2015年3月6日 星期五

Port-security

在交換器的port安全性上可以設定Port-security來完成,Port-security的功能是將port的可使用mac記錄起來當違反時可以做適當的處理。

記錄方式有三種
1.Static Secure MAC(靜態安全MAC):由管理者手動設置,安全的MAC並將其記錄在Secure MAC Table中。要將以設定的Static Secure MAC清空要使用clear port-securty all指令。

2.Dynamic Secure MAC(動態安全MAC):由交換器自動記錄安全的MAC是採用先到先記錄的方式,在交換器重新啟動後記錄將被移除。

3.Sticky Secure MAC(黏滯安全MAC):由交換器自動記錄安全的MAC是採用先到先記錄的方式,會記錄在Secure MAC Table和run組態檔中,重新啟動後還可繼續使用。

一般來說違反的條件都是以MAC的數量來判斷,如果違反時會有三種方式可以使用。

違反安全MAC處理方法
1.Protect(保護):將接收到的封包直接丟棄
2.Restrict(限制):將封包直接丟棄並將違反的相關資訊記錄起來。
3.Shutdown(關閉):會將此port介面設定為error-disabled,並且發送通知和記錄,要再次啟動此介面時須先shutdown在使用no shutdown。

設定指令
========================================================================
S1(config)#interface fastEthernet 0/1(進入介面0/1設定模式)
S1(config-if)#switchport mode access(設定為存取模式)
S1(config-if)#switchport port-security(啟動port-security)
S1(config-if)#switchport port-security maximun 5(設定安全MAC數量為5)
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx(設定靜態安全MAC為xxxx.xxxx.xxxx)
S1(config-if)#switchport port-security mac-address sticky(設定黏滯安全MAC)
S1(config-if)#switchport port-security violation restrict(當違反安全原則時restrict)
S1(config-if)#switchport port-security violation protect(當違反安全原則時protect)
S1(config-if)#switchport port-security violation shutdown(當違反安全原則時shutdown)
S1#show port-security interface fastEthernet 0/1(顯示fa0/1的port-security)
S1#show mac-address-table(顯示交換器上的MAC table)
S1#show port-securty address(顯示Secure MAC Table)
S1#clear mac-address-table(清除交換器上的MAC table)
S1#clear port-securty all(清除Secure MAC Table)
========================================================================

2 則留言:

  1. S1(config-if)#switchport port-security maximun 5(設定安全MAC數量為5)

    maximun x
    maximum o

    回覆刪除
  2. S1#show port-securty address(顯示Secure MAC Table)
    S1#clear port-securty all(清除Secure MAC Table)

    show port-security address
    clear port-security all

    securty x
    security o

    回覆刪除