端口安全:如何實現交換機記錄第一個上線的pc,王海軍老師告訴你
1,問題描述
公司爲了提高信息安全,將Switch連接員工PC側的接口使能了接口安全功能,並且設置了接口學習MAC地址數的上限爲信任的設備總數,這樣其他外來人員使用自己帶來的PC無法訪問公司的網絡。
在對接入用戶的安全性要求較高的網絡中,可以配置端口安全功能,將接口學習到的MAC地址轉換爲安全動態MAC、安全靜態MAC或Sticky MAC,接口學習的最大MAC數量達到上限後不再學習新的MAC地址,只允許這些MAC地址和設備通信。這樣可以阻止其他非信任的MAC主機通過本接口和交換機通信,提高設備與網絡的安全性。
Sticky MAC不會被老化,保存配置後重啓設備,Sticky MAC也不會丟失,無需重新學習。
2,解決方案
操作步驟
1、創建VLAN,並配置接口的鏈路類型
[Quidway] vlan 10
[Quidway-vlan10] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port link-type trunk
[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
2、 配置接口安全功能
[Quidway-Ethernet0/0/1] port-security enable // 使能接口安全功能
[Quidway-Ethernet0/0/1] port-security mac-address sticky // 使能接口Sticky MAC功能
[Quidway-Ethernet0/0/1] port-security max-mac-num 3 //配置接口MAC地址學習限制數
[Quidway-Ethernet0/0/1] port-security protect-action protect //配置接口安全功能的保護動作
缺省情況下,接口安全保護動作爲restrict
接口安全保護動作有以下三種:
protect:當學習到的MAC地址數達到接口限制數時,接口丟棄源地址在MAC表以外的報文。
restrict:當學習到的MAC地址數超過接口限制數時,接口丟棄源地址在MAC表以外的報文,同時發出告警。
shutdown:當學習到的MAC地址數超過接口限制數時,接口執行Shutdown操作,同時發出告警。
其他接口如需使能接口安全功能,請重複上述配置。
查看原文 >>