CISCO交換機(jī)端口安全一點(diǎn)通
網(wǎng)界網(wǎng)
摘要: 某單位中有一臺(tái)Cisco3550交換機(jī),出于網(wǎng)絡(luò)安全的考慮,對(duì)某些端口的安全性要求較高,即只能接入指定的主機(jī),比如設(shè)置一間辦公室只有某臺(tái)筆記本電腦可以接入網(wǎng)絡(luò),當(dāng)他帶著筆記本出去后,即使空出了網(wǎng)絡(luò)接口,其它的電腦也無(wú)法使用這根網(wǎng)線。下面我們就看網(wǎng)絡(luò)管理人員是如何逐步實(shí)現(xiàn)這一需求的。
Abstract:
Key words :
場(chǎng)景:某單位中有一臺(tái)CISCO3550交換機(jī),出于網(wǎng)絡(luò)安全的考慮,對(duì)某些端口的安全性要求較高,即只能接入指定的主機(jī),比如設(shè)置一間辦公室只有某臺(tái)筆記本電腦可以接入網(wǎng)絡(luò),當(dāng)他帶著筆記本出去后,即使空出了網(wǎng)絡(luò)接口,其它的電腦也無(wú)法使用這根網(wǎng)線。下面我們就看網(wǎng)絡(luò)管理人員是如何逐步實(shí)現(xiàn)這一需求的。
一、判斷交換機(jī)端口通斷狀態(tài)的方法
作為網(wǎng)絡(luò)管理員,在應(yīng)用新的功能前,肯定要先經(jīng)過(guò)測(cè)試,即為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,只能在空閑的端口上面測(cè)試新功能。如何找到空閑的端口,到交換機(jī)的前面直接去查看是一種方法,當(dāng)然作為一名資深的網(wǎng)管人員來(lái)說(shuō),一般是不會(huì)這么做的,我們是通過(guò)在交換機(jī)上執(zhí)行相應(yīng)的指令來(lái)找到自己所需的答案的。以前我是用show inter命令來(lái)看,但是這條命令顯示的信息太多了,看起來(lái)不方便,現(xiàn)在我是用show inter status命令來(lái)看,這條命令可以逐條顯示出每個(gè)端口的通斷狀態(tài)(用“connected”和“notconnect”來(lái)表示),本例中我就通過(guò)這條命令找到了一個(gè)空閑的端口3來(lái)進(jìn)行隨后的測(cè)試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
二、端口安全的基本操作
(一)顯示端口3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
(由于端口上面現(xiàn)在沒(méi)接任何網(wǎng)線,所以顯示該端口上面沒(méi)有任何MAC地址)
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操作的目的是確認(rèn)當(dāng)前端口上面沒(méi)有MAC地址的記錄,以便證明我們以后進(jìn)行的操作是有效的。
(三)關(guān)閉端口、將其配置為接入端口并執(zhí)行配置端口安全的命令
端口安全的實(shí)現(xiàn)是通過(guò)switchport port-security命令來(lái)實(shí)現(xiàn)的,這是一條核心的指令,輔以與之相關(guān)的其它命令,我們就可以實(shí)現(xiàn)端口安全的設(shè)置。由于大多采用的默認(rèn)設(shè)置,所以本例實(shí)現(xiàn)的功能是端口3上面只允許一個(gè)指定的MAC地址通過(guò),并在出現(xiàn)安全違規(guī)時(shí)關(guān)閉端口,先對(duì)相關(guān)的設(shè)置命令做一下解釋:
switchport port-security命令在端口上啟用端口安全,默認(rèn)設(shè)置情況下只允許一個(gè)MAC地址通過(guò),并在出現(xiàn)安全違規(guī)時(shí)關(guān)閉接口。)
switchport port-security mac-add sticky命令讓交換機(jī)獲悉當(dāng)前與端口相關(guān)聯(lián)的MAC地址,該地址將包含在運(yùn)行配置中。如果將運(yùn)行配置保存到啟動(dòng)配置中,則路由器重啟后,該地址也將保留下來(lái)。
介紹完核心命令的操作,我們?cè)俳榻B一下端口安全操作的思路:首先關(guān)閉端口3。使用命令switchport mode access將端口配置為接入端口,以便配置端口安全。使用命令switchport port-securtiy啟用端口安全,然后使用命令swithchport port-security mac-address sticky讓端口獲悉其連接機(jī)的主機(jī)的IP地址。最后,執(zhí)行命令no shutdown重新啟用端口,使其能夠獲悉主機(jī)的MAC地址,實(shí)現(xiàn)以上操作的命令如下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky(設(shè)置MAC地址的粘性,我對(duì)這條命令的理解是交換機(jī)會(huì)自動(dòng)的學(xué)習(xí)到第一次接到到該端口的網(wǎng)絡(luò)設(shè)備的MAC地址,并把它記錄到當(dāng)前的配置文件中)
3550(config-if)#end
1、查看當(dāng)前配置文件中有關(guān)FA0/3端口的信息
3550#show run inter fa0/3
Building configuration...
