這篇文章主要講解了“交換機(jī)端口安全怎么配置”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“交換機(jī)端口安全怎么配置”吧！

創(chuàng)新互聯(lián)主要從事網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)博州,十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來做對(duì)網(wǎng)絡(luò)流量的控制和管理，比如 MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過。稍微引申下端口安全，就是可以根據(jù)802.1X來控制網(wǎng)絡(luò)的訪問流量。
　　首先談一下MAC地址與端口綁定，以及根據(jù)MAC地址允許流量的配置。
1.MAC地址與端口綁定，當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí)，交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí)，端口模式必須為access或者Trunk狀態(tài)。
　　3550-1#conf t
　　3550-1(config)#int f0/1
　　3550-1(config-if)#switchport mode access /指定端口模式。
　　3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
　　3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許　　通過的MAC地址數(shù)為1。
　　3550-1(config-if)#switchport port-security violation shutdown /當(dāng)發(fā)現(xiàn)與上述配置不符時(shí)，端口down掉。

2.通過MAC地址來限制端口流量，此配置允許一TRUNK口最多通過100個(gè)MAC地址，超過100時(shí)，但來自新的主機(jī)的數(shù)據(jù)幀將丟失。
　　3550-1#conf t
　　3550-1(config)#int f0/1
　　3550-1(config-if)#switchport trunk encapsulation dot1q
　　3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK。
　　3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數(shù)目為100。
　　3550-1(config-if)#switchport port-security violation protect /當(dāng)主機(jī)MAC地址數(shù)目超過100時(shí)，交換機(jī)繼續(xù)工作，但來自新的主機(jī)的數(shù)據(jù)幀將丟失。

上面的配置根據(jù)MAC地址來允許流量，下面的配置則是根據(jù)MAC地址來拒絕流量。

1.此配置在Catalyst交換機(jī)中只能對(duì)單播流量進(jìn)行過濾，對(duì)于多播流量則無效。
　　3550-1#conf t
　　3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應(yīng)的Vlan丟棄流量。
　　3550-1#conf t
　　3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應(yīng)的接口丟棄流量。

最后說一下802.1X的相關(guān)概念和配置。
802.1X身份驗(yàn)證協(xié)議最初使用于無線網(wǎng)絡(luò)，后來才在普通交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備上使用。它可基于端口來對(duì)用戶身份進(jìn)行認(rèn)證，即當(dāng)用戶的數(shù)據(jù)流量企圖通過配置過802.1X協(xié)議的端口時(shí)，必須進(jìn)行身份的驗(yàn)證，合法則允許其訪問網(wǎng)絡(luò)。這樣的做的好處就是可以對(duì)內(nèi)網(wǎng)的用戶進(jìn)行認(rèn)證，并且簡化配置，在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗(yàn)證協(xié)議，首先得全局啟用AAA認(rèn)證，這個(gè)和在網(wǎng)絡(luò)邊界上使用AAA認(rèn)證沒有太多的區(qū)別，只不過認(rèn)證的協(xié)議是802.1X；其次則需要在相應(yīng)的接口上啟用802.1X身份驗(yàn)證。（建議在所有的端口上啟用802.1X身份驗(yàn)證，并且使用radius服務(wù)器來管理用戶名和密碼）
下面的配置AAA認(rèn)證所使用的為本地的用戶名和密碼。
　　3550-1#conf t
　　3550-1(config)#aaa new-model /啟用AAA認(rèn)證。
　　3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協(xié)議認(rèn)證，并使用本地用戶名與密碼。
　　3550-1(config)#int range f0/1 -24
　　3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗(yàn)證。

感謝各位的閱讀，以上就是“交換機(jī)端口安全怎么配置”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)交換機(jī)端口安全怎么配置這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！