为什么网络管理员要在三层交换机端口配置ip上配置安全端口
点击联系发帖人
时间:2017-04-04 06:17
中国领先的IT技术网站
51CTO旗下网站
通过配置交换机保证交换机端口安全
本文通过实例给大家介绍保证交换机端口安全的方法。
作者:张平来源:| 16:35
网络管理员面临的一个日渐严峻的挑战是决定哪些人可以访问单位内部的网络,哪些人不可以。如果公司需要演示某个外来客户的产品,将以太网电缆从公司内部一台计算机上拔下来,插到的客户电脑上。这样一来,他计算机内部的蠕虫、病毒什么的对你的局域网就是一个极大威胁了。今天我们看一下怎样通过配置交换机端口来解决类似的安全问题。
从基本原理上讲,Port Security(端口安全)特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只允许某个MAC地址通过本端口通信。如果任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
配置端口安全是相对比较简单的。最简单的形式,就是Port Security需要指向一个已经启用的端口并输入Port Security接口模式命令。
Switch)# config tSwitch(config)# int fa0/18Switch(config-if)# switchport port-securityaging&&&&&&&&&& Port-security aging commandsmac-address&&&& Secure mac addressmaximum&&&&&&&& Max secure addressesviolation&&&&&& Security violation mode& Switch(config-if)# switchport port-securitySwitch(config-if)#^Z
在此我们通过输入最基本的命令来配置端口安全,接授了只允许一个MAC地址的默认设置,这就决定了只有第一个设备的MAC地址可以与这个端口通信;如果另一MAC地址试图通过此端口通信,交换机会关闭此端口。下面谈一下如何可以改变此设置。
当然应该根据实际情况来配置端口安全。此例中,实际上用户还可以配置其它的端口安全命令:
switchport port-security maximum {允许的最多MAC地址数量}:可以使用这个选项允许多个MAC地址。例如,如果用户有一个12端口的集线器连接到交换机的此端口,就需要12个MAC:switchport port-security maximum 12 /允许此端口通过的最大MAC地址数目为12。
switchport port-security violation {shutdown | restrict | protect}:此命令告诉交换机当端口上MAC地址数超过了最大数量之后交换机应该怎么做。默认是关闭端口。我们可以选择使用restrict来警告网络管理员,也可以选择protect来允许通过安全端口通信并丢弃来自其它MAC地址的数据包。
switchport port-security mac-address {MAC 地址}:使用此选项来手动定义允许使用此端口的MAC地址而不是由端口动态地定义MAC地址。
当然,你可以在一系列端口上配置端口安全。下面举一个例子:
Switch)# config tSwitch(config)# int range fastEthernet 0/1 - 24Switch(config-if)# switchport port-security
然而,如果在一个UPLINK端口上输入此命令,用户必须十分小心使用此选项,因为它指向不只一个设备,第二个设备一旦发送一个数据包,整个端口就会关闭,这样可就麻烦了。
一旦你配置了端口安全而此端口上的以太网设备又发出了数据,交换机会记录下MAC地址而且通过使用这个地址来保障端口安全。要查看交换机上端口安全状态,可以使用show port security address 和show port-security interface命令。举例说明如下:
Switch# show port-security addressSwitch# show port-security interface fa0/18Port Security&&&&&&&&&&&&&&&&&&&&&&& : EnabledPort Status&&&&&&&&&&&&&&&&&&&&&&&&& : Secure-upViolation Mode&&&&&&&&&&&&&&&&&&&&&& : ShutdownAging Time&&&&&&&&&&&&&&&&&&&&&&&&&& : 0 minsAging Type&&&&&&&&&&&&&&&&&&&&&&&&&& : AbsoluteSecureStatic Address Aging&&&&&&&&&& : DisabledMaximum MAC Addresses&&&&&&&&&&&&&&& : 1Total MAC Addresses&&&&&&&&&&&&&&&&& : 1Configured MAC Addresses&&&&&&&&&&&& : 0Sticky MAC Addresses&&&&&&&&&&&&&&&& : 0Last Source Address&&&&&&&&&&&&&&&&& : .285dSecurity Violation Count&&&&&&&&&&&& : 0Switch#
【编辑推荐】
【责任编辑: TEL:(010)】
大家都在看猜你喜欢
头条原创专题专题专题
24H热文一周话题本月最赞
讲师:6人学习过
讲师:4人学习过
讲师:9人学习过
精选博文论坛热帖下载排行
本书是针对全国计算机技术与软件专业技术资格(水平)考试而编写的,书中详尽分析与解答了2006年上半年的程序员级、软件设计师级、软件评测...
