CISCO交換機的配置我們講解了不少，這里我們主要針對CISCO 3550交換機的端口安全的配置進行一下講解。場景：某單位中有一臺CISCO3550交換機，出于網(wǎng)絡(luò)安全的考慮，對某些端口的安全性要求較高，即只能接入指定的主機，比如設(shè)置一間辦公室只有某臺筆記本電腦可以接入網(wǎng)絡(luò)，當(dāng)他帶著筆記本出去后，即使空出了網(wǎng)絡(luò)接口，其它的電腦也無法使用這根網(wǎng)線。下面我們就看網(wǎng)絡(luò)管理人員是如何逐步實現(xiàn)這一需求的。

[[18847]]

一、判斷交換機端口通斷狀態(tài)的方法

作為網(wǎng)絡(luò)管理員，在應(yīng)用新的功能前，肯定要先經(jīng)過測試，即為了保證網(wǎng)絡(luò)的穩(wěn)定運行，只能在空閑的端口上面測試新功能。如何找到空閑的端口，到交換機的前面直接去查看是一種方法，當(dāng)然作為一名資深的網(wǎng)管人員來說，一般是不會這么做的，我們是通過在交換機上執(zhí)行相應(yīng)的指令來找到自己所需的答案的。以前我是用show inter命令來看，但是這條命令顯示的信息太多了，看起來不方便，現(xiàn)在我是用show inter status命令來看，這條命令可以逐條顯示出每個端口的通斷狀態(tài)(用“connected”和“notconnect”來表示)，本例中我就通過這條命令找到了一個空閑的端口3來進行隨后的測試。

3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX

#p#

二、端口安全的基本操作

(一)顯示端口3口上面的MAC地址

3550#show mac-address-table int fa0/3
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----

(由于端口上面現(xiàn)在沒接任何網(wǎng)線，所以顯示該端口上面沒有任何MAC地址)

(二)清除動態(tài)獲到的MAC 地址

3550#clear mac-address-table dynamic inter fa0/3

以上兩步操作的目的是確認(rèn)當(dāng)前端口上面沒有MAC地址的記錄，以便證明我們以后進行的操作是有效的。

(三)關(guān)閉端口、將其配置為接入端口并執(zhí)行配置端口安全的命令

端口安全的實現(xiàn)是通過switchport port-security命令來實現(xiàn)的，這是一條核心的指令，輔以與之相關(guān)的其它命令，我們就可以實現(xiàn)端口安全的設(shè)置。由于大多采用的默認(rèn)設(shè)置，所以本例實現(xiàn)的功能是端口3上面只允許一個指定的MAC地址通過，并在出現(xiàn)安全違規(guī)時關(guān)閉端口，先對相關(guān)的設(shè)置命令做一下解釋：

switchport port-security命令在端口上啟用端口安全，默認(rèn)設(shè)置情況下只允許一個MAC地址通過，并在出現(xiàn)安全違規(guī)時關(guān)閉接口。

switchport port-security mac-add sticky命令讓交換機獲悉當(dāng)前與端口相關(guān)聯(lián)的MAC地址，該地址將包含在運行配置中。如果將運行配置保存到啟動配置中，則路由器重啟后，該地址也將保留下來。

介紹完核心命令的操作，我們再介紹一下端口安全操作的思路：首先關(guān)閉端口3。使用命令switchport mode access將端口配置為接入端口，以便配置端口安全。使用命令switchport port-securtiy啟用端口安全，然后使用命令swithchport port-security mac-address sticky讓端口獲悉其連接機的主機的IP地址。最后，執(zhí)行命令no shutdown重新啟用端口，使其能夠獲悉主機的MAC地址，實現(xiàn)以上操作的命令如下。

3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky
(設(shè)置MAC地址的粘性，我對這條命令的理解是交換機會自動的學(xué)習(xí)到第一次接到到該端口的網(wǎng)絡(luò)設(shè)備的MAC地址，并把它記錄到當(dāng)前的配置文件中)
3550(config-if)#end

(四)查看配置信息的操作

1、查看當(dāng)前配置文件中有關(guān)FA0/3端口的信息

3550#show run inter fa0/3
Building configuration...
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end

2、查看有關(guān)FA0/3端口安全方面的信息

Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0

(五)實際測試

我們拿一臺筆記本電腦，接入FA0/3端口，這臺筆記本網(wǎng)卡的狀態(tài)顯示為連通，由于VLAN66網(wǎng)段內(nèi)有DHCP服務(wù)器，也可以順利的獲取IP地址，訪問網(wǎng)絡(luò)。然后再將連接這臺筆記本電腦的網(wǎng)線接到另外一臺微機上，該微機的網(wǎng)卡狀態(tài)顯示為斷開，說明端口安全已經(jīng)生效。

(六)存在的問題

本來以為端口安全的操作到此已經(jīng)完成了，但是將這根網(wǎng)線再插回到剛才的那臺筆記本電腦上時，卻發(fā)現(xiàn)網(wǎng)絡(luò)仍然處于斷開狀態(tài)，查看端口的狀態(tài)，處于“error disable”，雖然我們可以通過在FA0/3端口執(zhí)行shutdown和no shutdown命令將這個端口恢復(fù)正常，但是這個操作太麻煩了，而且也不現(xiàn)實，總不能每次用戶每次發(fā)現(xiàn)端口關(guān)閉了以后，都去找網(wǎng)管員執(zhí)行shutdown、no shutdonw命令。#p#

三、對端口安全設(shè)置的深入研究

在已經(jīng)實現(xiàn)端口安全的基礎(chǔ)上(雖然效果跟我們的要求還有一定差距)，我們繼續(xù)對相關(guān)的功能進行研究，在查看端口安全狀態(tài)的“Violation(違背) Mode”時，發(fā)現(xiàn)默認(rèn)的處理是shutdown，那么還有沒有其它的選項呢?通過“?”(幫助)，我們還真找到其它的兩個選項，分別為

3550(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode

通過查看相關(guān)的資料，我們了解到protect參數(shù)的含義是當(dāng)發(fā)生違背安全的情況時，是將數(shù)據(jù)包丟棄，這正好我們的設(shè)想，即不是將發(fā)生違規(guī)的端口關(guān)閉，而是將違規(guī)的數(shù)據(jù)包丟棄，這才是我們所要的結(jié)果，具體的設(shè)置命令如下：

3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0

從實際測試的效果來看也達(dá)到我們的要求，即該端口安全的設(shè)置生效后，首先連接筆記本電腦是可以接入網(wǎng)絡(luò)的，更換為一臺臺式機以后，該臺式機的網(wǎng)卡狀態(tài)仍然顯示為已連接，但是網(wǎng)絡(luò)數(shù)據(jù)不通，當(dāng)重新接回筆記本電腦后，網(wǎng)絡(luò)的通訊又恢復(fù)正常了。