设为首页 收藏本站
查看: 2166|回复: 0

[经验分享] Cisco组网之port-security

[复制链接]

尚未签到

发表于 2018-7-21 13:38:32 | 显示全部楼层 |阅读模式
  近日对公司内网接入MAC做了一次清查,原本只想用来做arp***或病毒的地址薄,但由于公司内还有一些2950没有使用,故依次换上做交换机接入安全.
  一.先将2950换上原来的傻瓜交换机.因为大部分傻瓜交换机都是在vlan端口下的,所以为方便管理,2950的vlan1  IP都设置成上级端口所在vlan ,也可以与上级端口起Trunk,下面依然可以再划Vlan.
  二,开始在二层交换机上收集MAC地址
  cisco2950#show mac address-table
  cisco2950#show mac address-table vlan 60  \\在众多的MAC地址上找出自已想要绑定的
  cisco2950#show mac address-table inter fa 0/1 \\找出具体在某个端口的MAC,下联交换机的话会有多个
  cisco3560#show ip arp XXX.XXX.XXX \\在三层交换上找出该MAC地址对应的IP地址,方便员工更换电脑后更改MAC绑定.如果公司内部使用DHCP,此部作用不大.
  三,将收集好的MAC地址绑定至端口
  cisco2950(config)# interface inter fa 0/1
  cisco2950(config-if)# switchport mode access \\ port-securtiy必须是access口
  cisco2950(config-if)# switchport port-security  \\首先启用port-securtiy
  cisco2950(config-if)# switchport port-security maximum 5 \\设置允许最大MAC地址数
  cisco2950(config-if)# switchport port-security mac-address sticky \\设置MAC地址粘贴
  cisco2950(config-if)# swtichport port-security violation restrict  \\设置违规策略
  这里需要说明的是,用switchport port-security mac-address sticky xxx.xxx.xxx 和使用switchport port-security mac-address xxx.xxx.xxx 的效果是一样的,但不同的是设置了switchport port-security mac-address sticky 后交换机会自动学习第一次PC接入交换机时的MAC地址,交换机会在该端口下自动增加switchport port-security mac-address sticky xxx.xxx.xxx 命令,即是交换机动态绑定的MAC地址,但是是永久保存的(重启之前),设置了MAC地址老化时间也不会自动删除,copy run stat 后该命令不会消失,当端口下PC更换时也只需no switchport port-security mac-address sticky xxx.xxx.xxx 手工删掉MAC地址的绑定让交换机重新学习即可.
  违规策略有三种,protect丢弃非法流量,不报警restrict丢弃非法流量,报警shutdown关闭端口,很明白聪明人都会选择restrict.同时也会增加交换机负担,但具个人经验而言一台2918 自动绑了几十个MAC,每Vlan生成树,下连接了七台交换机,CPU使用率也只有5%
  四,查看端口安全的效果
  Xingzhenglou# show mac address-table
  Mac Address Table
  -------------------------------------------
  Vlan    Mac Address       Type        Ports
  ----    -----------       --------    -----
  40    0001.6cc6.96a2    STATIC      Fa0/14
  40    0005.5d61.53a4    STATIC      Fa0/2
  40    0005.5d61.766f    STATIC      Fa0/1
  40    0005.5d66.8457    STATIC      Fa0/14
  40    0005.5d66.9039    STATIC      Fa0/14
  Type 一档变成了static,虽然本交换机是static但上联交换机对这个MAC地是dynamic,原因很简单,因为上联交换机没有绑定^ ^不过即然下联的绑了,上联交换机也没有必要做多余的重复绑定.
  Xingzhenglou#show port-security
  Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
  (Count)       (Count)          (Count)
  ---------------------------------------------------------------------------
  Fa0/1              9            9                  0         Restrict
  Fa0/2              6            6                  0         Restrict
  Fa0/3              1            1                  0         Restrict
  Fa0/5             17           14                  0         Restrict
  Fa0/11              1            0                  0         Restrict
  port-security所绑定的MAC地址数,fa0/1 fa0/2 的绑定都达到了最大MAC数,fa0/5还可以允许通过3个MAC.
  Xingzhenglou#show port-security address
  Secure Mac Address Table
  ------------------------------------------------------------------------
  Vlan    Mac Address       Type                     Ports   Remaining Age
  (mins)
  ----    -----------       ----                     -----   -------------
  40    0005.5d61.766f    SecureSticky             Fa0/1        -
  40    0005.5d87.f1b3    SecureSticky             Fa0/1        -
  40    000f.ea20.2c20    SecureSticky             Fa0/1        -
  40    0014.2a55.bf5d    SecureSticky             Fa0/1        -
  40    0014.7843.7597    SecureSticky             Fa0/1        -
  40    001d.7dcd.0038    SecureSticky             Fa0/1        -
  40    001f.d061.9b27    SecureSticky             Fa0/1        -
  40    0040.af7c.e5b8    SecureSticky             Fa0/1        -
  40    00c0.9f14.7416    SecureSticky             Fa0/1        -
  40    0005.5d61.53a4    SecureSticky             Fa0/2        -
  40    0005.5d6a.666b    SecureSticky             Fa0/2        -
  40    0005.5de3.36a6    SecureSticky             Fa0/2        -
  40    000b.2f04.8345    SecureSticky             Fa0/2        -
  40    0040.0515.13f3    SecureSticky             Fa0/2        -
  40    0040.0541.9487    SecureSticky             Fa0/2        -
  40    6cf0.49ab.70bb    SecureConfigured         Fa0/3        -
  30    0000.7477.4c60    SecureSticky             Fa0/5        -
  查看具体所绑定的MAC地址数,type一档显示了是怎样的绑定方式.其中fa0/3是通过switchport port-security mac-address xxx.xxx.xxx的方式绑定的.其它都是sticky自动学习到的.
  通过port-security绑定MAC地址做接入层的交换机安全就搞定了,但这些只是防止二层的非法用户接入和MAC地址泛洪***,并不能防止arp 欺骗等三层的***.
  但在网上查找相关资料时发现交换机只对单播的源MAC地址流量进行过滤,本人也没有对这个做实验,因为已经超出自身能力范围了,如有不正确之处,尽请指正!

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-539544-1-1.html 上篇帖子: cisco3550交换机配置端口镜像 下篇帖子: Cisco access-list中in和out的含义
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表