这一部分描述端口安全的特性。
概述
端口安全(Port Security):
- 允许在一个端口上限制MAC地址的数量。
- 匹配了MAC地址的数据包(安全数据包)就转发,其他数据包(不安全数据包)就限制。
- 基于端口启用。
- 锁定后,只有允许的MAC地址的数据包才会被转发。
- 同时支持动态和静态
- 两种流量过滤的实现方法
- –动态锁定 – 用户指定一个端口的最多MAC地址学习数量。最大MAC数要参照软件版本的发布说明。当达到上限时,增加的MAC地址将不再学习,只有允许的源MAC地址的数据帧才会被转发。
- –静态锁定 – 用户手工指定一个端口上的静态MAC地址列表,动态锁定的地址可以更改成静态锁定。
- 这些方法可以同时使用。
作用
端口安全:
- 从转发的数据包中预防未知设备来保护网络
- 当连接失效,端口上所有动态锁定的地址将“释放自由”
- 如果一个特定的MAC地址被设置在端口上,设置动态条目为0,那么将仅允许匹配静态列表里的MAC地址的数据包通过。
- 如果其他数据包在老化时间内没有看这个东态锁定的MAC地址,这个地址将老化掉。用户可以设置老化时间。
- 动态锁定的MAC地址可以被其他端口学习。
- 静态锁定的MAC地址将不会老化。
- 动态锁定的地址可以更改成静态锁定。
命令行界面示例
以下是端口安全特性的命令示例。
示例#1: show port security
|
(Netgear Switch) #show port-security ?
Press Enter to execute the command.
All Display port-security information for all interfaces.
Enter interface in unit/slot/port format.
dynamic Display dynamically locked MAC addresses.
static Display statically locked MAC addresses.
violation Display the source MAC address of the last packet that was discarded on a locked port.
(Netgear Switch) #show port-security
Port Security Administration Mode: Enabled |
示例#2: show port security on a specific interface
|
(Netgear Switch) #show port-security 1/0/10
Admin Dynamic Static Violation
Intf Mode Limit Limit Trap Mode
----- ------ ------- ------ ------
1/0/10 Disabled 600 20 Disabled |
示例#3: (Config) port security
|
(Netgear Switch) (Config) #port-security ?
Press Enter to execute the command.
(Netgear Switch) (Config) #port-security |
示例#4: (Interface) port security 0
|
(Netgear Switch Routing)(Interface 0/7)#port-security ?
Press Enter to execute the command.
mac-address Add Static MAC address to the interface.
max-dynamicSet Dynamic Limit for the interface.
max-static Set Static Limit for the interface.
(Netgear Switch Routing)(Interface 0/7)#port-security max-static ?
<0-20> Set Static Limit for the interface.
(Netgear Switch Routing)(Interface 0/7)#port-security max-static 5
(Netgear Switch Routing)(Interface 0/7)#port-security max-dynamic 10 |
|
序号 no. |
日期 date |
作者 author |
摘要 summary |
|
1 |
2010-11-02 |
NETGEAR |
文档创建 |
