1、配置端口安全性未提供端口安全性的交換機將讓攻擊者連接到系統上未使用的已啟用端口，并執行信息收集或攻擊。交換機可被配置為像集線器那樣工作，這意味著連接到交換機的每一臺系統都有可能查看通過交換機流向與交換機相連的所有系統的所有網絡流量。因此，攻擊者可以收集含有用戶名、密碼或網絡上的系統配置信息的流量。在部署交換機之前，應保護所有交換機端口或接口。端口安全性限制端口上所允許的有效MAC地址的數量。如果為安全端口分配了安全MAC地址，那么當數據包的源地址不是已定義地址組中的地址時，端口不會轉發這些數據包。如果將安全MAC地址的數量限制為一個，并為該端口只分配一個安全MAC地址，那么連接該端口的工作站將

2、確保獲得端口的全部帶寬，并且只有地址為該特定安全MAC地址的工作站才能成功連接到該交換機端口。如果端口已配置為安全端口，并且安全MAC地址的數量已達到最大值，那么當嘗試訪問該端口的工作站的MAC地址不同于任何已確定的安全MAC地址時，則會發生安全違規。下面總結了這些要點。總地來說，在所有交換機端口上實施安全措施，可以實現以下目的。在端口上指定一組允許的有效MAC地址。在任一時刻只允許一個MAC地址訪問端口。指定端口在檢測到未經授權的MAC地址時自動關閉。配置端口安全性有很多方法。下面描述可在Cisco交換機上配置端口安全性的方法。靜態安全MAC地址：靜態MAC地址是使用switchport p

3、ort-security mac-address mac-address接口配置命令手動配置的。以此方法配置的MAC地址存儲在地址表中，并添加到交換機的運行配置中。動態安全MAC地址：動態MAC地址是動態獲取的，并且僅存儲在地址表中。以此方式配置的MAC地址在交換機重新啟動時將被移除。粘滯安全MAC地址：可以將端口配置為動態獲得MAC地址，然后將這些MAC地址保存到運行配置中。粘滯安全MAC地址有以下特性。當使用switchport port-security mac-address sticky接口配置命令在接口上啟用粘滯獲取時，接口將所有動態安全MAC地址（包括那些在啟用粘滯獲取之前動態獲

4、得的MAC地址）轉換為粘滯安全MAC地址，并將所有粘滯安全MAC地址添加到運行配置。如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滯獲取，則粘滯安全MAC地址仍作為地址表的一部分，但是已從運行配置中移除。已經被刪除的地址可以作為動態地址被重新配置和添加到地址表。如果使用switchport port-security mac-address sticky mac-address接口配置命令配置粘滯安全MAC地址時，這些地址將添加到地址表和運行配置中。 如果禁用端口安全性，則粘滯安全MAC地址仍保留在運行配置中。如果將粘滯安

5、全MAC地址保存在配置文件中，則當交換機重新啟動或者接口關閉時，接口不需要重新獲取這些地址。如果不保存粘滯安全地址，則它們將丟失。如果粘滯獲取被禁用，粘滯安全MAC地址則被轉換為動態安全地址，并被從運行配置中刪除。如果禁用粘滯獲取并輸入switchport port-security mac-address sticky mac-address接口配置命令，則會出現錯誤消息，并且粘滯安全MAC地址不會添加到運行配置。當出現以下任一情況時，則會發生安全違規。地址表中添加了最大數量的安全MAC地址，有工作站試圖訪問接口，而該工作站的MAC地址未出現在該地址表中。在一個安全接口上獲取或配置的地址出現

6、在同一個VLAN中的另一個安全接口上。根據出現違規時要采取的操作，可以將接口配置為3種違規模式之一。保護：當安全MAC地址的數量達到端口允許的限制時，帶有未知源地址的數據包將被丟棄，直至移除足夠數量的安全MAC地址或增加允許的最大地址數。不會得到發生安全違規的通知。限制：當安全MAC地址的數量達到端口允許的限制時，帶有未知源地址的數據包將被丟棄，直至移除足夠數量的安全MAC地址或增加允許的最大地址數。在此模式下，您會得到發生安全違規的通知。具體而言就是，將有SNMP陷阱發出、syslog消息記入日志，以及違規計數器的計數增加。關閉：在此模式下，端口安全違規將造成接口立即變為錯誤禁用（error

7、-disabled）狀態，并關閉端口LED。該模式還會發送SNMP陷阱、將syslog消息記入日志，以及增加違規計數器的計數。當安全端口處于錯誤禁用狀態時，先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態。此模式為默認模式。各種安全違規模式的影響如表2-15所示。表2-15端口安全違規模式違 規 模 式轉 發 流 量發出SNMP陷阱發出SYSLOG消息顯示錯誤消息增加違規計數器計數關 閉 端 口保護否否否否否否限制否是是否是否關閉否是是否是是Cisco交換機上的端口都預先配置了默認設置，表2-16列出默認的端口安全配置。表2-16端口安全默認設置功 能默 認 設

8、置端口安全性在端口上禁用安全MAC地址的最大數量1違規模式關閉。當超過安全MAC地址的最大數量時，端口關閉，同時發出SNMP陷阱通知粘滯地址獲取禁用表2-17中顯示了在S1交換機的快速以太網F0/18端口上配置端口安全性所需要的Cisco IOS CLI命令。請注意該示例未指定違規模式。此示例中，違規模式設置為shutdown。表2-18中演示了如何在交換機S1的快速以太網端口0/18上啟用粘滯端口安全性。如前所述，可以配置安全MAC地址的最大數量。本例中演示了用來將最大MAC地址數量設置為50的Cisco IOS命令語法。違規模式默認設置為shutdown。表2-17端口安全命令語法說 明命

9、 令進入全局配置模式S1# configure terminal指定要配置的物理接口的類型和編號（例如fastEthernet F0/18），并進入接口配置模式S1(config)#interface fastEthernet 0/18將接口模式設置為access。處于動態理想默認模式的接口不可配置為安全端口S1(config-if)#switchport mode access在接口上啟用端口安全性S1(config-if)#switchport port-security返回特權執行模式S1# end表2-18配置粘滯地址的端口安全性命令語法說 明命 令進入全局配置模式S1#configu

10、re terminal指定要配置的物理接口的類型和編號S1(config)#interface fastEthernet 0/18將接口模式配置為accessS1(config-if)#switchport mode access在接口上啟用端口安全性S1(config-if)#switchport port-security將安全地址的最大數量設置為50S1(config-if)#switchport port-security maxnum 50啟用粘滯獲取S1(config-if)#switchport port-security mac-address sticky返回特權執行模式S1

11、#end除了前面所述之外，還有其他一些有用的端口安全性設置。如需獲得全部端口安全性配置選項的完整列表，可訪問： catalyst2950/software/release/12.1_19_ea1/configuration/guide/swtrafc.html#wp1038501。為交換機配置端口安全性之后，需要驗證配置是否正確。需要檢查每一個接口以確保端口安全性都已設置正確。還必須確保配置的靜態MAC地址也都正確。要顯示交換機或指定接口的端口安全性設置，可如例2-11所示那樣使用 show port-security interface interface-id命令。例2-11 驗證端口安全性輸出顯示以下內容。每個接口