订阅51CTO邮刊当前位置&&&&&&&&&
更多文章查询:&
网管:交换机级联端口变化导致断网
&&日09:56&&来源:赛迪&&字号: |
【文章摘要】交换机是局域网中的一种核心“枢纽”设备,组网规模相对较大的局域网使用的交换机数量往往比较多,它们之间的位置变化可能也比较频繁。
网管:交换机级联端口变化导致断网
网管:交换机级联端口变化导致断网[2]
网管:交换机级联端口变化导致断网[3]
小提示:Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个虚拟工作子网;同时,Trunk链路可以连接一台交换机或者路由器或者服务器(特殊网卡),还可以采用通过Trunk技术和上级交换机级联的方式来扩展接口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本。此外,Trunk链路不属于任何一个虚拟工作子网,它只是在网络中起到了管道的作用。Trunk承载的虚拟工作子网范围,默认下是1~1005,可以修改,但必须有1个Trunk协议。使用Trunk时,两台交换机连接接口上的协议要一致。配置为Trunk链路的接口,通常都是交换机上支持最大带宽的带宽口。
交换机故障故障解决
弄清楚了具体的故障原因后,多个虚拟工作子网无法上网的故障现象也就很好解决了,网络管理员现在只要修改S3楼层交换机的配置参数,将2交换端口的“Port link-type”参数由“Access”变成“Trunk”就可以了,那样一来划分在S3楼层交换机上的虚拟工作子网5、虚拟工作子网6就能一起通过2交换端口访问Internet网络了。在修改S3楼层交换机2交换端口的链接类型参数时,网络管理员先通过Console控制线缆直接连接到目标交换上,再以系统管理员权限登录进入后台管理系统,之后执行字符串命令“system”,切换进入对应交换机系统的全局配置状态;下面在系统全局状态下执行字符串命令“interface ethernet 0/2”,进入2交换端口的视图配置模式,在目标交换端口的视图模式下再输入字符串命令“port link-type trunk”,单击回车键后,S3楼层交换机的2端口链接类型就被成功修改为了“trunk”;为了让S3楼层交换机下的所有虚拟工作子网都能通过该Trunk端口访问Internet网络,网络管理员在2交换端口的视图配置模式下继续执行了字符串命令“port trunk permit vlan all”,这样一来S3楼层交换机上无论划分了多少个虚拟工作子网,都能通过该目标交换端口上网。完成上面的配置任务后,网络管理员最后又执行了字符串命令“save”,此时系统屏幕上弹出了如图3所示的操作提示,单击键盘上的“Y”键,这样一来S3楼层交换机系统就会自动保存好上述设置操作。
依照同样的操作思路,网络管理员又登录进入S4楼层交换机,并在该系统后台将与2交换端口相连时使用的级联端口链接类型也修改为了“Trunk”。最后进行上网测试时,果然S3楼层交换机下面的所有虚拟工作子网都能正常上网了,至此由级联端口变化引发的无法上网故障就被成功排除了。
经验总结
为了便于管理和维护网络,同时为了避免网络病毒大面积传播,现在的局域网几乎都被划分了若干个虚拟工作子网,在这种情形下调整或改变网络设备位置是常有的事情,并且每次进行网络调整时,原先划分的虚拟工作子网往往都不会再生效,这是否意味着网络管理员需要重新花费力。
请点击:&进入
责任编辑:周达洋
&关于&网管手册 交换机&相关报道
请您输入您要使用的昵称:
&&留言仅代表个人观点,请对自己的言论和行为负责&&
网络安全专题
频道热文排行
/*250*250,创建于*/ var cpro_id = 'u663572';
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号}
51CTO旗下网站
通过配置交换机保证交换机端口安全
本文通过实例给大家介绍保证交换机端口安全的方法。
作者:张平来源:| 16:35
网络管理员面临的一个日渐严峻的挑战是决定哪些人可以访问单位内部的网络,哪些人不可以。如果公司需要演示某个外来客户的产品,将以太网电缆从公司内部一台计算机上拔下来,插到的客户电脑上。这样一来,他计算机内部的蠕虫、病毒什么的对你的局域网就是一个极大威胁了。今天我们看一下怎样通过配置交换机端口来解决类似的安全问题。
从基本原理上讲,Port Security(端口安全)特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只允许某个MAC地址通过本端口通信。如果任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
配置端口安全是相对比较简单的。最简单的形式,就是Port Security需要指向一个已经启用的端口并输入Port Security接口模式命令。
Switch)# config tSwitch(config)# int fa0/18Switch(config-if)# switchport port-securityaging&&&&&&&&&& Port-security aging commandsmac-address&&&& Secure mac addressmaximum&&&&&&&& Max secure addressesviolation&&&&&& Security violation mode& Switch(config-if)# switchport port-securitySwitch(config-if)#^Z
