kmgmt-2879-cbs-220-configure-port-security
目标
本文解释您在Cisco Business 220系列交换机上选择端口安全的方法。
适用设备 | 固件版本
简介
通过将端口上的访问限制为具有特定MAC地址的用户可以提高网络安全性。MAC地址可以是动态获取的,也可以是静态配置的。端口安全监控接收和获知的数据包。只有具有特定MAC地址的用户才能访问锁定的端口。
在启用802.1X的端口或定义为SPAN目标的端口上无法启用端口安全。
端口安全有两种模式:
- Classic Lock — 端口上所有学习的MAC地址都被锁定,并且端口不会学习任何新的MAC地址。获知的地址不会老化和重新获取。
- Limited Dynamic Lock — 设备获取的MAC地址数最多为所配置的允许地址数限制。达到限制后,设备不会获取其他地址。在此模式中,地址会进行老化和重新获取。
当在未授权的端口上检测到来自新MAC地址的帧时(该端口通常被锁定,并且存在新MAC地址,或者该端口被动态锁定,并且已超过允许的地址的最大数量),将调用保护机制,并可执行以下操作之一:
- 帧被丢弃。
- 帧被转发。
- 将丢弃帧并生成SYSLOG消息。
- 端口已关闭。
当在另一个端口上看到安全MAC地址时,会转发帧,但不会在该端口上获取MAC地址。
除了这些操作之一,您还可以生成陷阱,并限制其频率和数量以避免设备过载。
第 1 步
登录Web用户界面(UI)。
第 2 步
从左侧菜单中选择Security > Port Security。
第 3 步
选择要修改的接口,然后点击编辑图标。
第 4 步
输入参数。
- Interface — 选择接口名称。
- 管理状态 — 选择以锁定端口。
- Learning Mode — 选择端口锁定类型。要配置此字段,必须解锁接口状态。仅当接口状态字段被锁定时,学习模式字段才会启用。要更改学习模式,必须清除Lock Interface。模式更改后,可以恢复锁定接口。选项有:
- Classic Lock — 立即锁定端口,无论已获取的地址数量如何。
- Limited Dynamic Lock — 通过删除与端口关联的当前动态MAC地址来锁定端口。端口最多可以获取该端口允许的最大地址。MAC地址的重新获知和老化都已启用。
- Max No. of Addresses Allowed — 如果选择Limited Dynamic Lock学习模式,请输入端口上可学习的MAC地址的最大数量。数字0表示接口仅支持静态地址。
- Action on Violation — 选择要应用于到达锁定端口的数据包的操作。选项有:
- Discard — 丢弃来自任何未获知来源的数据包·
- Forward — 转发来自未知源的数据包,但不学习MAC地址
- Discard and Log — 丢弃来自任何未获知的源的数据包,关闭接口,记录事件并将陷阱发送到指定的陷阱接收器Shutdown — 丢弃来自任何未获知的源的数据包,并关闭端口。端口保持关闭状态,直到重新激活或设备重新启动为止。
- Trap Frequency — 输入陷阱之间经过的最小时间(以秒为单位)
单击 Apply。
如果您想查看CBS220上端口安全的默认行为示例,请查看
端口安全行为。
结论
就这么简单。享受您的安全网络!
有关更多配置,请参阅Cisco Business 220系列交换机管理指南。
如果您想查看其他文章,请查看Cisco Business 220系列交换机支持页。
修订历史记录
版本 |
发布日期 |
备注 |
1.0 |
11-Jun-2021 |
初始版本 |