http://net.itwaka.com/
對于很多的企業網絡管理人員來說,交換機自然是最常打交道的裝置。那麼,你對交換機到底了解多少呢?下面我們就通過一個執行個體,先來探讨一下對于交換機端口配置和接入安全性保障的實戰演練!
場景:某機關中有一台CISCO3550交換機,出于網絡安全的考慮,對某些端口的安全性要求較高,即隻能接入指定的主機,比如設定一間辦公室 隻有某台筆記本電腦可以接入網絡,當他帶着筆記本出去後,即使空出了網絡接口,其它的電腦也無法使用這根網線。下面我們就看網絡管理人員是如何逐漸實作這 一需求的。
<b>一、判斷交換機端口通斷狀态的方法</b>
作為網絡管理者,在應用新的功能前,肯定要先經過測試,即為了保證網絡的穩定運作,隻能在空閑的端口上面測試新功能。如何找到空閑的端口,到交 換機的前面直接去檢視是一種方法,當然作為一名資深的網管人員來說,一般是不會這麼做的,我們是通過在交換機上執行相應的指令來找到自己所需的答案的。以 前我是用 show inter指令來看,但是這條指令顯示的資訊太多了,看起來不友善,現在我是用show inter status指令來看,這條指令可以逐條顯示出每個端口的通斷狀态(用“connected”和“notconnect”來表示),本例中我就通過這條命 令找到了一個空閑的端口3來進行随後的測試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
<b>二、端口安全的基本操作</b>
(一)顯示端口3口上面的MAC位址
3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
(由于端口上面現在沒接任何網線,是以顯示該端口上面沒有任何MAC位址)
(二)清除動态獲到的MAC 位址
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操作的目的是确認目前端口上面沒有MAC位址的記錄,以便證明我們以後進行的操作是有效的。
(三)關閉端口、将其配置為接入端口并執行配置端口安全的指令
端口安全的實作是通過switchport port-security指令來實作的,這是一條核心的指令,輔以與之相關的其它指令,我們就可以實作端口安全的設定。由于大多采用的預設設定,是以本 例實作的功能是端口3上面隻允許一個指定的MAC位址通過,并在出現安全違規時關閉端口,先對相關的設定指令做一下解釋:
switchport port-security指令在端口上啟用端口安全,預設設定情況下隻允許一個MAC位址通過,并在出現安全違規時關閉接口。)
switchport port-security mac-add sticky指令讓交換機獲悉目前與端口相關聯的MAC位址,該位址将包含在運作配置中。如果将運作配置儲存到啟動配置中,則路由器重新開機後,該位址也将保留下來。
介紹完核心指令的操作,我們再介紹一下端口安全操作的思路:首先關閉端口3。使用指令switchport mode access将端口配置為接入端口,以便配置端口安全。使用指令switchport port-securtiy啟用端口安全,然後使用指令swithchport port-security mac-address sticky讓端口獲悉其連接配接機的主機的IP位址。最後,執行指令no shutdown重新啟用端口,使其能夠獲悉主機的MAC位址,實作以上操作的指令如下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky (設定MAC位址的粘性,我對這條指令的了解是交換機會自動的學習到第一次接到到該端口的網絡裝置的MAC位址,并把它記錄到目前的配置檔案中)
3550(config-if)#end
(四)檢視配置資訊的操作
1、檢視目前配置檔案中有關FA0/3端口的資訊
3550#show run inter fa0/3
Building configuration...
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
2、檢視有關FA0/3端口安全方面的資訊
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實際測試
我們拿一台筆記本電腦,接入FA0/3端口,這台筆記本網卡的狀态顯示為連通,由于VLAN66網段内有DHCP伺服器,也可以順利的擷取IP位址,通路網絡。然後再将連接配接這台筆記本電腦的網線接到另外一台微機上,該微機的網卡狀态顯示為斷開,說明端口安全已經生效。
(六)存在的問題
本來以為端口安全的操作到此已經完成了,但是将這根網線再插回到剛才的那台筆記本電腦上時,卻發現網絡仍然處于斷開狀态,檢視端口的狀态,處于 “error disable”,雖然我們可以通過在FA0/3端口執行shutdown和no shutdown指令将這個端口恢複正常,但是這個操作太麻煩了,而且也不現實,總不能每次使用者每次發現端口關閉了以後,都去找網管員執行 shutdown、no shutdonw指令。
<b>三、對端口安全設定的深入研究</b>
在已經實作端口安全的基礎上(雖然效果跟我們的要求還有一定差距),我們繼續對相關的功能進行研究,在檢視端口安全狀态的 “Violation(違背) Mode”時,發現預設的處理是shutdown,那麼還有沒有其它的選項呢?通過“?”(幫助),我們還真找到其它的兩個選項,分别為
3550(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
通過檢視相關的資料,我們了解到protect參數的含義是當發生違背安全的情況時,是将資料包丢棄,這正好我們的設想,即不是将發生違規的端口關閉,而是将違規的資料包丢棄,這才是我們所要的結果,具體的設定指令如下:
3550(config-if)#shut
3550#show port-security inter fa0/3
Violation Mode : Protect
Total MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
從實際測試的效果來看也達到我們的要求,即該端口安全的設定生效後,首先連接配接筆記本電腦是可以接入網絡的,更換為一台桌上型電腦以後,該桌上型電腦的網卡狀态仍然顯示為已連接配接,但是網絡資料不通,當重新接回筆記本電腦後,網絡的通訊又恢複正常了。
http://net.itwaka.com/jichu/70820.html
![我的職業生涯(四)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)