安全典型配置
端口安全
典型实例:针对端口限制只能当前一个设备MAC连接,其他设备接入端口则无法通讯
思科交换机:
进入全局端口配置模式
1
2
3
4
| cisco(config-if)#switchport port-security #打开端口安全模式
cisco(config-if)#switchport port-security violation {protect | restrict | shutdown(默认) } #针对非法接入计算机,端口处理模式{丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
cisco(config-if)#switchport port-security mac-address sticky # Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址
cisco(config-if)#switchport port-security maximum 1 #可不配置,端口默认限制数为1
|
华为交换机:
进入systemview模式
1
2
3
4
| [huawei-GigabitEthernet0/0/1]port-security enable
[huawei-GigabitEthernet0/0/1]port-security protect-action {protect | restrict(默认) | shutdown }
[huawei-GigabitEthernet0/0/1]port-security mac-address sticky
[huawei-GigabitEthernet0/0/1]port-security max-mac-num 1 #可不配置,端口默认限制数为1
|
需要注意的是,思科默认port-security的模式为shutdown,查看端口状态为err-disabled,如果发现配置后端口无法起来,闪橙色灯,则要手动在端口下shutdown然后no shutdown重新起来。