诡秘的“端口安全”功能
2012-05-17 07:31:33 来源:WEB开发网核心提示:【经验之谈】在一个中继端口上,最大的安全MAC地址数可以基于端口和基于端口VLAN来配置,诡秘的“端口安全”功能(2),端口上配置的最大安全MAC地址数可以大于或等于(不能小于)端口VLAN上配置的最大安全MAC地址数,如果端口上配置的最大安全MAC地址数小于端口VLAN上配置的最大安全MAC地址数(例如VLAN 10
【经验之谈】在一个中继端口上,最大的安全MAC地址数可以基于端口和基于端口VLAN来配置。端口上配置的最大安全MAC地址数可以大于或等于(不能小于)端口VLAN上配置的最大安全MAC地址数。如果端口上配置的最大安全MAC地址数小于端口VLAN上配置的最大安全MAC地址数(例如VLAN 10上设置的最大安全MAC地址为3,而端口的最大安全MAC地址数采用默认的1),则在端口VLAN上的安全MAC地址数超过端口上设置的最大安全MAC地址数时,端口就将被关闭。
3.安全MAC地址老化
在接收超过3000个MAC地址时,你可能想要老化安全MAC地址,以便对一些长时间没有连接的安全MAC地址从MAC地址表中除去。但是粘性(sticky)安全MAC地址不支持老化过程。
默认情况下,端口安全不会对安全地址进行老化的,学习到后,这个MAC地址将一直在端口上保留,直到交换机重启或才链路断开(当然这是在没有启用粘性MAC地址功能时)。端口安全允许你基于绝对(absolute)或者静止(inactivity)模式配置MAC地址老化和老化时间。绝对模式的老化周期是n~n+1分钟之间;静止模式的老化周期是在n+1~n+2分钟之间(时间增量为1分钟)。
使用安全MAC地址老化功能可以还没达到端口上配置的最大安全MAC地址数之前,在安全端口上删除和添加PC,无需手动删除现有的安全MAC地址。
除非明确地使用switchport port-security aging static命令静态配置MAC地址老化时间,静态安全MAC地址是不会进行老化进程的,即使在在该端口上配置了老化进程。
4.端口上的粘性MAC地址
通过启用粘性端口安全功能,你可以配置一个接口去转换动态MAC地址为粘性安全MAC地址,并添加他们到交换机的运行配置文件中。在你不需要用户移动到其他端口时,你可以使用这种功能,这样你就无需要在每个端口上手动配置大量的安全MAC地址。
要启用粘性端口安全功能,可键入switchport port-security mac-address sticky接口配置模式命令。此时,接口将转换所有动态安全MAC地址为粘性安全MAC地址,包括在启用粘性安全MAC地址功能前动态学习到的所有MAC地址。
粘性安全MAC地址不会自动成为交换机启动配置文件的一部分,如果你保存了运行配置文件,则在交换机重启后,接口也不用再重新学习MAC地址了,但是如果你不保存运行配置文件,则以前自动转换的粘性安全MAC地址表将丢失。
如果禁止粘性端口安全功能,则粘性安全MAC地址将自动转换为动态安全MAC地址,并自动从交换机的运行配置文件中删除。在配置了最大安全MAC地址数后,这些粘性安全MAC地址将以表的形式存储。要使某设备成为某端口唯一的连接者,则可以在该端口上配置最大的安全MAC地址数为1。如果添加到某端口的安全MAC地址数超过配置的最大安全MAC地址数将发生违例事件。
5. 违例行为模式
你可以配置发生违例事件后所采取的行为模式:
l 保护(protect):当安全MAC地址数超过端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。建议不要在中继端口上配置保护行为,因为在中继端口上某个VLAN达到该VLAN中所配置的最大安全MAC地址数时端口将被禁止,即使端口上的安全MAC地址数并未达到端口上配置的最大安全MAC地址数。
l 限制(Restrict):与前面的保护模式差不多,也是在安全MAC地址数达到端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。但这种行为模式会有一个SNMP捕获消息发送,并记录系统日志,违例计数器增加1。SNMP捕获通知发送的频率可以通过snmp-server enable traps port-security trap-rate命令来控制,默认值为0,表示在发生任何安全违例事件时发送SNMP捕获通知。
3.安全MAC地址老化
在接收超过3000个MAC地址时,你可能想要老化安全MAC地址,以便对一些长时间没有连接的安全MAC地址从MAC地址表中除去。但是粘性(sticky)安全MAC地址不支持老化过程。
默认情况下,端口安全不会对安全地址进行老化的,学习到后,这个MAC地址将一直在端口上保留,直到交换机重启或才链路断开(当然这是在没有启用粘性MAC地址功能时)。端口安全允许你基于绝对(absolute)或者静止(inactivity)模式配置MAC地址老化和老化时间。绝对模式的老化周期是n~n+1分钟之间;静止模式的老化周期是在n+1~n+2分钟之间(时间增量为1分钟)。
使用安全MAC地址老化功能可以还没达到端口上配置的最大安全MAC地址数之前,在安全端口上删除和添加PC,无需手动删除现有的安全MAC地址。
除非明确地使用switchport port-security aging static命令静态配置MAC地址老化时间,静态安全MAC地址是不会进行老化进程的,即使在在该端口上配置了老化进程。
4.端口上的粘性MAC地址
通过启用粘性端口安全功能,你可以配置一个接口去转换动态MAC地址为粘性安全MAC地址,并添加他们到交换机的运行配置文件中。在你不需要用户移动到其他端口时,你可以使用这种功能,这样你就无需要在每个端口上手动配置大量的安全MAC地址。
要启用粘性端口安全功能,可键入switchport port-security mac-address sticky接口配置模式命令。此时,接口将转换所有动态安全MAC地址为粘性安全MAC地址,包括在启用粘性安全MAC地址功能前动态学习到的所有MAC地址。
粘性安全MAC地址不会自动成为交换机启动配置文件的一部分,如果你保存了运行配置文件,则在交换机重启后,接口也不用再重新学习MAC地址了,但是如果你不保存运行配置文件,则以前自动转换的粘性安全MAC地址表将丢失。
如果禁止粘性端口安全功能,则粘性安全MAC地址将自动转换为动态安全MAC地址,并自动从交换机的运行配置文件中删除。在配置了最大安全MAC地址数后,这些粘性安全MAC地址将以表的形式存储。要使某设备成为某端口唯一的连接者,则可以在该端口上配置最大的安全MAC地址数为1。如果添加到某端口的安全MAC地址数超过配置的最大安全MAC地址数将发生违例事件。
5. 违例行为模式
你可以配置发生违例事件后所采取的行为模式:
l 保护(protect):当安全MAC地址数超过端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。建议不要在中继端口上配置保护行为,因为在中继端口上某个VLAN达到该VLAN中所配置的最大安全MAC地址数时端口将被禁止,即使端口上的安全MAC地址数并未达到端口上配置的最大安全MAC地址数。
l 限制(Restrict):与前面的保护模式差不多,也是在安全MAC地址数达到端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。但这种行为模式会有一个SNMP捕获消息发送,并记录系统日志,违例计数器增加1。SNMP捕获通知发送的频率可以通过snmp-server enable traps port-security trap-rate命令来控制,默认值为0,表示在发生任何安全违例事件时发送SNMP捕获通知。
更多精彩
赞助商链接