交換機(jī)端口安全總結(jié)
最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來(lái)做對(duì)網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過(guò)的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過(guò)。稍微引申下端口安全，就是可以根據(jù)802.1X來(lái)控制網(wǎng)絡(luò)的訪問流量。
 

首先談一下MAC地址與端口綁定，以及根據(jù)MAC地址允許流量的配置。

1.MAC地址與端口綁定，當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí) ，交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí)，端口模式必須為access或者Trunk狀態(tài)。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許通過(guò)的MAC地址數(shù)為1。
3550-1(config-if)#switchport port-security violation shutdown /當(dāng)發(fā)現(xiàn)與上述配置不符時(shí)，端口down掉。

2.通過(guò)MAC地址來(lái)限制端口流量，此配置允許一TRUNK口最多通過(guò)100個(gè)MAC地址，超過(guò)100時(shí)，但來(lái)自新的主機(jī)的數(shù)據(jù)幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過(guò)的最大MAC地址數(shù)目為100。
3550-1(config-if)#switchport port-security violation protect /當(dāng)主機(jī)MAC地址數(shù)目超過(guò)100時(shí)，交換機(jī)繼續(xù)工作，但來(lái)自新的主機(jī)的數(shù)據(jù)幀將丟失。

上面的配置根據(jù)MAC地址來(lái)允許流量，下面的配置則是根據(jù)MAC地址來(lái)拒絕流量。
1.此配置在Catalyst交換機(jī)中只能對(duì)單播流量進(jìn)行過(guò)濾，對(duì)于多播流量則無(wú)效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應(yīng)的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應(yīng)的接口丟棄流量。

理解端口安全：
當(dāng)你給一個(gè)端口配置了最大安全mac地址數(shù)量，安全地址是以一下方式包括在一個(gè)地址表中的：
·你可以配置所有的mac地址使用 switchport port-security mac-address <mac地址>，這個(gè)接口命令。
·你也可以允許動(dòng)態(tài)配置安全mac地址，使用已連接的設(shè)備的mac地址。
·你可以配置一個(gè)地址的數(shù)目且允許保持動(dòng)態(tài)配置。
注意：如果這個(gè)端口shutdown了，所有的動(dòng)態(tài)學(xué)的mac地址都會(huì)被移除。
一旦達(dá)到配置的最大的mac地址的數(shù)量，地址們就會(huì)被存在一個(gè)地址表中。設(shè)置最大mac地址數(shù)量為1，并且配置連接到設(shè)備的地址確保這個(gè)設(shè)備獨(dú)占這個(gè)端口的帶寬。

當(dāng)以下情況發(fā)生時(shí)就是一個(gè)安全違規(guī)：
·最大安全數(shù)目mac地址表外的一個(gè)mac地址試圖訪問這個(gè)端口。
·一個(gè)mac地址被配置為其他的接口的安全mac地址的站點(diǎn)試圖訪問這個(gè)端口。

你可以配置接口的三種違規(guī)模式，這三種模式基于違規(guī)發(fā)生后的動(dòng)作：
·protect-當(dāng)mac地址的數(shù)量達(dá)到了這個(gè)端口所最大允許的數(shù)量，帶有未知的源地址的包就會(huì)被丟棄，直到刪除了足夠數(shù)量的mac地址，來(lái)降下最大數(shù)值之后才會(huì)不丟棄。
·restrict-一個(gè)限制數(shù)據(jù)和并引起"安全違規(guī)"計(jì)數(shù)器的增加的端口安全違規(guī)動(dòng)作。
·shutdown-一個(gè)導(dǎo)致接口馬上shutdown，并且發(fā)送SNMP陷阱的端口安全違規(guī)動(dòng)作。當(dāng)一個(gè)安全端口處在error-disable狀態(tài)，你要恢復(fù)正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手動(dòng)的shut再no shut端口。這個(gè)是端口安全違規(guī)的默認(rèn)動(dòng)作。

默認(rèn)的端口安全配置：
以下是端口安全在接口下的配置-
特性：port-sercurity 默認(rèn)設(shè)置：關(guān)閉的。
特性：最大安全mac地址數(shù)目 默認(rèn)設(shè)置：1
特性：違規(guī)模式 默認(rèn)配置：shutdown，這端口在最大安全mac地址數(shù)量達(dá)到的時(shí)候會(huì)shutdown，并發(fā)snmp陷阱。

下面是配置端口安全的向?qū)?
·安全端口不能在動(dòng)態(tài)的access口或者trunk口上做，換言之，敲port-secure之前必須的是switch mode acc之后。
·安全端口不能是一個(gè)被保護(hù)的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能屬于GEC或FEC的組。
·安全端口不能屬于802.1x端口。如果你在安全端口試圖開啟802.1x，就會(huì)有報(bào)錯(cuò)信息，而且802.1x也關(guān)了。如果你試圖改變開啟了802.1x的端口為安全端口，錯(cuò)誤信息就會(huì)出現(xiàn)，安全性設(shè)置不會(huì)改變。

最后說(shuō)一下802.1X的相關(guān)概念和配置。
802.1X身份驗(yàn)證協(xié)議最初使用于無(wú)線網(wǎng)絡(luò)，后來(lái)才在普通交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備上使用。它可基于端口來(lái)對(duì)用戶身份進(jìn)行認(rèn)證，即當(dāng)用戶的數(shù)據(jù)流量企圖通過(guò)配置過(guò)802.1X協(xié)議的端口時(shí)，必須進(jìn)行身份的驗(yàn)證，合法則允許其訪問網(wǎng)絡(luò)。這樣的做的好處就是可以對(duì)內(nèi)網(wǎng)的用戶進(jìn)行認(rèn)證，并且簡(jiǎn)化配置，在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗(yàn)證協(xié)議，首先得全局啟用AAA認(rèn)證，這個(gè)和在網(wǎng)絡(luò)邊界上使用AAA認(rèn)證沒有太多的區(qū)別，只不過(guò)認(rèn)證的協(xié)議是802.1X；其次則需要在相應(yīng)的接口上啟用802.1X身份驗(yàn)證。（建議在所有的端口上啟用802.1X身份驗(yàn)證，并且使用radius服務(wù)器來(lái)管理用戶名和密碼）
下面的配置AAA認(rèn)證所使用的為本地的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認(rèn)證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協(xié)議認(rèn)證，并使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗(yàn)證。

后記
通過(guò)MAC地址來(lái)控制網(wǎng)絡(luò)的流量既可以通過(guò)上面的配置來(lái)實(shí)現(xiàn)，也可以通過(guò)訪問控制列表來(lái)實(shí)現(xiàn)，比如在Cata3550上可通過(guò)700-799號(hào)的訪問控制列表可實(shí)現(xiàn)MAC地址過(guò)濾。但是利用訪問控制列表來(lái)控制流量比較麻煩，似乎用的也比較少，這里就不多介紹了。
通過(guò)MAC地址綁定雖然在一定程度上可保證內(nèi)網(wǎng)安全，但效果并不是很好，建議使用802.1X身份驗(yàn)證協(xié)議。在可控性，可管理性上802.1X都是不錯(cuò)的選擇