轉自:http://blog.chinabyte.com/blog.php?do-showone-uid-102825-type-blog-itemid-490195.htmlphp
對於不少的企業網絡管理人員來講,交換機天然是最常打交道的設備。那麼,你對交換機到底瞭解多少呢?下面咱們就經過一個實例,先來探討一下對於交換機端口配置和接入安全性保障的實戰演練!
場景:某單位中有一臺CISCO3550交換機,出於網絡安全的考慮,對某些端口的安全性要求較高,即只能接入指定的主機,好比設置一間辦公室只有某 檯筆記本電腦能夠接入網絡,當他帶着筆記本出去後,即便空出了網絡接口,其它的電腦也沒法使用這根網線。下面咱們就看網絡管理人員是如何逐步實現這一需求 的。
1、判斷交換機端口通斷狀態的方法
做爲網絡管理員,在應用新的功能前,確定要先通過測試,即爲了保證網絡的穩定運行,只能在空閒的端口上面測試新功能。如何找到空閒的端口,到交換機的 前面直接去查看是一種方法,固然做爲一名資深的網管人員來講,通常是不會這麼作的,咱們是經過在交換機上執行相應的指令來找到本身所需的答案的。之前我是 用show inter命令來看,可是這條命令顯示的信息太多了,看起來不方便,如今我是用show inter status命令來看,這條命令能夠逐條顯示出每一個端口的通斷狀態(用「connected」和「notconnect」來表示),本例中我就經過這條命 令找到了一個空閒的端口3來進行隨後的測試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
2、端口安全的基本操做
(一)顯示端口3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
(因爲端口上面如今沒接任何網線,因此顯示該端口上面沒有任何MAC地址)
(二)清除動態獲到的MAC 地址
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操做的目的是確認當前端口上面沒有MAC地址的記錄,以便證實咱們之後進行的操做是有效的。
(三)關閉端口、將其配置爲接入端口並執行配置端口安全的命令
端口安全的實現是經過switchport port-security命令來實現的,這是一條核心的指令,輔以與之相關的其它命令,咱們就能夠實現端口安全的設置。因爲大多采用的默認設置,因此本 例實現的功能是端口3上面只容許一個指定的MAC地址經過,並在出現安全違規時關閉端口,先對相關的設置命令作一下解釋:
switchport port-security命令在端口上啓用端口安全,默認設置狀況下只容許一個MAC地址經過,並在出現安全違規時關閉接口。)
switchport port-security mac-add sticky命令讓交換機獲悉當前與端口相關聯的MAC地址,該地址將包含在運行配置中。若是將運行配置保存到啓動配置中,則路由器重啓後,該地址也將保留下來。
介紹完核心命令的操做,咱們再介紹一下端口安全操做的思路:首先關閉端口3。使用命令switchport mode access將端口配置爲接入端口,以便配置端口安全。使用命令switchport port-securtiy啓用端口安全,而後使用命令swithchport port-security mac-address sticky讓端口獲悉其鏈接機的主機的IP地址。最後,執行命令no shutdown從新啓用端口,使其可以獲悉主機的MAC地址,實現以上操做的命令以下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky (設置MAC地址的粘性,我對這條命令的理解是交換機會自動的學習到第一次接到到該端口的網絡設備的MAC地址,並把它記錄到當前的配置文件中)
3550(config-if)#end
(四)查看配置信息的操做
一、查看當前配置文件中有關FA0/3端口的信息
3550#show run inter fa0/3
Building configuration...
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
二、查看有關FA0/3端口安全方面的信息
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實際測試
咱們拿一臺筆記本電腦,接入FA0/3端口,這檯筆記本網卡的狀態顯示爲連通,因爲VLAN66網段內有DHCP服務器,也能夠順利的獲取IP地址,訪問網絡。而後再將鏈接這檯筆記本電腦的網線接到另一臺微機上,該微機的網卡狀態顯示爲斷開,說明端口安全已經生效。
(六)存在的問題
原本覺得端口安全的操做到此已經完成了,可是將這根網線再插回到剛纔的那臺筆記本電腦上時,卻發現網絡仍然處於斷開狀態,查看端口的狀態,處於 「error disable」,雖然咱們能夠經過在FA0/3端口執行shutdown和no shutdown命令將這個端口恢復正常,可是這個操做太麻煩了,並且也不現實,總不能每次用戶每次發現端口關閉了之後,都去找網管員執行 shutdown、no shutdonw命令。
3、對端口安全設置的深刻研究
在已經實現端口安全的基礎上(雖然效果跟咱們的要求還有必定差距),咱們繼續對相關的功能進行研究,在查看端口安全狀態的「Violation(違 背) Mode」時,發現默認的處理是shutdown,那麼還有沒有其它的選項呢經過「」(幫助),咱們還真找到其它的兩個選項,分別爲
3550(config-if)#switchport port-security violation
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
經過查看相關的資料,咱們瞭解到protect參數的含義是當發生違背安全的狀況時,是將數據包丟棄,這正好咱們的設想,即不是將發生違規的端口關閉,而是將違規的數據包丟棄,這纔是咱們所要的結果,具體的設置命令以下:
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0
從實際測試的效果來看也達到咱們的要求,即該端口安全的設置生效後,首先鏈接筆記本電腦是能夠接入網絡的,更換爲一臺臺式機之後,該臺式機的網卡狀態仍然顯示爲已鏈接,可是網絡數據不通,當從新接回筆記本電腦後,網絡的通信又恢復正常了。html