实战演练！CISCO交换机端口安全一点通

转自：http://blog.chinabyte.com/blog.php?do-showone-uid-102825-type-blog-itemid-490195.html

 

对于不少的企业网络管理人员来讲，交换机天然是最常打交道的设备。那么，你对交换机到底了解多少呢？下面咱们就经过一个实例，先来探讨一下对于交换机端口配置和接入安全性保障的实战演练！
 
  　　场景：某单位中有一台CISCO3550交换机，出于网络安全的考虑，对某些端口的安全性要求较高，即只能接入指定的主机，好比设置一间办公室只有某 台笔记本电脑能够接入网络，当他带着笔记本出去后，即便空出了网络接口，其它的电脑也没法使用这根网线。下面咱们就看网络管理人员是如何逐步实现这一需求 的。
 
 
 
  　　1、判断交换机端口通断状态的方法
 
  　　做为网络管理员，在应用新的功能前，确定要先通过测试，即为了保证网络的稳定运行，只能在空闲的端口上面测试新功能。如何找到空闲的端口，到交换机的 前面直接去查看是一种方法，固然做为一名资深的网管人员来讲，通常是不会这么作的，咱们是经过在交换机上执行相应的指令来找到本身所需的答案的。之前我是 用show inter命令来看，可是这条命令显示的信息太多了，看起来不方便，如今我是用show inter status命令来看，这条命令能够逐条显示出每一个端口的通断状态(用“connected”和“notconnect”来表示)，本例中我就经过这条命 令找到了一个空闲的端口3来进行随后的测试。
 
  　　3550#show inter status
 
  　　Port Name Status Vlan Duplex Speed Type
 
  　　Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
 
 
 
  　　2、端口安全的基本操做
 
  　　(一)显示端口3口上面的MAC地址
 
  　　3550#show mac-address-table int fa0/3
 
  　　Mac Address Table
 
  　　-------------------------------------------
 
  　　Vlan Mac Address Type Ports
 
  　　---- ----------- -------- -----
 
  　　(因为端口上面如今没接任何网线，因此显示该端口上面没有任何MAC地址)
 
  　　(二)清除动态获到的MAC 地址
 
  　　3550#clear mac-address-table dynamic inter fa0/3
 
  　　以上两步操做的目的是确认当前端口上面没有MAC地址的记录，以便证实咱们之后进行的操做是有效的。
 
  　　(三)关闭端口、将其配置为接入端口并执行配置端口安全的命令
 
  　　端口安全的实现是经过switchport port-security命令来实现的，这是一条核心的指令，辅以与之相关的其它命令，咱们就能够实现端口安全的设置。因为大多采用的默认设置，因此本 例实现的功能是端口3上面只容许一个指定的MAC地址经过，并在出现安全违规时关闭端口，先对相关的设置命令作一下解释：
 
  　　switchport port-security命令在端口上启用端口安全，默认设置状况下只容许一个MAC地址经过，并在出现安全违规时关闭接口。)
 
  　　switchport port-security mac-add sticky命令让交换机获悉当前与端口相关联的MAC地址，该地址将包含在运行配置中。若是将运行配置保存到启动配置中，则路由器重启后，该地址也将保留下来。
 
  　　介绍完核心命令的操做，咱们再介绍一下端口安全操做的思路：首先关闭端口3。使用命令switchport mode access将端口配置为接入端口，以便配置端口安全。使用命令switchport port-securtiy启用端口安全，而后使用命令swithchport port-security mac-address sticky让端口获悉其链接机的主机的IP地址。最后，执行命令no shutdown从新启用端口，使其可以获悉主机的MAC地址，实现以上操做的命令以下。
 
  　　3550#conf t
 
  　　Enter configuration commands, one per line. End with CNTL/Z.
 
  　　3550(config)#inter fa0/3
 
  　　3550(config-if)#shutdown
 
  　　3550(config-if)#switchport mode access
 
  　　3550(config-if)#switchport port-security
 
  　　3550(config-if)#switchport port-security mac-address sticky (设置MAC地址的粘性，我对这条命令的理解是交换机会自动的学习到第一次接到到该端口的网络设备的MAC地址，并把它记录到当前的配置文件中)
 
  　　3550(config-if)#end
 
  　　(四)查看配置信息的操做
 
  　　一、查看当前配置文件中有关FA0/3端口的信息
 
  　　3550#show run inter fa0/3
 
  　　Building configuration...
 
