CISCO交換機端口安全一點通
網界網
摘要: 某單位中有一臺Cisco3550交換機,出于網絡安全的考慮,對某些端口的安全性要求較高,即只能接入指定的主機,比如設置一間辦公室只有某臺筆記本電腦可以接入網絡,當他帶著筆記本出去后,即使空出了網絡接口,其它的電腦也無法使用這根網線。下面我們就看網絡管理人員是如何逐步實現這一需求的。
Abstract:
Key words :
場景:某單位中有一臺CISCO3550交換機,出于網絡安全的考慮,對某些端口的安全性要求較高,即只能接入指定的主機,比如設置一間辦公室只有某臺筆記本電腦可以接入網絡,當他帶著筆記本出去后,即使空出了網絡接口,其它的電腦也無法使用這根網線。下面我們就看網絡管理人員是如何逐步實現這一需求的。
一、判斷交換機端口通斷狀態的方法
作為網絡管理員,在應用新的功能前,肯定要先經過測試,即為了保證網絡的穩定運行,只能在空閑的端口上面測試新功能。如何找到空閑的端口,到交換機的前面直接去查看是一種方法,當然作為一名資深的網管人員來說,一般是不會這么做的,我們是通過在交換機上執行相應的指令來找到自己所需的答案的。以前我是用show inter命令來看,但是這條命令顯示的信息太多了,看起來不方便,現在我是用show inter status命令來看,這條命令可以逐條顯示出每個端口的通斷狀態(用“connected”和“notconnect”來表示),本例中我就通過這條命令找到了一個空閑的端口3來進行隨后的測試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
二、端口安全的基本操作
(一)顯示端口3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
(由于端口上面現在沒接任何網線,所以顯示該端口上面沒有任何MAC地址)
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操作的目的是確認當前端口上面沒有MAC地址的記錄,以便證明我們以后進行的操作是有效的。
(三)關閉端口、將其配置為接入端口并執行配置端口安全的命令
端口安全的實現是通過switchport port-security命令來實現的,這是一條核心的指令,輔以與之相關的其它命令,我們就可以實現端口安全的設置。由于大多采用的默認設置,所以本例實現的功能是端口3上面只允許一個指定的MAC地址通過,并在出現安全違規時關閉端口,先對相關的設置命令做一下解釋:
switchport port-security命令在端口上啟用端口安全,默認設置情況下只允許一個MAC地址通過,并在出現安全違規時關閉接口。)
switchport port-security mac-add sticky命令讓交換機獲悉當前與端口相關聯的MAC地址,該地址將包含在運行配置中。如果將運行配置保存到啟動配置中,則路由器重啟后,該地址也將保留下來。
介紹完核心命令的操作,我們再介紹一下端口安全操作的思路:首先關閉端口3。使用命令switchport mode access將端口配置為接入端口,以便配置端口安全。使用命令switchport port-securtiy啟用端口安全,然后使用命令swithchport port-security mac-address sticky讓端口獲悉其連接機的主機的IP地址。最后,執行命令no shutdown重新啟用端口,使其能夠獲悉主機的MAC地址,實現以上操作的命令如下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky(設置MAC地址的粘性,我對這條命令的理解是交換機會自動的學習到第一次接到到該端口的網絡設備的MAC地址,并把它記錄到當前的配置文件中)
3550(config-if)#end
1、查看當前配置文件中有關FA0/3端口的信息
3550#show run inter fa0/3
Building configuration...
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
2、查看有關FA0/3端口安全方面的信息
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實際測試
我們拿一臺筆記本電腦,接入FA0/3端口,這臺筆記本網卡的狀態顯示為連通,由于VLAN66網段內有DHCP服務器,也可以順利的獲取IP地址,訪問網絡。然后再將連接這臺筆記本電腦的網線接到另外一臺微機上,該微機的網卡狀態顯示為斷開,說明端口安全已經生效。
(六)存在的問題
本來以為端口安全的操作到此已經完成了,但是將這根網線再插回到剛才的那臺筆記本電腦上時,卻發現網絡仍然處于斷開狀態,查看端口的狀態,處于“error disable”,雖然我們可以通過在FA0/3端口執行shutdown和no shutdown命令將這個端口恢復正常,但是這個操作太麻煩了,而且也不現實,總不能每次用戶每次發現端口關閉了以后,都去找網管員執行shutdown、no shutdonw命令。
三、對端口安全設置的深入研究
在已經實現端口安全的基礎上(雖然效果跟我們的要求還有一定差距),我們繼續對相關的功能進行研究,在查看端口安全狀態的“Violation(違背) Mode”時,發現默認的處理是shutdown,那么還有沒有其它的選項呢?通過“?”(幫助),我們還真找到其它的兩個選項,分別為
3550(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
通過查看相關的資料,我們了解到protect參數的含義是當發生違背安全的情況時,是將數據包丟棄,這正好我們的設想,即不是將發生違規的端口關閉,而是將違規的數據包丟棄,這才是我們所要的結果,具體的設置命令如下:
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0
從實際測試的效果來看也達到我們的要求,即該端口安全的設置生效后,首先連接筆記本電腦是可以接入網絡的,更換為一臺臺式機以后,該臺式機的網卡狀態仍然顯示為已連接,但是網絡數據不通,當重新接回筆記本電腦后,網絡的通訊又恢復正常了。
此內容為AET網站原創,未經授權禁止轉載。