我們經常聽說“端口安全”功能是如何強大,應用如何靈活,但我們很少人系統地對“端口安全”功能有一個比較系統的了解�����。Cisco IOS交換機中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(稱之為“安全MAC地址”),或者MAC地址范圍�����,或者最大安全地址數��,以實現阻止未授權MAC地址的用戶訪問,當然它的應用方式很靈活��。本篇僅介紹其基本簡介���,詳細的介紹參見《Cisco/H3C交換機高級醘與管理技術手冊》一書。
【說明】以下內容摘自筆者編著的��,新市的《Cisco/H3C交換機高級配置與管理技術手冊》一書��。其姊妹篇《Cisco/H3C交換機配置與管理完全手冊》(第二版)(目前當當網和卓越網上最低為震撼的63折)實際時間僅用了三個多月就已實現重印���,感謝各位的大力支持!!
15.3.1 端口安全功能簡介
Cisco IOS交換機的端口安全功能允許你通過配置靜態安全MAC地址實現僅允許固定設備連接��,也允許你在一個端口上配置一個最大的安全MAC地址數��,僅允許在此數之前識別到的設備連接在該端口上�����。當超過了所設置的最大安全端口數���,將觸發一個安全違例事件,在端口上配置的一個基于違例行為模式的違例行為將被執行��。如果你在某個端口上配置的最大安全MAC地址數為1,則設備上的該安全端口僅允許與固定設備連接�����。如果一個安全MAC地址在一個端口上進行了安全綁定��,則這個MAC地址不能進入該端口加入的VLAN以外的任何其他端口�����,否則包將在硬件層被悄悄地丟棄���。
1. 端口安全功能支持的安全MAC地址類型
Cisco IOS交換機端口安全功能支持以下幾種安全MAC地址類型:
l 動態或者學習類型:動態安全MAC地址是在接收到連接在安全端口上主機發來的包時學習到的�����。在用戶的MAC地址不固定時(如網絡用戶使用的經常移動的便攜式電腦�����,如筆記本電腦)��,你可以使用此種類型���。
l 靜態或配置類型:靜態安全MAC地址是用戶通過CLI或者SNMP配置的MAC地址��。在你的MAC地址保持固定時(如用戶使用的是PC機)��,可以使用這種類型�����。
l 粘性(Sticky)類型:粘性安全MAC地址也是像動態安全MAC地址一樣�����,是通過學習得到的,但是它是交換機重啟后仍然有效���,又有點像靜態安全MAC地址那樣�����。在存在大量固定MAC地址���,而且你又不想手動配置這些安全MAC地址時,就可以使用這種類型���。
如果一個端口已達到了它最大的安全MAC地址數���,而你又想配置一個靜態安全MAC地址�����,此時會被拒絕的��,并顯示一個錯誤提示��。如果一個端口已達到了它最大的安全MAC地址數���,而又添加了一個新的動態安全MAC地址,則會觸發一個違例行為��。
你可以使用clear port-security命令清除動態安全MAC地址��,你可以使用no switchport port-security mac-address命令一次性清除粘性和靜態安全MAC地址�����。
2. 安全MAC地址的最大數
一個安全端口默認有一個安全MAC地址��。你可以改變這個默認值在1~3000之間��。當你在一個端口上設置最大安全MAC數后,你可以以下任一方式在地址表中包括這些安全MAC地址:
l 你可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址���。
l 你可以通過port-security mac-address VLAN范圍配置命令在中繼端口上一個范圍VLAN中配置所有安全MAC地址��。
l 你可以允許端口用所連接設備的MAC地址動態配置安全MAC地址���。
l 你可以靜態配置一些安全MAC地址,而允許其余的安全MAC地址動態配置(如果端口鏈路關閉���,則該端口上所有動態安全MAC地址將不再是安全的)��。
l 你可以MAC地址為粘性的(sticky)��。這些安全MAC地址可以動態學習,也可以手動配置�����,然后保存在MAC地址表中���,并添加到運行配置文件中�����。然后這些地址會保存在交換機的啟動配置文件中��,在交換機重啟后���,接口不用再重新學習�����。雖然你可以手動配置粘性安全MAC地址���,但這種做法是不建議的。
