配置交换机端口安全.doc

: .
1. MAC地址与端口绑定，当发现主机的 MAC地址与交换机上指定的 MAC地址不同时，交换机
相应的端口将down掉。当给端口指定 MAC地址时，端口模式必须为 access或者Trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access / 指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 / 配
置MAC地址。
3550-1(config-if)#switchport port-security maximum1 / 限制此端口允许通过的 MAC
地址数为 1 。
3550-1(config-if)#switchport port-security violation shutdown / 当发现与上述配
置不符时，端口 down 掉。
2. 通过MAC地址来限制端口流量，此配置允许一 TRUNK口最多通过100个MAC地址，超
过 100 时，但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk / 配置端口模式为 TRUNK。
3550-1(config-if)#switchport port-security maximum 100 / 允许此端口通过的最大
MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect / 当主机 MAC地址
数目超过 100时，交换机继续工作，但来自新的主机的数据帧将丢失。
上面的配置根据 MAC地址来允许流量，下面的配置则是根据 MAC地址来拒绝流量。
1. 此配置在 Catalyst 交换机中只能对单播流量进行过滤，对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop / 在相应
的 Vlan 丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 / 在相应的接口丢弃流量。
最后说一下 的相关概念和配置。
身份验证协议最初使用于无线网络， 后来才在普通交换机和路由器等网络设备上 使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过
协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对 内网的用户进