最常用的对端口安全的理解就是可根据mac地址来做对网络流量的控制和管理,比如mac地址与具体的端口绑定,限制具体端口通过的mac地址的数量,或者在具体的端口不允许某些mac地址的帧流量通过。
首先谈一下mac地址与端口绑定,以及根据mac地址允许流量的配置。
1.mac地址与端口绑定,当发现主机的mac地址与交换机上指定的mac地址不同时,交换机相应的端口将down掉。当给端口指定mac地址时,端口模式必须为access或者trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-f5-10-79-c1 /配置mac地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的mac地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过mac地址来限制端口流量,此配置允许一trunk口最多通过100个mac地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为trunk。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大mac地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机mac地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据mac地址来允许流量,下面的配置则是根据mac地址来拒绝流量。
1.此配置在catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 drop /在相应的vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-f5-10-79-c1 vlan 2 int f0/1 /在相应的接口丢弃流量。