比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
思科交换机端口安全的总结
关键字：端口
　　最常用的对端口的理解就是可根据地址来做对流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。
　　稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。
　　首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。
　　1.MAC地址与端口绑定，当发现主机的MAC地址与上指定的MAC地址不同时 ,交换机相应的端口将
　　down掉。当给端口指定MAC地址时，端口模式必须为或者Trunk状态。
　　3550-1#conf t
　　3550-1(config)#int f0/1
　　3550-1(config-if)#switchport mode access /指定端口模式。
　　3550-1(config-if)#switchport port-security mac- 00-90-F5-10-79-C1 /配置MAC地址。
　　3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1.
　　3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。
　　2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的帧将丢失。
　　3550-1#conf t
　　3550-1(config)#int f0/1
　　3550-1(config-if)#switchport trunk encapsulation dot1q
　　3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK.
　　3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100.
　　3550-1(config-if)#switchport port-security violation /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。
　　上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。
　　此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。
　　3550-1#conf t
　　3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量
　　3550-1#conf t
　　3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
　　理解端口安全：
　　当你给一个端口配置了最大安全mac地址数量，安全地址是以一下方式包括在一个地址表中的：
　　?你可以配置所有的mac地址使用 switchport port-security mac-address ,这个接口命令。
　　?你也可以允许动态配置安全mac地址，使用已连接的设备的mac地址。
　　?你可以配置一个地址的数目且允许保持动态配置。
　　注意：如果这个端口shutdown了，所有的动态学的mac地址都会被移除。
　　一旦达到配置的最大的mac地址的数量，地址们就会被存在一个地址表中。设置最大mac地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。
　　当以下情况发生时就是一个安全违规：
　　?最大安全数目mac地址表外的一个mac地址试图访问这个端口。
　　?一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。
　　你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：
　　?protect-当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。
　　?restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。
　　?shutdown-一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在
　　error-disable状态，你要_shujuku/index.html' target='_blank'&恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
　　默认的端口安全配置：
　　以下是端口下的配置-
　　特性：port-sercurity 默认设置：关闭的。
　　特性：最大安全mac地址数目 默认设置：1
　　特性：违规模式 默认配置：shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发snmp陷阱。
　　下面是配置端口安全的向导-
　　?安全端口不能在动态的access口或者trunk口上做，换言之，敲port-之前是switch modeacc之后。
　　?安全端口不能是一个被保护的口。
　　?安全端口不能是SPAN的目的地址。
　　?安全端口不能属于GEC或FEC的组。
　　?安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错，而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口，错误信息就会出现，安全性设置不会改变。
　　最后说一下802.1X的相关概念和配置。
　　802.1X身份验证协议最初使用于网络，后来才在普通交换机和等网络设备上使用。
　　它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代Windwos/index.html' target='_blank'&Windows 的AD.配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X;
　　其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证，并且使用radius来管理用户名和密码)
　　下面的配置AAA认证所使用的为本地的用户名和密码。
　　3550-1#conf t
　　3550-1(config)#aaa new-model /启用AAA认证。
　　3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。
　　3550-1(config)#int range f0/1 -24
　　3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
　　通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。
　　通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议
　　.在可控性，可管理性上802.1X都是不错的选择。
[ 责任编辑：babycorn ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte您所在的位置： &
配置基于MAC地址划分VLAN（1）
配置基于MAC地址划分VLAN（1）
人民邮电出版社
《华为交换机学习指南》本书是华为网络设备技能认证、培训的指定教材，其专业性和权威性毋庸置疑。是目前国内唯一一本专业的大型华为交换机配置与管理图书，所包括的内容非常全面、系统，不仅有比较深入的各种华为交换机技术原理剖析，而且列举了大量各种不同级别的应用配置示例。本节为大家介绍配置基于MAC地址划分VLAN。
6.3.1& 配置基于MAC地址划分VLAN（1）
