第14章 端口安全配置
《配置端口安全性》word版
配置端口安全性未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。
交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。
因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
在部署交换机之前,应保护所有交换机端口或接口。
端口安全性限制端口上所允许的有效MAC地址的数量。
如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。
如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。
下面总结了这些要点。
总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。
在端口上指定一组允许的有效MAC地址。
在任一时刻只允许一个MAC地址访问端口。
指定端口在检测到未经授权的MAC地址时自动关闭。
配置端口安全性有很多方法。
下面描述可在Cisco交换机上配置端口安全性的方法。
静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。
以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。
以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
华三交换机端口安全操作
1-1
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
1.1.3 端口安全模式
对于端口安全模式的具体描述,请参见 表 1-1。
i
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
ቤተ መጻሕፍቲ ባይዱ
第1章 端口安全配置
1.1 端口安全简介
1.1.1 概述
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1x 认证和 MAC 地址认证的扩充。这种机制通过检测数据帧中的源 MAC 地址来控制非 授权设备对网络的访问,通过检测数据帧中的目的 MAC 地址来控制对非授权设备 的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时, 系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高 了系统的安全性。 非法报文包括: z 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; z 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
目录
目录
第 1 章 端口安全配置 ..............................................................................................................1-1 1.1 端口安全简介 ..................................................................................................................... 1-1 1.1.1 概述 ......................................................................................................................... 1-1 1.1.2 端口安全的特性 ....................................................................................................... 1-1 1.1.3 端口安全模式........................................................................................................... 1-2 1.2 端口安全配置任务简介....................................................................................................... 1-4 1.3 使能端口安全功能 .............................................................................................................. 1-4 1.3.1 配置准备 .................................................................................................................. 1-4 1.3.2 使能端口安全功能.................................................................................................... 1-4 1.4 配置端口允许的最大安全MAC地址数 ................................................................................ 1-5 1.5 配置端口安全模式 .............................................................................................................. 1-6 1.5.1 配置autoLearn模式.................................................................................................. 1-6 1.5.2 配置userLoginWithOUI模式 .................................................................................... 1-7 1.5.3 配置其它模式........................................................................................................... 1-7 1.6 配置端口安全的特性 .......................................................................................................... 1-8 1.6.1 配置NeedToKnow特性 ............................................................................................ 1-8 1.6.2 配置入侵检测特性.................................................................................................... 