端口安全基本原理 及实验案例
端口安全基本原理 及实验案例
YueXuan
发布于 2025-12-19 11:21:41
发布于 2025-12-19 11:21:41
端口安全
一、端口安全基本概念
1、概述
- 端口安全(Port Security),从基本原理上讲, Port Security特性会通过MAC地址表记录连接到交换 机端口的以太网MAC地址(即网卡号),并只允许某 个MAC地址通过本端口通信。其他MAC地址发送的数 据包通过此端口时,端口安全特性会阻止它。使用端 口安全特性可以防止未经允许的设备访问网络,并增 强安全性。另外,端口安全特性也可用于防止MAC地 址泛洪造成MAC地址表填满。
2、作用
- 基于MAC地址限制、允许客户端流量
- 避免MAC地址扩散攻击
- 避免MAC地址欺骗攻击(主机使用虚假MAC地址 发送非法数据)
二、交换机端口安全配置
1、配置流程
- 启用端口安全特性
Switch(config-if)#switchport mode access/trunk
Switch(config-if)#switchport port-security
#注意:启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入或干道模式配置允许访问网络的MAC地址
- 配置接口允许的最大活跃地址数量
Switch(config-if)#switchport port-security maximum { max-addr }
//max-addr参数的范围是1~8192,在默认情况下为1- 配置静态绑定的MAC地址
Switch(config-if)#switchport port-security mac-address { mac-addr }
//mac-addr为静态绑定的MAC地址- 配置老化时间
#如果同一端口主机经常变化,而旧MAC地址一直保留,这可能导致新连接到端口的客无法正常通讯
#配置交换机接口老化时间,让交换机删除一段时间内没有流量的MAC地址
Switch(config-if)#switchport port-security aging time { time }
//time参数范围是1~1440分钟,默认为0表示不删除
Switch(config-if)#switchport port-security aging type { absolute | inactivity } //PT里面不支持
#absolute参数为老化时间到期后,删除所有MAC地址并重新学习
#inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除
Switch(config-if)#switchport port-security aging static //PT里面不支持
#默认情况下静态绑定的MAC地址并不受老化时间的影响,Cisco交换机也可让静态绑定的MAC地址老化配置MAC地址违规后的策略
MAC地址违规
- 最大安全数目的MAC地址表之外的一个新 的MAC地址访问该端口
- 一个配置为其他接口安全MAC地址的 MAC地址试图访问这个端口
Switch(config-if)#switchport port-security violation { protect | restrict | shutdown}
#shutdown:端口成为err-disable状态,相当于关闭端口,默认处理方式
#protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组
#restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组当端口进入err-disable状态时,恢复接口状态的方法
- 手动恢复:先关闭端口(shutdown),然后再开 启端口(no shutdown)端口恢复为正常状态
Switch(config-if)#shutdown
Switch(config-if)#no shutdown- 自动恢复:设置err-disable计时器,端口进入 err-disable状态时开始计时,计时器超出后端口 状态自动恢复
Switch(config)#errdisable recovery cause psecure-violation //出现err-disable状态的原因
Switch(config)#errdisable recovery interval { time } //恢复时间间隔err-disable状态的端口,默认情况下不会自动恢 复
配置端口安全的sticky(粘连)特性
- 当企业内网所有端口均要启用端口安全时,静态 绑定的MAC地址的工作量时十分巨大
- sticky特性能动态的将交换机接口学习到的MAC 加入到运行配置中,形成绑定关系
Switch(config)#switchport port-securitymac-address sticky2、端口安全实验案例
实验拓扑
实验要求
- 如上图所示,配置交换机与PC1连接的接口上 的端口安全,最后进行验证
配置过程
- 交换机配置
Switch>enable
Switch#conf t
Switch(config)#int f0/2
Switch(config-if)#switchport mode access //设置接口模式为接入链路
Switch(config-if)#switchport port-security //启用端口安全
Switch(config-if)#switchport port-security maximum 1 //设置端口活跃 MAC 地址数量为1个
Switch(config-if)#switchport port-security aging time 1 //配置老化时间1分钟
Switch(config-if)#switchport port-security violation restrict //配置违规策略为分组丢弃并记录
Switch(config-if)#switchport port-security mac-address 0000.0CB6.B828 //配置静态绑定2.主机配置(设置 IP 地址和子网掩码就可以,这里 就没有去划分 VLAN ,交换机所有接口都属于 VLAN 1
3.验证
Switch#show port-security int f0/2
Port Security : Enabled
Port Status : Secure-up #端口状态
Violation Mode : Restrict #违规策略
Aging Time : 1 mins #老化时间1分钟
Aging Type : Absolute #老化时间到期后删除所有 MAC 地址
SecureStatic Address Aging : Disabled #安全静态地址老化
Maximum MAC Addresses : 1 #最大 MAC 地址数量
Total MAC Addresses : 1 #静态绑定 MAC 地址数量
Configured MAC Addresses : 1 #MAC 地址配置1个
Sticky MAC Addresses : 0 #粘性 MAC 地址数量
Last Source Address:Vlan : 0000.0CB6.B828:1 #最后源地址和属于的 vlan
Security Violation Count : 0 #安全违规次数4.在交换机的 F0/2 接口上重新接上一台计算机来 模拟端口安全
- 另外一台电脑接入到交换机的 F0/2 接口后, 配置与 PC0 相同网段的 IP 地址,这时候使 用 PC0 去 ping PC1主机,明显可以看出无 法 ping 通
- 查看交换机 F0/2 接口安全信息如下
3、配置脚本
image-20240404114207065
image-20240404115212802
//Switch0
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address 00E0.8F34.5B4D
switchport port-security aging time 1
image-20240404115254728
image-20240404115408618
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2025-12-16,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
