FAQ:端口安全,如何实现交换机记录第一个上线的pc

发布时间:  2015-03-28 浏览次数:  108 下载次数:  0
问题描述

公司为了提高信息安全,将Switch连接员工PC侧的接口使能了接口安全功能,并且设置了接口学习MAC地址数的上限为信任的设备总数,这样其他外来人员使用自己带来的PC无法访问公司的网络。


在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。

Sticky MAC不会被老化,保存配置后重启设备,Sticky MAC也不会丢失,无需重新学习。

解决方案

操作步骤

1、创建VLAN,并配置接口的链路类型

      <Quidway> system-view

      [Quidway] vlan 10

      [Quidway-vlan10] quit

      [Quidway] interface gigabitethernet 0/0/1

      [Quidway-GigabitEthernet0/0/1] port link-type trunk

      [Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

2、 配置接口安全功能

     [Quidway-Ethernet0/0/1] port-security enable // 使能接口安全功能

     [Quidway-Ethernet0/0/1] port-security mac-address sticky // 使能接口Sticky MAC功能

     [Quidway-Ethernet0/0/1] port-security max-mac-num 3 //配置接口MAC地址学习限制数

     [Quidway-Ethernet0/0/1] port-security protect-action protect //配置接口安全功能的保护动作

缺省情况下,接口安全保护动作为restrict

接口安全保护动作有以下三种:

    protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。

    restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,同时发出告警。

    shutdown:当学习到的MAC地址数超过接口限制数时,接口执行Shutdown操作,同时发出告警。

 

其他接口如需使能接口安全功能,请重复上述配置。


END