Cisco Business 220交换机上的端口安全

下载选项

PDF (519.5 KB)
在各种设备上使用 Adobe Reader 查看
ePub (229.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (251.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2021 年 6 月 8 日

文档 ID:1621293107605980

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

kmgmt-2879-cbs-220-configure-port-security

目标

本文解释您在Cisco Business 220系列交换机上选择端口安全的方法。

适用设备 | 固件版本

CBS220系列(产品手册) |2.0.0.17

简介

通过将端口上的访问限制为具有特定MAC地址的用户可以提高网络安全性。MAC地址可以是动态获取的，也可以是静态配置的。端口安全监控接收和获知的数据包。只有具有特定MAC地址的用户才能访问锁定的端口。

在启用802.1X的端口或定义为SPAN目标的端口上无法启用端口安全。

端口安全有两种模式：

Classic Lock — 端口上所有学习的MAC地址都被锁定，并且端口不会学习任何新的MAC地址。获知的地址不会老化和重新获取。
Limited Dynamic Lock — 设备获取的MAC地址数最多为所配置的允许地址数限制。达到限制后，设备不会获取其他地址。在此模式中，地址会进行老化和重新获取。

当在未授权的端口上检测到来自新MAC地址的帧时（该端口通常被锁定，并且存在新MAC地址，或者该端口被动态锁定，并且已超过允许的地址的最大数量），将调用保护机制，并可执行以下操作之一：

帧被丢弃。
帧被转发。
将丢弃帧并生成SYSLOG消息。
端口已关闭。

当在另一个端口上看到安全MAC地址时，会转发帧，但不会在该端口上获取MAC地址。

除了这些操作之一，您还可以生成陷阱，并限制其频率和数量以避免设备过载。

配置端口安全性

第 1 步

登录Web用户界面(UI)。

第 2 步

从左侧菜单中选择Security > Port Security。

第 3 步

选择要修改的接口，然后点击编辑图标。

第 4 步

输入参数。

Interface — 选择接口名称。
管理状态 — 选择以锁定端口。
Learning Mode — 选择端口锁定类型。要配置此字段，必须解锁接口状态。仅当接口状态字段被锁定时，学习模式字段才会启用。要更改学习模式，必须清除Lock Interface。模式更改后，可以恢复锁定接口。选项有：
- Classic Lock — 立即锁定端口，无论已获取的地址数量如何。
- Limited Dynamic Lock — 通过删除与端口关联的当前动态MAC地址来锁定端口。端口最多可以获取该端口允许的最大地址。MAC地址的重新获知和老化都已启用。

Max No. of Addresses Allowed — 如果选择Limited Dynamic Lock学习模式，请输入端口上可学习的MAC地址的最大数量。数字0表示接口仅支持静态地址。
Action on Violation — 选择要应用于到达锁定端口的数据包的操作。选项有：
- Discard — 丢弃来自任何未获知来源的数据包·
- Forward — 转发来自未知源的数据包，但不学习MAC地址
- Discard and Log — 丢弃来自任何未获知的源的数据包，关闭接口，记录事件并将陷阱发送到指定的陷阱接收器Shutdown — 丢弃来自任何未获知的源的数据包，并关闭端口。端口保持关闭状态，直到重新激活或设备重新启动为止。
- Trap Frequency — 输入陷阱之间经过的最小时间（以秒为单位）

单击 Apply。