锐捷端口安全实验配置
端口安全分为IP+MAC绑定、仅IP绑定、仅MAC绑定
配置端口安全是注意事项
如果设置了IP+MAC绑定或者仅IP绑定,该交换机还会动态学习下联用户的MAC地址
如果要让IP+MAC绑定或者仅IP绑定的用户生效,需要先让端口安全学习到用户的MAC地址,负责绑定不生效
交换机如果某些端口设置了端口安全(端口MAC绑定),但是某些端口没有设置为端口安全,则绑定此mac的设备只可以在设置了端口安全的那个端口上网
例如:1口设置了端口MAC绑定的用户为PC1,则PC1只可以在1口上网,在其它端口无法上网
交换机如果某些端口设置了端口安全(IP绑定或IP+MAC绑定),但是某些端口没有设置为端口安全,则绑定此mac的设备在设置了端口安全的那个端口上网,也可以在没有设置端口安全的端口上网
例如:1口设置了端口MAC绑定的用户为PC1,则PC1可以在1口上网,也可以在其它端口上网
配置端口安全的违例动作(三种为例动作)
当接口的MAC地址数量到达限制后,如果收到了源MAC地址不存在的报文,端口安全会此端口执行违例动作
Shutdown、restrict、protect
https://blog.csdn.net/m0_49864110/article/details/127172942?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166898918516782427453535%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166898918516782427453535&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-127172942-null-null.nonecase&utm_term=%E7%AB%AF%E5%8F%A3%E5%AE%89%E5%85%A8&spm=1018.2226.3001.4450端口安全相关配置
Int g0/0
配置IP+MAC端口安全
vlan 10 192.168.10.1此IP地址和MAC地址5000.0001.0001绑定在此接口中
switchport port-security binding 5000.0001.0001 vlan 10 192.168.10.1
配置IP端口安全
通过端口安全将IP地址192.168.10.2绑定到此接口
switchport port-security binding 192.168.10.2
配置MAC端口安全
通过端口安全将MAC地址5001.0001.0001绑定到此接口中
switchport port-security mac-address 5001.0001.0001
设置端口安全MAC地址绑定的条目为1
switchport port-security maximum 1
设置端口安全的违例动作
switchport port-security violation shutdown
开启端口安全功能
switchport port-security
show port-security address
全局IP+MAC地址绑定
此非端口安全技术,配置全局IP+MAC地址绑定注意事项
开启全局IP+MAC地址绑定后,对于匹配的用户均可上网(可以从任意一个端口上网,例外端口除外),对于未绑定或匹配错误的用户都无法上网(从任何端口进入都无法上网)
全局IP+MAC地址绑定对应的是交换机,而不是端口
对于绑定后的用户,对应的IPv6报文无法通过,需要在交换机上开启IPv6模式为兼容模式
全局IP+MAC绑定对于IPv6的三种模式
兼容模式(compatible):绑定IP+MAC的用户可以使用IPv6地址访问外网
宽松模式(loose):所有IPv6地址均可以访问IPv6网络
严格模式(strict):默认此模式,即使绑定正确的用户也无法使用IPv6地址访问外网
配置IP地址和MAC地址的绑定关系
Address-bind 192.168.1.1 5001.0001.0001
配置地址绑定的例外端口(一般配置上游端口为例外端口)
Address-bind uplink G0/0
使得IP和MAC地址绑定生效
Address-bind install
配置全局IP+MAC绑定对于IPV6的处理模式
Address-bind ipv6-mode compatible/loose/strict
配置静态MAC绑定
将5002.002.0002此MAC地址绑定在G0/0接口
Mac-address static 5002.0002.0002 vlan 1 int g0/0
如果这个MAC地址街道交换机的其它接口就不能和其它设备通信
相关文章
- pycharm如何配置git_idea怎么配置git
- DNS域名解析服务配置
- nginx 同一 iP 多域名配置方法(单文件)
- vue-cli 是怎么配置babel的?
- 【Android 安全】使用 360 加固宝加固应用 ( 购买高级加固服务 | 设置资源加固 | 设置 SO 文件保护配置 | 设置 SO 防盗用文件配置 | 反编译验证加固效果 )
- Win2008服务器或VPS安全配置基础教程
- Linux下混杂模式网卡配置指南(linux设置混杂模式)
- Oracle 参数 INMEMORY_AUTOMATIC_LEVEL 官方解释,作用,如何配置最优化建议
- 轻松配置Linux服务器,畅享安全服务(配置linux服务器)
- 配置MySQL属性配置指南:助你轻松实现优化(mysql属性)
- Linux系统中利用Git快速配置步骤(linuxgit配置)
- Linux日志服务器配置:极致安全拥有畅快稳定(linux日志服务器配置)
- 环境PHP和MySQL环境搭建:快速、安全、便捷(php和mysql配置)
- Oracle安全配置
- W311MA无线网卡成功在Linux下安装配置(w311malinux)
- lnmp虚拟主机安全配置研究
- 配置MySQL数据库权限,实现安全管理(修改mysql数据库权限)
- 查看Redis家目录实现安全配置(查看redis家目录)
- 通过对php一些服务器端特性的配置加强php的安全
- Win2003Server安全配置完整篇端口关闭
- 木翼下载系统中说明的PHP安全配置方法
- WindowsInternet服务器安全配置指南原理篇
- 通过批处理实现DHCP服务器批量配置保留地址
- Apache安全配置之禁止目录访问的配置方法