交换机端口安全配置命令.ppt

MAC地址洪泛攻击示例 网络攻击者使用攻击工具发送大量带有无效源MAC地址的数据帧 交换机将无效的MAC地址学习到MAC 地址表中，冲掉如主机“HOSTB”等合法用户的MAC地址条目 此时交换机就像集线器一样工作。 交换机端口安全性 交换机端口安全性可以限制端口只有指定的安全MAC地址才能通过端口传输数据帧 交换机端口安全性可以限制只有允许有效 MAC 地址的数量。 端口安全性可以抑制MAC洪泛等攻击。 交换机端口安全性常在接入层交换机上部署，它只能部署在接入端口（Access 端口）上，不能部署在中继端口上 安全 MAC 地址类型 安全MAC地址的获取方法，通常以下三种方法： 静态安全MAC 地址：静态安全MAC地址是指由管理员在交换机端口的子配置模式下使用“switchport port-security mac-address mac-address”命令手工配置安全的MAC地址。 动态安全MAC 地址：动态安全MAC地址是指安全MAC地址由交换机动态学习而获取 粘滞安全MAC 地址：粘滞安全MAC 地址是指交换机端口安全MAC地址通过动态学习而获得，其动态获得的安全MAC地址不仅存储在MAC地址表中，还添加到交换机正在运行的配置文件中 安全违规模式 交换机端口要执行相应的违规操作，交换机端口的违规模式有保护、限制和关闭三种： 保护（Pretect）：当启用端口安全性的交换机端口有违规操作数据帧时，违规模式为保护的端口丢弃该数据帧 限制（Restrict）：当启用端口安全性的交换机端口有违规操作数据帧时，违规模式为限制的端口丢弃该数据帧 禁用（Shutdown）：当启用端口安全性的交换机端口有违规操作数据帧时，违规模式为禁用的端口立即变为错误禁用 (error-disabled) 状态 违规模式 是否转发数据帧 是否发出Syslog消息 是否增加违规计数器计数 是否关闭端口 保护 否 否 否 否 限制 否 是 是 否 禁用 否 是 是 是 交换机端口安全配置 交换机端口默认情况下没有启用端口安全性，启用端口安全性后默认端口安全性设置为最大有效安全MAC地址数量为1，违规模式为禁用模式。 置交换机端口安全一般需要五个步骤： 1）设置交换机端口为Access模式； 2）启用端口安全性； 3）设置最大有效安全MAC地址数量； 4）配置安全MAC地址； 5）配置违规模式。 其中，前两个步骤是必需的，后三个步骤有默认配置，是可选的。 交换机端口安全配置命令 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switch port-security mac-address sticky Switch(config-if)#switch port-security mac-address mac-address Switch(config-if)# switchport port-security maximum maximum Switch(config-if)#port-security violation protect|restrict|shutdown 端口安全性配置示例 交换机的管理 配置文件和操作系统的管理 交换机配置文件可以保存在交换机的动态随机存取存储器（Dynamic Random Access Memory，简称DRAM）、FLASH与TFTP服务器上 也可以以文本的方式保存在任何存储介质上 交换机配置文件备份与还原的相关命令如下： switch#copy running-config startup-config //把正在运行的配置文件备份到FLASH的NVRAM部分 switch#copy running-config flash： //把正在运行的配置文件备份到flash中 switch#copy running-config tftp //把正在运行的配置文件备份到TFTP服务器上 switch#copy startup-config tftp //把备份的配置文件备份到TFTP服务器上 配置文件和操作系统的管理 switch#erase startup-config //删除NVRAM中备份的配置文件 switch#erase nvram //删除NVRAM中备份的配置文件 switch#delete flash:config.text //删除NVRAM中备份的配置文件 switch#copy tftp running-