交换机端口安全怎么配置

57次阅读

共计 1965 个字符，预计需要花费 5 分钟才能阅读完成。

这篇文章主要讲解了“交换机端口安全怎么配置”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着丸趣 TV 小编的思路慢慢深入，一起来研究和学习“交换机端口安全怎么配置”吧！

最常用的对端口安全的理解就是可根据 MAC 地址来做对网络流量的控制和管理，比如 MAC 地址与具体的端口绑定，限制具体端口通过的 MAC 地址的数量，或者在具体的端口不允许某些 MAC 地址的帧流量通过。稍微引申下端口安全，就是可以根据 802.1X 来控制网络的访问流量。
首先谈一下 MAC 地址与端口绑定，以及根据 MAC 地址允许流量的配置。
1.MAC 地址与端口绑定，当发现主机的 MAC 地址与交换机上指定的 MAC 地址不同时，交换机相应的端口将 down 掉。当给端口指定 MAC 地址时，端口模式必须为 access 或者 Trunk 状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access / 指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 / 配置 MAC 地址。
3550-1(config-if)#switchport port-security maximum 1 / 限制此端口允许通过的 MAC 地址数为 1。
3550-1(config-if)#switchport port-security violation shutdown / 当发现与上述配置不符时，端口 down 掉。

2. 通过 MAC 地址来限制端口流量，此配置允许一 TRUNK 口最多通过 100 个 MAC 地址，超过 100 时，但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk / 配置端口模式为 TRUNK。
3550-1(config-if)#switchport port-security maximum 100 / 允许此端口通过的最大 MAC 地址数目为 100。
3550-1(config-if)#switchport port-security violation protect / 当主机 MAC 地址数目超过 100 时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据 MAC 地址来允许流量，下面的配置则是根据 MAC 地址来拒绝流量。

1. 此配置在 Catalyst 交换机中只能对单播流量进行过滤，对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop / 在相应的 Vlan 丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 / 在相应的接口丢弃流量。

最后说一下 802.1X 的相关概念和配置。
802.1X 身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过 802.1X 协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代 Windows 的 AD。
配置 802.1X 身份验证协议，首先得全局启用 AAA 认证，这个和在网络边界上使用 AAA 认证没有太多的区别，只不过认证的协议是 802.1X；其次则需要在相应的接口上启用 802.1X 身份验证。（建议在所有的端口上启用 802.1X 身份验证，并且使用 radius 服务器来管理用户名和密码）
下面的配置 AAA 认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-model / 启用 AAA 认证。
3550-1(config)#aaa authentication dot1x default local / 全局启用 802.1X 协议认证，并使用本地用户名与密码。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto / 在所有的接口上启用 802.1X 身份验证。

感谢各位的阅读，以上就是“交换机端口安全怎么配置”的内容了，经过本文的学习后，相信大家对交换机端口安全怎么配置这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是丸趣 TV，丸趣 TV 小编将为大家推送更多相关知识点的文章，欢迎关注！

正文完