在交換器的port安全性上可以設定Port-security來完成,Port-security的功能是將port的可使用mac記錄起來當違反時可以做適當的處理。
記錄方式有三種
1.Static Secure MAC(靜態安全MAC):由管理者手動設置,安全的MAC並將其記錄在Secure MAC Table中。要將以設定的Static Secure MAC清空要使用clear port-securty all指令。
2.Dynamic Secure MAC(動態安全MAC):由交換器自動記錄安全的MAC是採用先到先記錄的方式,在交換器重新啟動後記錄將被移除。
3.Sticky Secure MAC(黏滯安全MAC):由交換器自動記錄安全的MAC是採用先到先記錄的方式,會記錄在Secure MAC Table和run組態檔中,重新啟動後還可繼續使用。
一般來說違反的條件都是以MAC的數量來判斷,如果違反時會有三種方式可以使用。
違反安全MAC處理方法
1.Protect(保護):將接收到的封包直接丟棄
2.Restrict(限制):將封包直接丟棄並將違反的相關資訊記錄起來。
3.Shutdown(關閉):會將此port介面設定為error-disabled,並且發送通知和記錄,要再次啟動此介面時須先shutdown在使用no shutdown。
設定指令
========================================================================
S1(config)#interface fastEthernet 0/1(進入介面0/1設定模式)
S1(config-if)#switchport mode access(設定為存取模式)
S1(config-if)#switchport port-security(啟動port-security)
S1(config-if)#switchport port-security maximun 5(設定安全MAC數量為5)
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx(設定靜態安全MAC為xxxx.xxxx.xxxx)
S1(config-if)#switchport port-security mac-address sticky(設定黏滯安全MAC)
S1(config-if)#switchport port-security violation restrict(當違反安全原則時restrict)
S1(config-if)#switchport port-security violation protect(當違反安全原則時protect)
S1(config-if)#switchport port-security violation shutdown(當違反安全原則時shutdown)
S1#show port-security interface fastEthernet 0/1(顯示fa0/1的port-security)
S1#show mac-address-table(顯示交換器上的MAC table)
S1#show port-securty address(顯示Secure MAC Table)
S1#clear mac-address-table(清除交換器上的MAC table)
S1#clear port-securty all(清除Secure MAC Table)
========================================================================
S1(config-if)#switchport port-security maximun 5(設定安全MAC數量為5)
回覆刪除maximun x
maximum o
S1#show port-securty address(顯示Secure MAC Table)
回覆刪除S1#clear port-securty all(清除Secure MAC Table)
show port-security address
clear port-security all
securty x
security o