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
2、查看有關(guān)FA0/3端口安全方面的信息
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實(shí)際測(cè)試
我們拿一臺(tái)筆記本電腦,接入FA0/3端口,這臺(tái)筆記本網(wǎng)卡的狀態(tài)顯示為連通,由于VLAN66網(wǎng)段內(nèi)有DHCP服務(wù)器,也可以順利的獲取IP地址,訪問(wèn)網(wǎng)絡(luò)。然后再將連接這臺(tái)筆記本電腦的網(wǎng)線接到另外一臺(tái)微機(jī)上,該微機(jī)的網(wǎng)卡狀態(tài)顯示為斷開(kāi),說(shuō)明端口安全已經(jīng)生效。
(六)存在的問(wèn)題
本來(lái)以為端口安全的操作到此已經(jīng)完成了,但是將這根網(wǎng)線再插回到剛才的那臺(tái)筆記本電腦上時(shí),卻發(fā)現(xiàn)網(wǎng)絡(luò)仍然處于斷開(kāi)狀態(tài),查看端口的狀態(tài),處于“error disable”,雖然我們可以通過(guò)在FA0/3端口執(zhí)行shutdown和no shutdown命令將這個(gè)端口恢復(fù)正常,但是這個(gè)操作太麻煩了,而且也不現(xiàn)實(shí),總不能每次用戶每次發(fā)現(xiàn)端口關(guān)閉了以后,都去找網(wǎng)管員執(zhí)行shutdown、no shutdonw命令。
三、對(duì)端口安全設(shè)置的深入研究
在已經(jīng)實(shí)現(xiàn)端口安全的基礎(chǔ)上(雖然效果跟我們的要求還有一定差距),我們繼續(xù)對(duì)相關(guān)的功能進(jìn)行研究,在查看端口安全狀態(tài)的“Violation(違背) Mode”時(shí),發(fā)現(xiàn)默認(rèn)的處理是shutdown,那么還有沒(méi)有其它的選項(xiàng)呢?通過(guò)“?”(幫助),我們還真找到其它的兩個(gè)選項(xiàng),分別為
3550(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
通過(guò)查看相關(guān)的資料,我們了解到protect參數(shù)的含義是當(dāng)發(fā)生違背安全的情況時(shí),是將數(shù)據(jù)包丟棄,這正好我們的設(shè)想,即不是將發(fā)生違規(guī)的端口關(guān)閉,而是將違規(guī)的數(shù)據(jù)包丟棄,這才是我們所要的結(jié)果,具體的設(shè)置命令如下:
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0
從實(shí)際測(cè)試的效果來(lái)看也達(dá)到我們的要求,即該端口安全的設(shè)置生效后,首先連接筆記本電腦是可以接入網(wǎng)絡(luò)的,更換為一臺(tái)臺(tái)式機(jī)以后,該臺(tái)式機(jī)的網(wǎng)卡狀態(tài)仍然顯示為已連接,但是網(wǎng)絡(luò)數(shù)據(jù)不通,當(dāng)重新接回筆記本電腦后,網(wǎng)絡(luò)的通訊又恢復(fù)正常了。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。