【經驗之談】在一個中繼端口上�����,最大的安全MAC地址數可以基于端口和基于端口VLAN來配置���。端口上配置的最大安全MAC地址數可以大于或等于(不能小于)端口VLAN上配置的最大安全MAC地址數���。如果端口上配置的最大安全MAC地址數小于端口VLAN上配置的最大安全MAC地址數(例如VLAN 10上設置的最大安全MAC地址為3,而端口的最大安全MAC地址數采用默認的1)��,則在端口VLAN上的安全MAC地址數超過端口上設置的最大安全MAC地址數時��,端口就將被關閉。
3.安全MAC地址老化
在接收超過3000個MAC地址時��,你可能想要老化安全MAC地址���,以便對一些長時間沒有連接的安全MAC地址從MAC地址表中除去�����。但是粘性(sticky)安全MAC地址不支持老化過程���。
默認情況下,端口安全不會對安全地址進行老化的�����,學習到后��,這個MAC地址將一直在端口上保留�����,直到交換機重啟或才鏈路斷開(當然這是在沒有啟用粘性MAC地址功能時)��。端口安全允許你基于絕對(absolute)或者靜止(inactivity)模式配置MAC地址老化和老化時間�����。絕對模式的老化周期是n~n+1分鐘之間;靜止模式的老化周期是在n+1~n+2分鐘之間(時間增量為1分鐘)��。
使用安全MAC地址老化功能可以還沒達到端口上配置的最大安全MAC地址數之前�����,在安全端口上刪除和添加PC�����,無需手動刪除現有的安全MAC地址��。
除非明確地使用switchport port-security aging static命令靜態配置MAC地址老化時間���,靜態安全MAC地址是不會進行老化進程的�����,即使在在該端口上配置了老化進程��。
4.端口上的粘性MAC地址
通過啟用粘性端口安全功能��,你可以配置一個接口去轉換動態MAC地址為粘性安全MAC地址���,并添加他們到交換機的運行配置文件中���。在你不需要用戶移動到其他端口時,你可以使用這種功能���,這樣你就無需要在每個端口上手動配置大量的安全MAC地址���。
要啟用粘性端口安全功能,可鍵入switchport port-security mac-address sticky接口配置模式命令�����。此時��,接口將轉換所有動態安全MAC地址為粘性安全MAC地址�����,包括在啟用粘性安全MAC地址功能前動態學習到的所有MAC地址���。
粘性安全MAC地址不會自動成為交換機啟動配置文件的一部分,如果你保存了運行配置文件�����,則在交換機重啟后,接口也不用再重新學習MAC地址了�����,但是如果你不保存運行配置文件��,則以前自動轉換的粘性安全MAC地址表將丟失��。
如果禁止粘性端口安全功能��,則粘性安全MAC地址將自動轉換為動態安全MAC地址���,并自動從交換機的運行配置文件中刪除���。在配置了最大安全MAC地址數后,這些粘性安全MAC地址將以表的形式存儲��。要使某設備成為某端口唯一的連接者���,則可以在該端口上配置最大的安全MAC地址數為1���。如果添加到某端口的安全MAC地址數超過配置的最大安全MAC地址數將發生違例事件���。
5. 違例行為模式
你可以配置發生違例事件后所采取的行為模式:
l 保護(protect):當安全MAC地址數超過端口上配置的最大安全MAC地址數時,未知源MAC地址的包將被丟棄�����,直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內�����,或者增加最大安全MAC地址數�����。而且這種行為沒有安全違例行為發生通知�����。建議不要在中繼端口上配置保護行為���,因為在中繼端口上某個VLAN達到該VLAN中所配置的最大安全MAC地址數時端口將被禁止�����,即使端口上的安全MAC地址數并未達到端口上配置的最大安全MAC地址數��。
l 限制(Restrict):與前面的保護模式差不多���,也是在安全MAC地址數達到端口上配置的最大安全MAC地址數時,未知源MAC地址的包將被丟棄�����,直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內���,或者增加最大安全MAC地址數�����。但這種行為模式會有一個SNMP捕獲消息發送�����,并記錄系統日志�����,違例計數器增加1�����。SNMP捕獲通知發送的頻率可以通過snmp-server enable traps port-security trap-rate命令來控制��,默認值為0�����,表示在發生任何安全違例事件時發送SNMP捕獲通知�����。
