Cisco端口安全

端口安全简介

1. 什么是端口安全

交换机中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为“安全MAC地址”)数,允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口与MAC地址绑定。

交换机在转发数据包时，需要根据数据包的目标MAC地址来决定出口，因此，交换机会将MAC地址与相对应的接口记录在一张表中，以供转发数据包使用，这张表就是MAC地址表。在正常情况下，MAC地址表允许一个接口可以与多个MAC地址相对应，只要接口上有相应的MAC地址，那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址，一个接口允许多少个MAC地址与之相对应，这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限，交换机接口上的Port Security功能提供更多的安全保护。

Port Security可以控制交换机上特定的接口与特定的MAC地址的对应关系，也可以限制接口上最大的MAC地址数量。

具有Port Security功能的接口，被称为secure port，secure port接口上通过控制数据包的源MAC地址来控制流量，绝不会转发预先定义好的MAC地址之外的流量。准确地说，是secure port只转发合法的流量，对于违规的流量，是不放行的。

1. MAC与端口对应关系的实现方法

端口安全一共有三种方法实现MAC与端口的对应关系规则

• 静态绑定

手工添加MAC地址与接口的对应关系（将接口与MAC地址绑定），并且会保存到MAC地址表和running-config。

• 动态绑定

将接口上动态学习到的MAC地址作为安全的MAC地址，保存在MAC地址表中，重启后丢失。

• sticky（动态学习静态绑定）

结合了静态手工配置与动态学习MAC地址的优势，Sticky将动态学习到的MAC地址作为安全MAC地址，并且将结果保存到running configuration中（将MAC与接口进行绑定）。

实用举例：就拿现在的大多数高校来说，学生寝室的宽带连接大多数都是通过这种方式连接的。湖北省银河信息技术学院的寝室网络就是这样的。当我们从服务提供商那里得到账号后，在电脑上拨号连接，这个账户就会和寝室号绑定，当换宿舍时，需要给服务提供商打电话进行端口刷新，即解绑。

3.端口安全的违规动作

端口安全一共有三种的违规动作（就是违规后采取的策略）

• Shutdown

（默认模式）将接口变成error-disabled并shut down，并且接口LED灯会关闭，也会发SNMP  trap，并会记录syslog。

• Protect

只丢弃不允许MAC地址的流量，其它合法流量正常，但不会通知有流量违规了。

• Restric

只丢弃不允许MAC地址的流量，其它合法流量正常，但会有通知，发送SNMP trap，并会记录syslog

注：怎样区别违规

• 当接口上的MAC地址数达到最大允许数量后，还有更多的MAC要访问，就算违规。

• 一个端口上已经绑定的合法MAC在另一个接口上进行访问，就算违规。

4.使用环境

在现实中使用端口安全对于保护网络安全有着重大意义。可以防止网络攻击（修改MAC地址与存在的一样，进行攻击）；可以限制一次有多少PC可以接上来；可以限制客户端登录交换网络；对于sticky，则是结合了动态学习与静态绑定的MAC地址的优势，解决客户端多时的环境，比如网吧环境，要让多个MAC与端口进行绑定，一个一个绑定未免太麻烦，如果用动态的，则开机后就丢失了，还要重新学习，此时可能会有非法入侵者加入。而用sticky，重启后仍然有用，不会影响原来的效果。

实验：

一．实验目的

了解并掌握端口安全的三种动作；

理解端口安全的实施原理；

理解端口安全的实施意义；

参悟端口安全在现实中的使用；

二．实验拓扑

实验环境介绍：IOU交换机和桥接云。打开IOU虚拟机，用网页连接上，在原有网络中添加一个网络云，IOU虚拟机Eth1网卡与云桥接，eth0网卡与本地网卡桥接，连接教室网络（获得多个实验体）。相当于教室网络与本机通过交换机连接，这样就可以实施端口安全了。

一．实验规划

IOU虚拟机的eth0网卡与本机用vmnet1连接，eth1直接与物理网卡桥接。网段自理。保证交换机能够自动获取到MAC地址（show mac address-table查看）。

二．实验解析

通过简单的实验要模拟出端口安全是怎样工作的。获取MAC地址后在e2/1上开启端口安全，查看默认的shutdown动作的结果—端口down掉；然后修改允许的最大MAC数（多于现有的MAC），开启端口再次查看效果，端口不在down；然后改回允许的最大MAC数，修改违规动作，查看另外的两个动作的效果，并修改最大MAC数再次查看效果。

接着，通过实验静态绑定MAC，sticky这两种方法，观察效果，最后比较三者。

三．实验步骤

1. shutdown动作

开启端口安全前查看获取的MAC地址

已经有这么多的PC连接到交换机上了。

接下来在e2/1上开启端口安全（端口安全要应用在Access模式的端口上）

打开后立马出现下面的信息

*Apr 2303:46:44.215: %PM-4-ERR_DISABLE: psecure-violation error detected on Et2/1, putting Et2/1 in err-disable state    //提示端口违规关闭

SW1(config)#

*Apr 2303:46:44.215: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,caused by MAC address 00e0.4c71.5e28 on port Ethernet2/1.

