華爲交換機端口安全配置學習筆記
安全
一、查看交換機中所記錄的MAC表
每一個MAC與端口都是對應的,是個映射關係。在上圖中,PC1機器ping服務器server時,PC1發送的ping數據幀時,首先由通過HUB(hub其實就是個傻瓜交接機,會把數據幀向全部端口轉發),而後由交換機的gi0/0/2端口進入交換機,這時交換機就會把數據幀中的源MAC地址與gi0/0/2端口寫入MAC表中。就是這麼產生的。
ping完服務器server1後,再在交換機上查看MAC表。
[sw1]dis mac-address
MAC地址與對應的端口,還有VLAN,都會列出。其中Type有兩種:
爲sticky時:表示此MAC地址爲固定的,也就是手動配置的,若是不更改的話,MAC地址會與端口一直綁定,再接入新的設備就沒法通訊了,由於MAC與配置的不一樣。
爲dynamic時,表示獲取的MAC地址是動態的,當接入新設備時再通訊時,會變成新設備的MAC地址。
交換機中所記錄的mac表是有時間限制的,就是當到必定時間後(不會太長時間,以秒單位),若是沒有通訊的話,就會消失。再用dis mac-address時是空的。
有個注意的地方,交換機的端口,若是接了HUB,如上圖拓撲圖,HUB上又接了不少臺PC機,這時交換機上的MAC表中會存儲HUB所鏈接的全部PC機的MAC地址並對應端口gi0/0/2。這是由於HUB就至關於透明的,一條直線,HUB會把數據轉發到全部端口上。
二、端口安全配置(交換機)
2.1只能容許一臺PC通訊。
將交換機端口gi0/0/2打開端口安全後,那麼gi0/0/2端口只容許一個MAC地址通訊。若是你經過HUB方式鏈接了gi0/0/2端口上,那麼在多臺PC機中,也只能容許一臺PC機通訊。多臺PC中容許哪臺呢?誰先第一次通訊就先容許誰通訊,這時其它的PC機就能通訊了。就是衆多PC機中,第一個通訊的PC機的MAC地址會被記錄在交換機的MAC地址表,因此其餘PC機就沒法通訊了。這就是動態獲取。
[sw1-GigabitEthernet0/0/2]port-security enable //開啓端口安全
咱們先讓pc2去ping服務器server1,而後再讓pc1去ping服務器server1。發現pc2能通訊,而pc1卻沒法通訊了。
2.2容許多臺PC通訊。
[sw1-GigabitEthernet0/0/2]port-security max-mac-num 2 //容許最大2臺PC通訊
這時PC1和PC2能夠同時與服務器server1通訊了。
2.3端口綁定固定MAC地址。
將端口綁定上指定MAC地址,這樣配置後,除了綁定的MAC地址容許通訊後,其餘的都不容許通訊。
[sw1-GigabitEthernet0/0/2]port-security mac-address sticky //啓用sticky,sticky爲粘貼的意思
[sw1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9857-6c71 //把MAC地址粘貼(綁定)到gi0/0/2端口上
查看交換機上的mac表:
注意:這塊可能和咱們想的不同,經過配置命令port-security mac-address sticky XXXX把MAC地址綁定到gi0/0/2端口時,要注意MAC的格式:54-89-98-57-6C-71這個是PC機中的MAC地址格式,但在配置命令中是不能用的。要採用5489-9857-6C71這種格式。就能夠配置成功。以下圖報錯和成功對比。並且在端口下沒法查看到綁定的mac地址,只能用dis mac-addresss查看。
2.4端口安全保護動做。
就是當端口配置完安全後,若是有非受信的設備訪問時,端口所作的響應!
保護動做用三種:
protect 只把數據丟棄
restrict 丟充數據並給出提示,//通常都會配置這個動做。
shutdown 直接關掉端口
若是配置了shutdown,之後要恢復時,須要登錄交換機上手動undo shutdown來恢復端口。
服務器