在此我们通过输入最基本的命令来配置端口安全,接授了只允许一个MAC地址的默认设置,这就决定了只有第一个设备的MAC地址可以与这个端口通信;如果另一MAC地址试图通过此端口通信,交换机会关闭此端口。下面谈一下如何可以改变此设置。
当然应该根据实际情况来配置端口安全。此例中,实际上用户还可以配置其它的端口安全命令:
switchport port-security maximum {允许的最多MAC地址数量}:可以使用这个选项允许多个MAC地址。例如,如果用户有一个12端口的集线器连接到交换机的此端口,就需要12个MAC:switchport port-security maximum 12 /允许此端口通过的最大MAC地址数目为12。
switchport port-security violation {shutdown | restrict | protect}:此命令告诉交换机当端口上MAC地址数超过了最大数量之后交换机应该怎么做。默认是关闭端口。我们可以选择使用restrict来警告网络管理员,也可以选择protect来允许通过安全端口通信并丢弃来自其它MAC地址的数据包。
switchport port-security mac-address {MAC 地址}:使用此选项来手动定义允许使用此端口的MAC地址而不是由端口动态地定义MAC地址。
当然,你可以在一系列端口上配置端口安全。下面举一个例子:
Switch)# config tSwitch(config)# int range fastEthernet 0/1 - 24Switch(config-if)# switchport port-security
然而,如果在一个UPLINK端口上输入此命令,用户必须十分小心使用此选项,因为它指向不只一个设备,第二个设备一旦发送一个数据包,整个端口就会关闭,这样可就麻烦了。
一旦你配置了端口安全而此端口上的以太网设备又发出了数据,交换机会记录下MAC地址而且通过使用这个地址来保障端口安全。要查看交换机上端口安全状态,可以使用show port security address 和show port-security interface命令。举例说明如下:
Switch# show port-security addressSwitch# show port-security interface fa0/18Port Security&&&&&&&&&&&&&&&&&&&&&&& : EnabledPort Status&&&&&&&&&&&&&&&&&&&&&&&&& : Secure-upViolation Mode&&&&&&&&&&&&&&&&&&&&&& : ShutdownAging Time&&&&&&&&&&&&&&&&&&&&&&&&&& : 0 minsAging Type&&&&&&&&&&&&&&&&&&&&&&&&&& : AbsoluteSecureStatic Address Aging&&&&&&&&&& : DisabledMaximum MAC Addresses&&&&&&&&&&&&&&& : 1Total MAC Addresses&&&&&&&&&&&&&&&&& : 1Configured MAC Addresses&&&&&&&&&&&& : 0Sticky MAC Addresses&&&&&&&&&&&&&&&& : 0Last Source Address&&&&&&&&&&&&&&&&& : .285dSecurity Violation Count&&&&&&&&&&&& : 0Switch#
【编辑推荐】
【责任编辑: TEL:(010)】
大家都在看猜你喜欢
头条原创专题专题专题
24H热文一周话题本月最赞
讲师:6人学习过
讲师:4人学习过
讲师:9人学习过
精选博文论坛热帖下载排行
本书是针对全国计算机技术与软件专业技术资格(水平)考试而编写的,书中详尽分析与解答了2006年上半年的程序员级、软件设计师级、软件评测...
订阅51CTO邮刊当前位置&&&&&&&&&
更多文章查询:&
网管:交换机级联端口变化导致断网
&&日09:56&&来源:赛迪&&字号: |
【文章摘要】交换机是局域网中的一种核心“枢纽”设备,组网规模相对较大的局域网使用的交换机数量往往比较多,它们之间的位置变化可能也比较频繁。
网管:交换机级联端口变化导致断网
网管:交换机级联端口变化导致断网[2]
网管:交换机级联端口变化导致断网[3]
小提示:Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个虚拟工作子网;同时,Trunk链路可以连接一台交换机或者路由器或者服务器(特殊网卡),还可以采用通过Trunk技术和上级交换机级联的方式来扩展接口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本。此外,Trunk链路不属于任何一个虚拟工作子网,它只是在网络中起到了管道的作用。Trunk承载的虚拟工作子网范围,默认下是1~1005,可以修改,但必须有1个Trunk协议。使用Trunk时,两台交换机连接接口上的协议要一致。配置为Trunk链路的接口,通常都是交换机上支持最大带宽的带宽口。
