cisco端口安全配置详解

cisco 交换机端口的安全配置交换机端口的安全配置 一 一 switchport port security 设置端口安全功能 端口安全的违例处理等 使用该命令的 no 选项关闭端口安全的设置 或者将安全违例处理方式恢复成缺省值 switchport port security violation protect restrict shutdown no switchport port security violation 参数描述 port security接口安全开关 violation protect发现违例 则丢弃违例的报文 violation restrict 发现违例 则丢弃违例的报文并且发送 trap 参数说明 violation shutdown 发现违例 则丢弃报文 发送 Trap 并且关闭 接口 缺省配置 接口的安全缺省是关闭的 命令模式 接口配置模式 使用指导 利用端口安全这个特性 可以通过限制允许访问设备上某个接口的 MAC 地址以及 IP 可选 来实现严格控制对该接口的输入 当为安全端口 打开了 端口安全功能的端口 配置了一些安全地址后 则除了源地址为这些安全地 址的包外 这个端口将不转发其它任何报 此外 还可以限制一个端口上 能包含的安全地址最大个数 如果将最大个数设置为 1 并且为该端口配置 一个安全地址 则连接到这个口的工作站 其地址为配置的安全 M 地址 将独享该端口的全部带宽 配置举例 下面的例子是在接口 Gigabitethernet 1 1 上打开端口安全功能 并设置违例 处理为 shutdown Ruijie config interface gigabitethernet1 1 Ruijie config if switchport port security Ruijie config if switchport port security violation shutdown 二 二 switchport port security aging 该命令为一个接口上的所有安全地址配置老化时间 打开这个功能 就需要设置安全地址 的最大个数 这样 就可以让设备自动的增加和删除接口上的安全地址 使用该命令的 no 选项设置老化时间只应用于自动学习的地址 或者关闭老化功能 switchport port security aging static time time no switchport port security aging static time 参数描述 Static 表示老化时间将同时应用于手工配置的安全 地址和自动学习的地址 否则则只应用于自 动学习的地址 参数说明 time time 表示这个端口上安全地址的老化时间 范围 是 0 1440 单位是分钟 如果设置为 0 则老化功能实际上被关闭 缺省配置 不老化任何安全地址 命令模式 接口配置模式 使用指导 可以在接口配置模式下使用命令 no switchport port security aging time 关闭 一个接口的安全地址老化功能 使用命令 no switchport port security aging static 来是老化时间仅应用于动态学习到的安全地址 使用 show port security 命令查看设置 配置举例 Ruijie config interface gigabitethernet1 1 Ruijie config if switchport port security aging time8 Ruijie config if switchport port security aging static 命令描述 相关命令 show port security 显示端口安全的设置信息和安 全地址 三 三 switchport port security maximum 设置端口最大安全地址个数 使用 no 选项可恢复缺省个数 switchport port security maximum value no switchport port security maximum 参数描述 参数说明 value安全地址个数 1 128 缺省配置 128 命令模式 接口模式 使用指导 安全地址个数包含静态配置和动态学习的安全地址个数的总和 缺省为 128 个 如果设置的安全地址个数小于当前已有的安全地址个数 将提示 设置失败 配置举例 例 1 设置口 10 的端口安全地址个数为 2 Ruijie config interg0 10 Ruijie config if switchport port security maximum2 四 四 switchport port security mac address 接口模式下手工配置静态安全地址 使用 no 选项删除配置的地址 no switchport port security mac address mac address vlan vlan id 参数描述 mac address静态安全地址 参数说明 vlan id MAC 地址的 VID 注意 仅在 TRUNK 口下才支持设置 vlan id 的设置 缺省配置 无 命令模式 接口模式 配置举例 例 1 设置 TRUNK 接口 10 的静态安全地址 00d0 f800 5555 VID 2 Ruijie config inter g0 10 Ruijie config if switchport port security mac address00d0 f800 5555 vlan2 五 五 show port security 显示端口安全的设置信息和安全地址 show port security address interfaceinterface id all 参数描述 address 显示所有的安全地址 或者是指定接口的所 有安全地址 interfaceinterface id显示指定接口的端口安全设置信息 参数说明 all显示所有接口的端口安全设置信息 命令模式 特权模式 使用指导 如果使用该命令时不加参数 则显示所有接口的安全设置状态 违例处理 等信息 同时显示所有安全地址表的信息 配置举例 Ruijie show port security Secure Port MaxSecureAddr count CurrentAddr count Security Action Gi1 1 128 1 Restrict Gi1 2 128 0 Restrict Gi1 3 8 1 Protect 六 六 switchport protected 该命令是将接口设为保护接口 使用该命令的 no 选项关闭保护接口 switchport protected no switchport protected 缺省配置 缺省关闭保护接口 命令模式 接口配置模式 使用指导 当将某些端口设为保护口之后 缺省情况下保护口和保护口之间不能进 行二层交换可以进行 3 层路由 保护口与非保护口之间可以正常通讯 使用 show interf