1-8 1.6.3 配置Trap特性........................................................................................................... 1-9 1.7 配置安全MAC地址 ............................................................................................................. 1-9 1.7.1 配置准备 .................................................................................................................. 1-9 1.7.2 配置安全MAC地址................................................................................................. 1-10 1.8 配置当前端口不应用服务器下发的授权信息 .................................................................... 1-10 1.9 端口安全显示和维护 ........................................................................................................ 1-10 1.10 端口安全典型配置举例................................................................................................... 1-11 1.10.1 端口安全autoLearn模式配置举例 ........................................................................ 1-11 1.10.2 端口安全userLoginWithOUI模式配置举例........................................................... 1-13 1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 ................................. 1-18 1.11 常见配置错误举例 .......................................................................................................... 1-21 1.11.1 端口安全模式无法设置 ........................................................................................ 1-21 1.11.2 无法配置端口安全MAC地址 ................................................................................ 1-21 1.11.3 用户在线情况下无法更换端口安全模式............................................................... 1-22
职业认证-锐捷认证-端口安全概述
Ruijie(config-FastEthernet 0/1)#switchport port-security ---端口保护功能应用生效
5|
端口安全配置检查
查看接入交换机绑定的安全表项
Ruijie#show port-security address
Vlan Mac Address (mins)
另外,还可以设定端口安全地址绑定IP+MAC,或 者仅绑定IP,用来限制必须符合绑定的以端口安全地址 为源MAC地址的报文才能进入交换机通信。
3|
端口安全配置
• 应用场景
– 客户网络需要针对某端口下只允许某些合法用户接入。需要通过端口安全绑定功能合 法用户表项,控制非法用户接入。同全局地址绑定功能不同的是端口安全是基于端口 进行地址绑定,控制合法用户接入网络的场景需求。
• ARP-CHECK支持的安全功能模块包含: ➢仅检测 IP 字段:端口安全的仅 IP 模式,Ip Source Guard 手工配置 的仅 IP 模式 ➢检测 IP+MAC 字段:端口安全的 IP+MAC 绑定模式,全局 IP+MAC 绑定功能,802.1x IP授权功能,Ip Source Guard 功能
端口安全规则 MAC最大数量 MAC绑定 MAC+VLAN绑定
IP绑定 IP+MAC+VLAN绑定
7|
处理规则
如果MAC最大数量>MAC绑定:自动学 习“MAC最大数量-MAC绑定”个MAC 作为IP/MAC过滤项 如果MAC最大数量=MAC绑定:只有被 绑定的MAC才能合法接入网络
---------- ---------------------
Fa0/1
宽带接入之交换机端口安全介绍
降低管理成本: 端口安全优化可 以简化网络管理, 降低管理成本。
满足合规要求: 端口安全优化可 以帮助企业满足 相关法规和标准 的要求,降低法 律风险。
端口安全优化的方法
01 端口安全策略:设置端口安全策 略,限制端口访问权限
02 端口访问控制:设置端口访问控 制,限制特定端口的访问
03 端口加密:使用加密技术,提高 端口数据的安全性
监控端口状态:实时 监控交换机端口的状 态,发现异常情况及
时处理
配置安全参数:设置 端口允许的最大MAC 地址数量、安全动作、
安全时间等参数
定期更新安全策略: 根据网络环境的变化, 定期更新端口安全策
略,确保网络安全
绑定MAC地址:将交 换机端口与特定的
MAC地址进行绑定, 防止非法设备接入
端口安全配置参数
端口安全模式:包括安全模 式和非安全模式,安全模式 可以限制端口的最大连接数, 非安全模式则没有限制。
端口安全动作:包括关闭端 口、限制连接数和限制流量 等,可以根据需要选择合适 的动作。
端口安全年龄:设置端口安 全年龄可以限制端口的最大 连接时间,超过设定时间后, 连接将被断开。
端口安全协议:可以设置端 口安全协议,如TCP、UDP 等,以限制端口的连接类型。
宽带接入之交换 机端口安全介绍
目录
01. 交换机端口安全概述 02. 交换机端口安全配置 03. 交换机端口安全策略 04. 交换机端口安全优化
1
交换机端口安全 概述
交换机端口安全的重要性
01
02
03
04
保护网络免受未 经授权的访问防止恶意软件和 病毒的传播
保障数据传输的 安全性和完整性
提高网络性能和 稳定性
82实验一:交换机端口聚合及端口安全配置
计算机网络工程实验
一、交换机端口聚合配置
技术原理
端口聚合(Aggregate-port)又称链路聚合,是指两台交
计 算 机 网 络 工 程
换机之间在物理上将多个端口连接起来,将多条链路聚 合成一条逻辑链路。从而增大链路带宽,解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份,其中任意一条链路断开,不会影响其他 链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准。
计算机网络工程实验
二、交换机端口安全配置
【背景描述】
你是一个公司的网络管理员,公司要求对网络进行严
计 算 机 网 络 工 程 【实验设备】
格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以 使用网络,不得随意连接其他主机。例如:某员工分 配的IP地址是172.16.1.55/24,主机MAC地址是00-061B-DE-13-B4。该主机连接在1台2126G上。
