
-8.3 VRRP技术及其实践
-第8章作业:网络可靠性技术
-9.4 防火墙配置示例
-第9章作业:防火墙技术
-期末考试题01