cisco端口安全配置详解.doc

cisco交换机端口的安全配置一、switchport port-security设置端口安全功能，端口安全的违例处理等。使用该命令的no选项关闭端口安全的设置，或者将安全违例处理方式恢复成缺省值。switchport port-security violation protect | restrict | shutdownno switchport port-security violation参数说明 参数描述 port-security接口安全开关 violation protect发现违例，则丢弃违例的报文。 violation restrict发现违例，则丢弃违例的报文并且发送trap。 violation shutdown发现违例，则丢弃报文、发送Trap并且关闭接口。 缺省配置 接口的安全缺省是关闭的。命令模式 接口配置模式使用指导 利用端口安全这个特性，可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。此外，还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全M地址）将独享该端口的全部带宽。 配置举例 下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能，并设置违例处理为shutdown：Ruijie(config)# interface gigabitethernet1/1Ruijie(config-if)# switchport port-securityRuijie(config-if)# switchport port-security violation shutdown二、 switchport port-security aging 该命令为一个接口上的所有安全地址配置老化时间。打开这个功能，就需要设置安全地址的最大个数，这样，就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址，或者关闭老化功能。switchport port-security aging static | time time no switchport port-security aging static | time参数说明 参数描述 Static表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则则只应用于自动学习的地址。 time time表示这个端口上安全地址的老化时间，范围是01440，单位是分钟。如果设置为0，则老化功能实际上被关闭。缺省配置 不老化任何安全地址命令模式 接口配置模式使用指导 可以在接口配置模式下使用命令no switchport port-security aging time关闭一个接口的安全地址老化功能，使用命令no switchport port-security aging static来是老化时间仅应用于动态学习到的安全地址。使用show port-security命令查看设置。配置举例 Ruijie(config)# interface gigabitethernet1/1Ruijie(config-if)# switchport port-security aging time8Ruijie(config-if)# switchport port-security aging static相关命令 命令描述 show port-security显示端口安全的设置信息和安全地址。三、switchport port-security maximum 设置端口最大安全地址个数，使用no选项可恢复缺省个数：switchport port-security maximum valueno switchport port-security maximum 参数说明 参数描述 value安全地址个数1-128缺省配置 128命令模式 接口模式使用指导 安全地址个数包含静态配置和动态学习的安全地址个数的总和，缺省为128个，如果设置的安全地址个数小于当前已有的安全地址个数，将提示设置失败配置举例 例1：设置口10的端口安全地址个数为2：Ruijie(config)#interg0/10Ruijie(config-if)# switchport port-security maximum2 四、 switchport port-security mac-address 接口模式下手工配置静态安全地址，使用no选项删除配置的地址：no switchport port-security mac-address mac-addressvlan vlan-id参数说明 参数描述 mac-address静态安全地址 vlan-idMAC地址的VID注意：仅在TRUNK口下才支持设置vlan-id的设置缺省配置 无命令模式 接口模式配置举例 例1：设置TRUNK接口10的静态安全地址00d0.f800.5555 VID=2：Ruijie(config)#inter g0/10Ruijie(config-if)# switchport port-security mac-address00d0.f800.5555 vlan2 五、 show port-security 显示端口安全的设置信息和安全地址。show port-security address interfaceinterface-id all参数说明 参数描述 address显示所有的安全地址，或者是指定接口的所有安全地址。 interfaceinterface-id显示指定接口的端口安全设置信息。 all显示所有接口的端口安全设置信息。命令模式 特权模式使用指导 如果使用该命令时不加参数，则显示所有接口的安全设置状态、违例处理等信息，同时显示所有安全地址表的信息。配置举例 Ruijie# show port-securitySecure Port MaxSecureAddr(count) CurrentAddr(count) Security Action- - - -Gi1/1 128 1 RestrictGi1/2 128 0 RestrictGi1/3 8 1 Protect六、switchport protected该命令是将接口设为保护接口。使用该命令的no选项关闭保护接口。switchport protectedno switchport protected 缺省配置 缺省关闭保护接口 命令模式 接口配置模式 使用指导 当将某些端口设为保护口之后，缺省情况下保护口和保护口之间不能进行二层交换可以进行3层路由，保护口与非保护口之间可以正常通讯。使用show interfaces swit