*Apr 2303:46:45.219: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1, changed state to down   //端口down掉

SW1(config)#

*Apr 2303:46:46.219: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to down

说明：提示e2/1端口down了

查看端口状态以验证

如图：e2/1关闭了。

Show查看端口规则

如上图：提示冲突1次。端口安全的默认规则就是shutdown状态，只允许一个mac通过（当然可以更改MaximumMAC addresses数），当违反规则时，端口的动作是shutdown（error-disabled），即端口关闭。

恢复要在端口上使用命令shutdown后no shutdown。

更改允许的最大mac数

SW1(config)#intere2/1

SW1(config-if)#switchportport-security maximum 100

SW1(config-if)#shut

SW1(config-if)#noshut

*Apr 2304:26:45.347: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:26:46.355: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

查看

如图：此时端口是正常的，因为允许最大接入mac数远大于现已接入的mac数，没有违反规则。

2.protect动作

把允许的最大mac数改回，然后继续实验

SW1(config)#intere2/1

SW1(config-if)#switchportport-security maximum 5

注：修改最大MAC时要关闭端口，让端口学到的MAC表清空。修改后再重新开启端口。

修改违规动作为protect

SW1(config)#intere2/1

SW1(config-if)#switchportport-security violation protect

查看

查看已经连接上的MAC数

然后开启端口，验证效果

SW1(config-if)#shut

SW1(config-if)#noshut

*Apr 2304:48:17.883: %LINK-5-CHANGED: Interface Ethernet2/1, changed state to administrativelydown

*Apr 2304:48:18.883: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to down

*Apr 2304:48:21.755: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:48:22.755: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

此时冲突已经产生，但是不会提示，默认只允许5个PC连接，多出的mac的流量全部丢弃，如下：

然后再看连接上来的MAC：

只有5个MAC，使用的策略生效了。

说明：只有5个MAC地址，也就是说现在只允许5个客户端连接上来，其余的都丢弃。

3.restric动作

shutdown端口并修改违规动作为restric

SW1(config-if)#shut

*Apr 23 04:54:41.919:%LINK-5-CHANGED: Interface Ethernet2/1, changed state to administratively down

*Apr 2304:54:42.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to down

SW1(config-if)#switchport port-security violation restrict

然后打开端口看效果

SW1(config-if)#noshut

SW1(config-if)#

*Apr 2304:56:00.571: %LINK-3-UPDOWN: Interface Ethernet2/1, changed state to up

*Apr 2304:56:01.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet2/1,changed state to up

*Apr 23 04:56:09.531:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c78.f166 on port Ethernet2/1.

SW1(config-if)#        

*Apr 23 04:56:28.043:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c71.b401 on port Ethernet2/1.

SW1(config-if)#

*Apr 23 04:56:33.327:%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MACaddress 00e0.4c78.f166 on port Ethernet2/1.

当违反restric规则后弹出日志提醒。

看MAC地址表

如上图，还是只有5个MAC地址，即，只允许其中的5个MAC地址连接到交换机，违反规则的都丢弃了，但是会弹出日志提醒（实际上与Protect一样，只不过Protect不弹日志提醒）；

4.静态绑定MAC

上面的是动态学习的mac地址，下面我们来介绍如何静态的绑定MAC地址，进行特殊用户特殊照顾（只简单介绍命令的使用）。

先看下MAC地址表，中挑选一个mac地址进行静态绑定

SW1(config-if)#switchportport-security mac-address 00e0.4c71.497a

5.动态学习静态绑定

结合动态学习mac，然后静态绑定的优势，减轻静态绑定的负担。

就以现在学到的5个MAC为例，在接口下执行下面的命令：

SW1(config-if)#switchportport-security mac-address sticky

然后看配置

自动执行了绑定命令，这就是动态的学习，静态的绑定的优势，只需一跳命令，解决了静态进行一个一个MAC绑定的繁琐。

六、实验总结

  1.端口安全一共有三种违规动作:shutdown（端口关闭）、protect（允许MAX-MAC数的MAC，

其余丢弃）、restric（允许MAX-MAC数的MAC，其余丢弃，并弹窗提醒 ）；

  2.端口安全的MAC地址与端口的对应关系可通过三种方法实现：静态绑定、动态学习、sticky（动态学习，静态的绑定）。

本文出自 “freeit_gyh” 博客，请务必保留此出处http://freeitgyh.blog.51cto.com/7297595/1651078