基于MAC地址划分的VLAN只处理Untagged数据帧，因为这里所介绍的VLAN都是单层VLAN标签的（QinQ可以实现双层VLAN标签），只有收到的数据帧中原来没有VLAN标签才可以根据交换机上所配置的MAC地址与VLAN ID映射关系，在数据帧中添加对应的VLAN标签。另外，基于MAC地址划分VLAN仅可在Hybrid端口上进行。这样一来就可使得基于MAC地址划分VLAN主要是针对终端用户设备，而非针对其他网络设备，因为在其他网络设备间连接的端口上发送的数据帧通常都是带有VLAN标签的，即使是Hybrid类型端口。
当交换机Hybrid端口收到的数据帧为Untagged数据帧时，端口会以数据帧的源MAC地址为根据去匹配MAC-VLAN映射表项。如果匹配成功，则在对应的数据帧中添加所匹配到的VLAN ID标签，然后按照对应的VLAN ID和优先级进行转发；如果匹配失败，则按其他匹配原则（如其他VLAN划分规则）进行匹配。当交换机端口收到的是Tagged数据帧（仅在设备间连接的端口上才有可能），其处理方式和基于端口的VLAN一样，根据Hybrid类型端口的数据收、发规则进行，参见表6-2。
1．基本配置思路
基于MAC地址划分VLAN的配置思路如下。
（1）创建要用于与用户主机MAC地址关联的VLAN。
（2）在以上创建的VLAN视图下关联用户MAC地址，建立MAC地址与VLAN的映射表，以确定哪些用户MAC地址可划分到以上创建的VLAN中。
（3）配置各用户连接的交换机二层以太网端口类型为Hybrid，并允许前面创建的基于MAC地址划分的VLAN以不带VLAN标签方式通过当前端口。因为华为交换机的所有二层以太网端口缺省都是Hybrid类型，所以缺省情况下，端口类型是不用配置的。
（4）（可选）配置VLAN划分方式的优先级，确保优先基于MAC地址划分VLAN。缺省情况下是优先基于MAC地址划分VLAN，但是可通过配置改变优先划分的方式。
（5）在Hybrid交换机端口上（注意，不一定要在连接用户计算机的Hybrid端口上配置）使能基于MAC地址划分VLAN功能，完成基于MAC地址划分VLAN。
2．配置步骤
基于MAC地址划分VLAN的配置步骤如表6-4所示。
表6-4&基于MAC地址划分VLAN的配置步骤
【责任编辑： TEL：（010）】&&&&&&
关于&&的更多文章
《C#入门经典
系列是屡获殊荣的C#名著和超级畅销书。最新版的
本书描述了黑客用默默无闻的行动为数字世界照亮了一条道路的故事。
P/NP 问题是计算机科学乃至整个数学领域最重要的开放
如今，我们要面对和使用的数据正在变得越来越庞大和复
本书集合了马克?扎克伯格、马克?安德里森、埃文?威
本书是针对全国计算机技术与软件专业技术资格（水平）考试而编写的，书中详尽分析与解答了2006年上半年的程序员级、软件设计师级
51CTO旗下网站您所在的位置： &
交换机Trunk端口配置
交换机Trunk端口配置
划分VLAN时，设置TRUNK口是非常重要的环节，下面我们就通过一个实例来了解一下交换机Trunk端口配置过程。
Trunk端口的配置步骤如下：
一&组网需求：
1．SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN的PC之间禁止互访；
2．PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24，VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。
二&组网图：
1．VLAN内互访，VLAN间禁访
2．通过三层交换机实现VLAN间互访
三&配置步骤：
实现VLAN内互访VLAN间禁访配置过程
SwitchA相关配置：
1．创建（进入）VLAN10，将E0/1加入到VLAN10 &&[SwitchA]vlan&10 &&[SwitchA-vlan10]port&Ethernet&0/1 &&2．创建（进入）VLAN20，将E0/2加入到VLAN20 &&[SwitchA]vlan&20 &&[SwitchA-vlan20]port&Ethernet&0/2 &&3．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过 &&[SwitchA]interface&GigabitEthernet&1/1 &&[SwitchA-GigabitEthernet1/1]port&link-type&trunk &&[SwitchA-GigabitEthernet1/1]port&trunk&permit&vlan&10&20 &
SwitchB相关配置：
1．创建（进入）VLAN10，将E0/10加入到VLAN10&&& &[SwitchB]vlan&10&&& &[SwitchB-vlan10]port&Ethernet&0/10&&& &2．创建（进入）VLAN20，将E0/20加入到VLAN20&&& &[SwitchB]vlan&20&&& &[SwitchB-vlan20]port&Ethernet&0/20&&& &3．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过&&&[SwitchB]interface&GigabitEthernet&1/1&&& &[SwitchB-GigabitEthernet1/1]port&link-type&trunk&&&[SwitchB-GigabitEthernet1/1]port&trunk&permit&vlan&10&20&&& &通过三层交换机实现VLAN间互访的配置&&&&&
SwitchA相关配置：
1．创建（进入）VLAN10，将E0/1加入到VLAN10&& &[SwitchA]vlan&10&& &[SwitchA-vlan10]port&Ethernet&0/1&& &2．创建（进入）VLAN20，将E0/2加入到VLAN20&& &[SwitchA]vlan&20&&& &[SwitchA-vlan20]port&Ethernet&0/2 &3．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过&&&[SwitchA]interface&GigabitEthernet&1/1&&& &[SwitchA-GigabitEthernet1/1]port&link-type&trunk&&&[SwitchA-GigabitEthernet1/1]port&trunk&permit&vlan&10&20&&&
SwitchB相关配置：
1．创建VLAN10 &&[SwitchB]vlan&10 &&2．设置VLAN10的虚接口地址 &&[SwitchB]interface&vlan&10 &&[SwitchB-int-vlan10]ip&address&10.1.1.254&255.255.255.0 &&3．创建VLAN20 &&[SwitchB]vlan&20 &&4．设置VLAN20的虚接口地址 &&[SwitchB]interface&vlan&20 &&[SwitchB-int-vlan20]ip&address&20.1.1.254&255.255.255.0 &&5．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过 &&[SwitchA]interface&GigabitEthernet&1/1 &&[SwitchA-GigabitEthernet1/1]port&link-type&trunk &&[SwitchA-GigabitEthernet1/1]port&trunk&permit&vlan&10&20 &
VLAN中Trunk口的配置就结束了，希望大家已经掌握。&
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&的更多文章
VLAN是Virtual Local Area Network缩写，即虚拟局域网。一方面VL
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
华为云计算大会是每年一度的行业盛会，经过四年的发展
在云计算、虚拟化、SDN等技术趋势推动下，为满足最终
-3日,华为云计算大会(HCC2013）在上海世博
Microsoft Visual C#功能强大、使用简单。本书全面介绍了如何利用Visual Studio2005和NET Framework来进行C#编程。作者将C#的各
51CTO旗下网站