  　　Current configuration : 281 bytes
 
  　　!
 
  　　interface FastEthernet0/3
 
  　　switchport access vlan 66
 
  　　switchport mode access
 
  　　switchport port-security
 
  　　switchport port-security mac-address sticky
 
  　　end
 
  　　二、查看有关FA0/3端口安全方面的信息
 
  　　Port Security : Enabled
 
  　　Port Status : Secure-down
 
  　　Violation Mode : Shutdown
 
  　　Aging Time : 0 mins
 
  　　Aging Type : Absolute
 
  　　SecureStatic Address Aging : Disabled
 
  　　Maximum MAC Addresses : 1
 
  　　Total MAC Addresses : 0
 
  　　Configured MAC Addresses : 0
 
  　　Sticky MAC Addresses : 0
 
  　　Last Source Address : 0000.0000.0000
 
  　　Security Violation Count : 0
 
  　　(五)实际测试
 
  　　咱们拿一台笔记本电脑，接入FA0/3端口，这台笔记本网卡的状态显示为连通，因为VLAN66网段内有DHCP服务器，也能够顺利的获取IP地址，访问网络。而后再将链接这台笔记本电脑的网线接到另一台微机上，该微机的网卡状态显示为断开，说明端口安全已经生效。
 
  　　(六)存在的问题
 
  　　原本觉得端口安全的操做到此已经完成了，可是将这根网线再插回到刚才的那台笔记本电脑上时，却发现网络仍然处于断开状态，查看端口的状态，处于 “error disable”，虽然咱们能够经过在FA0/3端口执行shutdown和no shutdown命令将这个端口恢复正常，可是这个操做太麻烦了，并且也不现实，总不能每次用户每次发现端口关闭了之后，都去找网管员执行 shutdown、no shutdonw命令。
 
 
 
  　　3、对端口安全设置的深刻研究
 
  　　在已经实现端口安全的基础上(虽然效果跟咱们的要求还有必定差距)，咱们继续对相关的功能进行研究，在查看端口安全状态的“Violation(违 背) Mode”时，发现默认的处理是shutdown，那么还有没有其它的选项呢经过“”(帮助)，咱们还真找到其它的两个选项，分别为
 
  　　3550(config-if)#switchport port-security violation
 
  　　protect Security violation protect mode
 
  　　restrict Security violation restrict mode
 
  　　shutdown Security violation shutdown mode
 
  　　经过查看相关的资料，咱们了解到protect参数的含义是当发生违背安全的状况时，是将数据包丢弃，这正好咱们的设想，即不是将发生违规的端口关闭，而是将违规的数据包丢弃，这才是咱们所要的结果，具体的设置命令以下：
 
  　　3550#conf t
 
  　　Enter configuration commands, one per line. End with CNTL/Z.
 
  　　3550(config)#inter fa0/3
 
  　　3550(config-if)#shut
 
  　　3550(config-if)#end
 
  　　3550#show port-security inter fa0/3
 
  　　Port Security : Enabled
 
  　　Port Status : Secure-down
 
  　　Violation Mode : Protect
 
  　　Aging Time : 0 mins
 
  　　Aging Type : Absolute
 
  　　SecureStatic Address Aging : Disabled
 
  　　Maximum MAC Addresses : 1
 
  　　Total MAC Addresses : 1
 
  　　Configured MAC Addresses : 0
 
  　　Sticky MAC Addresses : 1
 
  　　Last Source Address : 485b.39b8.a060
 
  　　Security Violation Count : 0
 
  　　从实际测试的效果来看也达到咱们的要求，即该端口安全的设置生效后，首先链接笔记本电脑是能够接入网络的，更换为一台台式机之后，该台式机的网卡状态仍然显示为已链接，可是网络数据不通，当从新接回笔记本电脑后，网络的通信又恢复正常了。