Cisco交換機實現埠安全的方法及事項

通過幾天的實際調試,借鑒了網路上老手們的經驗,同時總結自己的調試心得,總結如下:

1Cisco29系列交換機可以做基於2層的埠安全,即mac位址與埠進行綁定。

  2Cisco3550以上交換機均可做基於2層和3層的埠安全,即mac位址與埠綁定以及mac地址與ip地址綁定。

3、以cisco3550交換機為例 mac位址與埠綁定的可以實現兩種應用:

  a、設定一埠只接受第一次連接該埠的電腦mac位址,當該埠第一次獲得某電腦mac位址後,其他電腦接入到此埠所發送的資料包則認為非法,做丟棄處理。

  b、設定一埠只接受某一特定電腦mac位址,其他電腦均無法接入到此埠。

4、破解方法:網上老手們所講的破解方法有很多,主要是通過更改新接入電腦網卡的mac位址來實現,不過此方法實際應用中基本沒有什麼作用,原因很簡單,如果不是網管,其他一般人員平時根本不可能去注意合法電腦的mac位址,一般情況也無法進入合法電腦去獲得mac位址,除非其本身就是該網域的用戶。

5、實現方法:

  針對第3條的兩種應用,分別不同的實現方法

  a、接受第一次接入該埠電腦的mac位址:

 Switch#config terminal

 Switch(config)#interface interface-id 進入需要配置的埠

 Switch(config-if)#switchport mode access 設置為交換模式

 Switch(config-if)#switchport port-security 打開埠安全模式

  Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //針對非法接入電腦,埠處理模式{丟棄資料包,不發警告 | 丟棄數據包,在console發警告 | 關閉埠為err-disable狀態,除非管理員手工啟動,否則該埠失效。

  b、接受某特定電腦mac位址:

  Switch#config terminal

  Switch(config)#interface interface-id

  Switch(config-if)#switchport mode access

  
  Switch(config-if)#switchport port-security

  Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//以上步驟與a

  Switch(config-if)#switchport port-security mac-address sticky

  Switch(config-if)#switchport port-security aging static //打開靜態映射

  Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX //為埠輸入特定的允許通過的mac位址

 

 mac地址與ip地址綁定基本原理:

  在交換機內建立mac位址和ip位址對應的映射表。埠獲得的ipmac位址將匹配該表,不符合則丟棄該埠發送的資料包。

  實現方法:

  Switch#config terminal

  Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa

  該配置的主要注意事項:需要將網段內所有IP都建立MAC位址映射,沒有使用的IP位址可以與0000.0000.0000建立映射。否則該綁定對於網段內沒有建立映射的IP位址無效

arrow
arrow
    全站熱搜

    aircsh 發表在 痞客邦 留言(0) 人氣()