计算机网络工程实验
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配 置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
计 算 机 网 络 工 程
计算机网络工程实验
思考题
1.用Cisco Packet Tracer配置交换机端口聚合
计算机网络工程实验
一、交换机端口聚合配置
【实验拓扑】
计 算 机 网 络 工 程
F0/23 F0/5 F0/24 NIC F0/23 F0/24 F0/5
交换机端口安全认证实验报告
交换机端口安全认证实验报告一、实验目的本实验旨在通过交换机端口安全认证,保障网络的信息安全。
通过实验,掌握交换机端口安全认证的原理和操作方法。
二、实验原理交换机端口安全认证是一种网络安全技术,用于限制未经授权设备接入网络。
其原理是利用交换机的MAC地址过滤功能,将非授权MAC地址的设备隔离或阻断,确保网络中只有授权设备能够接入。
三、实验环境1. 实验设备:一台交换机、若干台计算机设备2. 实验软件:网络配置工具、终端仿真软件四、实验步骤1. 配置交换机端口安全策略a. 进入交换机管理界面,并使用管理员账号登录。
b. 找到需要配置端口安全的端口,例如FastEthernet0/1。
c. 配置端口安全认证,设置允许连接设备的最大数量,例如2。
d. 配置端口安全认证方式为“限制”模式,即在达到最大设备数量时阻断后续设备连接。
e. 保存配置并退出管理界面。
2. 连接计算机设备a. 将一台计算机连接到已配置了端口安全的交换机端口上。
b. 打开终端仿真软件,配置计算机的IP地址和子网掩码。
c. 确保计算机与交换机端口连接正常。
3. 验证端口安全认证功能a. 将其他计算机设备依次连接到交换机端口。
b. 观察并记录交换机管理界面上的端口状态变化。
c. 当连入的设备数量达到最大允许数量时,验证交换机是否能够正确阻断后续设备连接。
五、实验结果与分析根据实验步骤进行操作后,我们观察到交换机管理界面上的端口状态发生了如下变化:1. 当第一台设备连接到交换机端口时,端口状态显示为“已连接”。
2. 当第二台设备连接到交换机端口时,端口状态仍显示为“已连接”,符合我们设定的最大允许设备数量为2。
3. 当第三台设备尝试连接到交换机端口时,端口状态显示为“已阻断”,交换机成功拦截了未授权设备连接。
通过以上观察,我们可以得出结论:交换机端口安全认证功能有效,能够根据设定的策略拦截未授权设备的连接,确保网络的安全性。
六、实验总结本次实验通过对交换机端口安全认证的配置和验证,详细了解了其原理和操作方法。
神州数码交换机“端口安全”配置
神州数码交换机“端口安全”配置
二层、三层交换机配置
型号:(DCS-3950和DCR-3926S)
Switch(config)#internet ethernet0/0/1(进入端口)
Switch(config-if-ethernet0/0/1)#switchport port-security lock(锁定安全端口)
注:二层DCR-3926S交换机配置生成树后无法开启端口安全,所以必须先开启端口安全后配置生成树。
“山西梦轩”编写
QQ:759576010
Switch(config-if-ethernet0/0/1)#switchport port-security mac-addressxx-xx-xx-xx(为端口绑定MAC地址)xx-xx-xx-xx为PC(电脑)机的MAC地址
Switch(config-if-ethernet0/0/1)#switchport port-security violation shutdown/portect(违规关闭/保护)
Switch(config-if-ethcurity(开启端口安全)
Switch(config-if-ethernet0/0/1)#switchport port-security maximum1(设置端口对大数为1)
这儿的1最大数可以设置为1-16
42-端口安全配置
端口安全配置目录第1章端口安全 (2)1.1端口安全简介 (2)1.2端口安全配置 (2)第1章端口安全1.1 端口安全简介端口安全一般应用在接入层。
它能够对通过设备访问网络的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID 绑定;IP规则可以针对某一IP 也可以针对一系列IP;MAX 规则用以限定端口可以学习到的(按顺序)最多MAC 地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。
在MAX规则下,又有sticky规则。
如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。
Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。
如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。
当端口下开启sticky功能,会将MAX规则学到的动态MAC 地址添加成sticky规则,并保存到运行的配置的文件中。
在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX 所配置的最大值。
MAC 规则和IP 规则可以指定匹配相应规则的报文是否允许通信。
通过MAC 规则可以有效的将用户的MAC 地址与Vlan,MAC 地址与IP 地址进行灵活的绑定,由于端口安全是基于软件实现的,规则数不受硬件资源限制,使得配置更加灵活。
端口安全的规则依靠终端设备的ARP 报文进行触发,当设备接收到ARP 报文时,端口安全从中提取各种报文信息,并与配置的三种规则进行匹配,匹配的顺序为先匹配MAC规则,再匹配IP规则,最后匹配MAX 规则,并根据匹配结果控制端口的二层转发表,以控制端口对报文的转发行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第14章端口安全配置本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。
章节主要内容:z端口安全介绍z端口安全配置z监控与维护14.1端口安全介绍端口安全一般应用在接入层。
它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。
如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。
对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下:(1)MAC规则MAC绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd(config-port- xxx)#port-security deny mac-address 0050.bac3.bebdMAC+VID绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100(config-port- xxx)#port-security deny mac-address 0050.bac3.bebd vlan-id 100MAC+IP绑定:(config-port- xxx)#port-security permit mac-address 0050.bac3.bebd ip-address 128.255.1.1(config-port- xxx)#port-security deny mac-address 0050.bac3.bebd ip-address 128.255.1.1(2)IP规则(config-port- xxx)#port-security permit ip-address 128.255.1.1(config-port- xxx)#port-security deny ip-address 128.255.1.1(config-port- xxx)#port-security permit ip-address 128.255.1.1 to 128.255.1.63(config-port- xxx)#port-security deny ip-address 128.255.1.1 to 128.255.1.63(3)MAX规则(config-port- xxx)#port-security maximum 50注:如果一个MAC地址或IP地址是被deny掉的,即使这时未达到MAX的上限,该主机也不能通讯。
