开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第13天,点击查看活动详情
交换机端口安全的基本功能:
1.限制交换机端口的最大连接数
2.端口的安全地址绑定
当安全违例产生时,你可以选择多种方式来处理违例:
1.Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
2.RestrictTrap:当违例产生时,将发送一个Trap通知。
3.Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口默认设置:
1.端口默认全关闭;
2.安全地址个数128;
3.安全地址无;
4.违例处理:PROTECT,RESTRIC,SHUTDOWN
配置端口安全时有如下限制:
一个安全端口不能是一个aggregate port。
一个安全端口只能是一个access port。
端口安全最大连接数配置
switchport port-security 打开该接口的端口安全功能
switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-128,缺省值为128。
switchport port-security violation{protect| restrict | shutdown} 设置处理违例的方式
端口的安全地址绑定配置
switchport port-security 打开该接口的端口安全功能
switchport port-security [mac-address mac-address] [ip-address ip-address] 手工配置接口上的安全地址。
从特权模式开始,通过以下步骤设置一个安全端口和违例处理方式。
① 由特权模式进入全局模式:
configure terminal
② 由全局模式进入接口模式:
interface interface-id
③ 配置安全地址的老化时间:
switchport port-security aging{static|time time}
老化时间范围:0-1440
④ 退回特权模式:
End
⑤ 显示接口安全配置:
Show port-security interface[interface-id]
查看端口安全信息
① 查看接口的端口安全配置信息:
show port-security interface[interface-id]
② 查看安全地址信息:
show port-security address
③ 显示某个接口上的安全地址信息:
show port-security [interface-id] address
④ 显示所有安全端口的统计信息:
show port-security
防火墙:中介系统
防火墙从结构上讲,可分为以下两种。
① 应用网关结构(软件):
内部网络<->代理网关(Proxy Gateway)<->Internet
② 路由器加过滤器结构(硬件或软件):
内部网络<->过滤器(Filter)<->路由器(Router)<->Internet
防火墙的基本类型
1.包过滤防火墙:工作在第3层,无法对数据包上层内容进行审核,所有端口初始全部开放
2.应用代理(网关)防火墙:基于软件,工作在第7层,强调PROXY
3.基于状态检查的包过滤防火墙
思科安全端口执行方式
动态:指定一次允许多少个MAC地址使用端口。(只注意可使用的MAC地址的数量二不是具体地址),会过期。
静态:静态配置允许使用端口的特定MAC地址。没有被明确允许的源MAC地址都不能向端口发送帧
静态和动态获取相结合:选择指定某些允许的MAC地址并让交换机获取其余允许的MAC地址。
粘滞获取(sticky):接口会动态获取的地址转换为“粘滞安全”地址。将动态获取的地址添加到运行配置中。粘滞获取的地址不会过期。
端口安全的默认设置
| 序 号 | 内 容 | 设 置 |
|---|---|---|
| 1 | 端口安全设置 | 所有端口安全功能关闭 |
| 2 | 最大安全地址个数 | 128 |
| 3 | 安全地址 | 无 |
| 4 | 违例处理方式 | 保护(protect)/违例通知(Restrict)/关闭(Shutdown) |