交换机故障故障解决
弄清楚了具体的故障原因后,多个虚拟工作子网无法上网的故障现象也就很好解决了,网络管理员现在只要修改S3楼层交换机的配置参数,将2交换端口的“Port link-type”参数由“Access”变成“Trunk”就可以了,那样一来划分在S3楼层交换机上的虚拟工作子网5、虚拟工作子网6就能一起通过2交换端口访问Internet网络了。在修改S3楼层交换机2交换端口的链接类型参数时,网络管理员先通过Console控制线缆直接连接到目标交换上,再以系统管理员权限登录进入后台管理系统,之后执行字符串命令“system”,切换进入对应交换机系统的全局配置状态;下面在系统全局状态下执行字符串命令“interface ethernet 0/2”,进入2交换端口的视图配置模式,在目标交换端口的视图模式下再输入字符串命令“port link-type trunk”,单击回车键后,S3楼层交换机的2端口链接类型就被成功修改为了“trunk”;为了让S3楼层交换机下的所有虚拟工作子网都能通过该Trunk端口访问Internet网络,网络管理员在2交换端口的视图配置模式下继续执行了字符串命令“port trunk permit vlan all”,这样一来S3楼层交换机上无论划分了多少个虚拟工作子网,都能通过该目标交换端口上网。完成上面的配置任务后,网络管理员最后又执行了字符串命令“save”,此时系统屏幕上弹出了如图3所示的操作提示,单击键盘上的“Y”键,这样一来S3楼层交换机系统就会自动保存好上述设置操作。
依照同样的操作思路,网络管理员又登录进入S4楼层交换机,并在该系统后台将与2交换端口相连时使用的级联端口链接类型也修改为了“Trunk”。最后进行上网测试时,果然S3楼层交换机下面的所有虚拟工作子网都能正常上网了,至此由级联端口变化引发的无法上网故障就被成功排除了。
经验总结
为了便于管理和维护网络,同时为了避免网络病毒大面积传播,现在的局域网几乎都被划分了若干个虚拟工作子网,在这种情形下调整或改变网络设备位置是常有的事情,并且每次进行网络调整时,原先划分的虚拟工作子网往往都不会再生效,这是否意味着网络管理员需要重新花费力。
请点击:&进入
责任编辑:周达洋
&关于&网管手册 交换机&相关报道
请您输入您要使用的昵称:
&&留言仅代表个人观点,请对自己的言论和行为负责&&
网络安全专题
频道热文排行
/*250*250,创建于*/ var cpro_id = 'u663572';
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号}
我要回帖
更多关于 交换机端口配置ip地址 的文章
更多推荐
- ·05345051095属于0534790开头电话是什么电话?
- ·怎么退出知道如何带好一个团队以及管理好他们?
- ·怎么打开手机客户端QQ游戏客户端?
- ·如果拼多多无法申请退款怎么回事退款不成功,怎么办?
- ·最适合人体健康的空气湿度多少适合是多少?医学
- ·怎么把arcgis里面的点设置成绝对定位
- ·南宁双汇宿舍有网络吗?
- ·由于身体不适,急需用钱怎么办,想把自己在京东全球购购买的还没拆封的华为p9pius128G高配版,
- ·开发者模式里root密码是什么
- ·有没有类似于 类似于太空刑警的游戏 的 优秀APP 游戏?
- ·12v 40w l6562怎样提高效率
- ·给女朋友2000字检讨书群里刷屏检讨书1000字
- ·qq上有几百块的qq上iphone6在线什么来源
- ·油菜花单片机org指令指令
- ·postman如何使用用Dell Digital Delivery
- ·现在用哪家的百度地图js apiapi比较好
- ·如何在一个GHO里添加刷机后第一次开机很慢运行的软件包
- ·微信上的微信断供苹果腾讯新闻闻怎么了,全是看
- ·网上被骗2万多怎么办别骗了怎么办
- ·江信国盛文华财经期货软件ipad有ipad版的手机交易软件吗
- ·为什么网络管理员要在三层交换机端口配置ip上配置安全端口
- ·炒股和理财哪个好:做到简单一次就好 简单钢琴谱
- ·saivian赛比安骗局saivian是不是直销,以后会不会骗人
- ·英国签证 收入证明旅游签被拒.不能证明我年收入有6万.当初因为急.把房租收入合同未
- ·陶瓷属于国民经济行业分类下载哪个分类
- ·如何用BOLL指标选通达信强势股指标的方法
- ·2017新房装修要选日子怎么选好日子
- ·健顺之德 五常之能那里能借到高利,我急用钱
- ·你好 我想直播在开个私房蛋糕工作室赚钱吗 你觉得现在有市场吗.
- ·那里有养殖会计基础书籍下载载
- ·如何看待中国地方债务的现状什么时候发表的
- ·收到交房通知不想收房时发现外墙漏水严重,该不该收房
- ·房产证加名字就算是共同财产了吗,沙瑞金名字房产网
- ·怎样跟巫师3顾客永远是对的互动才能让她永远成为回头客
- ·抵制阿里巴巴的烟油敢买吗,小粉红敢自己“剁手”吗