注:端口安全不能与802.1X共同启用。
14.2端口安全配置本节主要内容:z端口安全配置命令基本描述z端口安全启用与关闭z配置MAC绑定z配置MAC+VLAN绑定z配置MAC+IP绑定z配置IP规则z配置MAX规则z配置地址老化时间z配置静态地址老化z配置错误处理模式14.2.1基本指令描述命令描述配置模式port-security {enable|disable} 端口启用/关闭端口安全config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|deny mac-address {mac-address} 配置端口MAC规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|denymac-address {mac-address} vlan-id {vlanId}配置端口MAC+VLAN规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|denymac-address {mac-address} ip-address {ip-address}配置端口MAC+IP规则config-port- xxx,config-port-range,config-link-aggregation-xport-security permit|deny ip-address {ip-address}[to {ip-address}]配置端口IP规则config-port- xxx,config-port-range,config-link-aggregation-xport-security maximum {0-4000}配置端口MAX规则config-port- xxx,config-port-range,config-link-aggregation-xport-security aging time {0-1440 }配置端口MAC地址老化时间config-port- xxx,config-port-range,config-link-aggregation-xport-security aging static 启用端口静态地址老化config-port- xxx,config-port-range, config-link-aggregation-xport-security violation {protect|restrict|shutdown} 配置错误处理模式config-port- xxx,config-port-range,config-link-aggregation-xport-security该命令在端口启用或者关闭端口安全功能。
port-security {enable|disable}语法描述enable 启用端口安全disable 关闭端口安全【缺省情况】disableport-security permit|deny mac-address该命令配置端口的MAC绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address}no port-security {permit|deny mac-address mac-address}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址【缺省情况】无注:对于permit规则系统将其配置MAC地址和端口配置的默认VID一起写入二层转发表(MAC Address表)。
port-security permit|deny mac-address mac-address vlanId该命令设置端口的MAC+VLAN绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address vlan-id vlanId}no port-security {permit|deny mac-address mac-address vlan-id vlanId}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址vlan-id 与mac地址绑定的vlan号【缺省情况】无注:对于permit规则系统将其配置MAC地址和VID一起写入二层转发表(MAC Address表)。
port-security permit|deny mac-address mac-address ip-address该命令配置端口的MAC+IP绑定规则,相关的no命令删除该规则。
port-security {permit|deny mac-address mac-address ip-address ip-address}no port-security {permit|deny mac-address mac-address ip-address ip-address}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址ip-address 与mac地址绑定的IP地址【缺省情况】无注:对于permit规则系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP 请求报文port-security permint|deny ip-address该命令配置端口的IP规则,相关的no命令删除该规则。
port-security {permint|deny ip-address start-ip-address[to end-ip-address]}no port-security {permint|deny ip-address start-ip-address[to end-ip-address]}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝start-ip-address 规则应用的起始IP地址end-ip-address 规则应用的结束IP地址【缺省情况】无如果只增加某一个IP地址规则,可以不使用[to end-ip-address]部分注:对于permit规则和IP地址为单地址时系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文port-security maximum该命令配置端口的MAX规则,相关的no命令删除该规则。
port-security maximum {0-4000}no port-security maximum语法描述0-4000 MAX规则的地址数【缺省情况】0port-security aging time该命令配置端口的地址老化时间(分钟),相关的no命令将该配置设置为1分钟。
port-security aging time {0-1440}no port-security aging time语法描述0-1440 老化时间,0表示不进行老化。