思科商務220交換器上的連線埠安全

下載選項

PDF (532.6 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (227.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (250.3 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2021 年 6 月 8 日

文件 ID:1621293107605980

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

kmgmt-2879-cbs-220-configure-port-security

目標

本文說明您在Cisco Business 220系列交換機上選擇埠安全的方法。

適用裝置 | 韌體版本

CBS220系列（產品手冊） | 2.0.0.17

簡介

將連線埠上的存取限製為具有特定MAC位址的使用者，可以提高網路安全性。MAC地址可以是動態獲取的，也可以是靜態配置的。埠安全監控接收和獲知的資料包。只有具有特定MAC地址的使用者才能訪問鎖定的埠。

在已啟用802.1X的連線埠上或定義為SPAN目的地的連線埠上，不能啟用連線埠安全性。

埠安全有兩種模式：

經典鎖定 — 埠上所有學習的MAC地址都被鎖定，並且埠不會學習任何新的MAC地址。獲知的地址不會老化和重新學習。
Limited Dynamic Lock — 裝置獲取的MAC地址數達到所配置的允許地址數限制。達到限制後，裝置不會獲取其他地址。在此模式中，地址會進行老化和重新學習。

當在未授權的埠上檢測到來自新MAC地址的幀時（埠通常被鎖定，並且有新MAC地址，或者埠被動態鎖定，並且已超過允許的地址的最大數量），將呼叫保護機制，並執行以下操作之一：

幀被丟棄。
幀被轉發。
將丟棄幀並生成SYSLOG消息。
埠關閉。

當在另一個埠上看到安全MAC地址時，幀會被轉發，但在該埠上不會獲知該MAC地址。

除了上述操作之一，您還可以生成陷阱，並限制其頻率和數量以避免裝置過載。

配置埠安全

步驟 1

登入到Web使用者介面(UI)。

步驟 2

從左側選單中選擇Security > Port Security。

步驟 3

選擇要修改的介面，然後按一下編輯圖示。

步驟 4

輸入引數。

Interface — 選擇介面名稱。
管理狀態 — 選擇以鎖定埠。
Learning Mode — 選擇埠鎖定型別。要配置此欄位，必須解鎖介面狀態。僅當介面狀態欄位被鎖定時，才啟用「學習模式」欄位。要更改學習模式，必須清除鎖定介面。模式更改後，可以恢復鎖定介面。選項包括：
- 經典鎖定 — 立即鎖定埠，無論已獲取的地址數量如何。
- Limited Dynamic Lock — 通過刪除與埠關聯的當前動態MAC地址來鎖定埠。連線埠會得知連線埠上允許的最大位址。MAC地址的重新獲取和老化都已啟用。

允許的最大地址數 — 輸入在選擇有限動態鎖學習模式時可在埠上學習的最大MAC地址數。數字0表示介面僅支援靜態地址。
Action on Violation — 選擇對到達鎖定埠的資料包應用的操作。選項包括：
- Discard — 丟棄來自任何未獲知的源的資料包·
- Forward — 轉發來自未知源的資料包，但不學習MAC地址
- Discard and Log — 丟棄來自任何未獲知的源的資料包，關閉介面，記錄事件並將陷阱傳送到指定的陷阱接收器Shutdown — 丟棄來自任何未獲知的源的資料包，並關閉埠。埠會保持關閉狀態，直到重新啟用或裝置重新啟動。
- 陷阱頻率(Trap Frequency) — 輸入陷阱之間經過的最小時間（以秒為單位）