交换机端口安全基础配置，一分钟了解下

网络工程师加油站 11-01 329

前言：

现在咱们对“交换机禁用端口”大致比较重视，你们都需要剖析一些“交换机禁用端口”的相关知识。那么小编同时在网摘上收集了一些有关“交换机禁用端口””的相关知识，希望同学们能喜欢，咱们一起来了解一下吧！

一、目的

1．启用端口的安全措施

2．限制fa0/23口最大允许访问量为1

3．采取的安全措施为保护，限制或关闭

4．常用的交换机命令

二、步骤

cisco(config)#interface fastethernet 0/23

cisco(config-if)#switchport mode access

注：将此接口定义为主机端口，交换机的连接类型有接入模式和中继模式。

cisco(config-if)#switchport port-security

注：启动交换机的端口安全特性。

cisco(config-if)#switchport port-security mac-address aaaa.aaaa.aaaa

注：将mac地址aaaa.aaaa.aaaa绑定在接口0/23上。

cisco(config-if)#switchport port-security maximum 1

注：设置可以安全访问的用户有1个。

cisco(config-if)#switchport port-security violation shutdown

注：设置当接口上的访问违反了安全特性时，所采用的惩罚措施。

惩罚措施有保护、限制和关闭。关闭：当新的当新的计算机接入时，如果该接口的MAC条目超过了最大数目，则该接口将会被关闭，则这个新的计算机和原来的计算机都无法接入，需要管理员使用“no shutdown”命令从新打开。

cisco(config-if)#exit

实验检测：用一根直通线将PC和交换机的0/23口相连，查看0/23接口上的指示灯的变化情况。如果由橙色经过大约50秒的时间变为绿色后再立即关闭，说明实验成功，并在交换机上有如下的显示：

00:19:19: %LINK-3-UPDOWN: Interface FastEthernet0/23, changed state to up

00:19:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/23, changed state to up

00:19:52: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/23, putting Fa0/23 in err-disable state

00:19:52: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0000.b420.0742 on port FastEthernet0/23.

00:19:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/23, changed state to down

00:19:54: %LINK-3-UPDOWN: Interface FastEthernet0/23, changed state to down---------说明执行了shutdown的惩罚措施。

cisco#show interfaces fastethernet 0/23

FastEthernet0/23 is down, line protocol is down (err-disabled)

Hardware is Fast Ethernet, address is 000c.3051.5617 (bia 000c.3051.5617)

注：表示是出现错误时，关闭了接口。

2、选择其他端口测试另外两种惩罚措施的现象

cisco(config)#interface fastethernet 0/22

注：选择另一个端口进行测试。

cisco(config-if)#switchport mode access

cisco(config-if)#switchport port-security

cisco(config-if)#switchport port-security mac-address 15.15.15

cisco(config-if)#switchport port-security mac-address 14.14.14

注：将安全地址0015.0015.0015和0014.0014.0014绑定到端口上。

cisco(config-if)#switchport port-security maximum 2

注：定义端口最多可以让两个用户访问。

cisco(config-if)#switchport port-security violation restrict

注：设置当接口上的访问违反了安全特性时，所采用的惩罚措施。

惩罚措施有保护、限制和关闭。限制: 当新的当新的计算机接入时，如果该接口的MAC条目超过了最大数目，则这个新的计算机可以接入，然而交换机将要发送警告信息。保护：当新的计算机接入时，如果该接口的MAC条目超过了最大数目，则这个新的计算机将无法接入，而原来的计算机不受影响。

将PC连接到交换机的fa0/22端口上，查看现象。

02:54:23: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0000.b420.0742 on port FastEthernet0/21.

注：交换机不停的报错，原因是接入的地址超过了最大的数目。

本文地址：http://www.longkongtuishu.com/ca824A2sCDFUPAFM.html

标签： #交换机禁用端口 #交换机禁用端口设置