CISCO3550交换机端口安全一点通(一)
详细内容
对于很多的企业网络管理人员来说,交换机自然是最常打交道的设备。那么,你对交换机到底了解多少呢?下面我们就通过一个实例,先来探讨一下对于交换机端口配置和接入安全性保障的实战演练!
场景:某单位中有一台CISCO3550交换机,出于网络安全的考虑,对某些端口的安全性要求较高,即只能接入指定的主机,比如设置一间办公室只有某台笔记本电脑可以接入网络,当他带着笔记本出去后,即使空出了网络接口,其它的电脑也无法使用这根网线。下面我们就看网络管理人员是如何逐步实现这一需求的。
一、判断交换机端口通断状态的方法
作为网络管理员,在应用新的功能前,肯定要先经过测试,即为了保证网络的稳定运行,只能在空闲的端口上面测试新功能。如何找到空闲的端口,到交换机的前面直接去查看是一种方法,当然作为一名资深的网管人员来说,一般是不会这么做的,我们是通过在交换机上执行相应的指令来找到自己所需的答案的。以前我是用show inter命令来看,但是这条命令显示的信息太多了,看起来不方便,现在我是用show inter STatus命令来看,这条命令可以逐条显示出每个端口的通断状态(用“cONnected”和“notconnect”来表示),本例中我就通过这条命令找到了一个空闲的端口3来进行随后的测试。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
二、端口安全的基本操作
(一)显示端口3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
(由于端口上面现在没接任何网线,所以显示该端口上面没有任何MAC地址)
(二)清除动态获到的MAC 地址
3550#clear mac-address-table dynamic inter fa0/3
以上两步操作的目的是确认当前端口上面没有MAC地址的记录,以便证明我们以后进行的操作是有效的。
(三)关闭端口、将其配置为接入端口并执行配置端口安全的命令
端口安全的实现是通过switchport port-Security命令来实现的,这是一条核心的指令,辅以与之相关的其它命令,我们就可以实现端口安全的设置。由于大多采用的默认设置,所以本例实现的功能是端口3上面只允许一个指定的MAC地址通过,并在出现安全违规时关闭端口,先对相关的设置命令做一下解释:
switchport port-security命令在端口上启用端口安全,默认设置情况下只允许一个MAC地址通过,并在出现安全违规时关闭接口。)
switchport port-security mac-add sticky命令让交换机获悉当前与端口相关联的MAC地址,该地址将包含在运行配置中。如果将运行配置保存到启动配置中,则路由器重启后,该地址也将保留下来。
介绍完核心命令的操作,我们再介绍一下端口安全操作的思路:首先关闭端口3。使用命令switchport mode aess将端口配置为接入端口,以便配置端口安全。使用命令switchport port-securtiy启用端口安全,然后使用命令swithchport port-security mac-address sticky让端口获悉其连接机的主机的IP地址。最后,执行命令no shutdown重新启用端口,使其能够获悉主机的MAC地址,实现以上操作的命令如下。
3550#conf t
Enter configuration mands, one per line. End with TL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode aess
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky (设置MAC地址的粘性,我对这条命令的理解是交换机会自动的学习到第一次接到到该端口的网络设备的MAC地址,并把它记录到当前的配置文件中)
3550(config-if)#end