Port-Sicherheit auf den Cisco Business Switches der Serie 220

Download-Optionen

PDF (252.2 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (185.6 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (257.4 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:8. Juni 2021

Dokument-ID:1621293107605980

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

kmgmt-2879-cbs-220-configure-port-security

Ziel

In diesem Artikel werden Ihre Optionen für die Port-Sicherheit auf Ihrem Cisco Business Switch der Serie 220 erläutert.

Unterstützte Geräte | Firmware-Version

Serie CBS 220 (Datenblatt) | 2,0 0,17

Einführung

Die Netzwerksicherheit kann erhöht werden, indem der Zugriff auf einen Port auf Benutzer mit bestimmten MAC-Adressen beschränkt wird. Die MAC-Adressen können entweder dynamisch abgerufen oder statisch konfiguriert werden. Die Portsicherheit überwacht empfangene und erfasste Pakete. Der Zugriff auf gesperrte Ports ist auf Benutzer mit bestimmten MAC-Adressen beschränkt.

Port-Sicherheit kann an Ports, an denen 802.1X aktiviert ist, oder an Ports, die als SPAN-Ziel definiert sind, nicht aktiviert werden.

Die Port-Sicherheit verfügt über zwei Modi:

Klassische Sperre - Alle gelernten MAC-Adressen am Port sind gesperrt, und der Port lernt keine neuen MAC-Adressen mehr. Die erlernten Adressen sind nicht Gegenstand von Altern oder Neulernen.
Eingeschränkte dynamische Sperrung - Das Gerät erfasst MAC-Adressen bis zum konfigurierten Grenzwert zulässiger Adressen. Nach Erreichen des Grenzwerts erhält das Gerät keine weiteren Adressen mehr. In diesem Modus werden die Adressen veraltet und neu gelernt.

Wenn ein Frame aus einer neuen MAC-Adresse an einem Port erkannt wird, an dem er nicht autorisiert ist (der Port ist klassisch gesperrt, eine neue MAC-Adresse vorhanden, oder der Port dynamisch gesperrt, und die maximale Anzahl zulässiger Adressen überschritten wurde), wird der Schutzmechanismus aufgerufen, und eine der folgenden Aktionen kann durchgeführt werden:

Frame wird verworfen.
Frame wird weitergeleitet.
Frame wird verworfen und eine SYSLOG-Nachricht generiert.
Der Port wird heruntergefahren.

Wenn die sichere MAC-Adresse an einem anderen Port angezeigt wird, wird der Frame weitergeleitet, aber die MAC-Adresse wird an diesem Port nicht erfasst.

Zusätzlich zu einer dieser Aktionen können Sie auch Traps generieren und deren Häufigkeit und Anzahl begrenzen, um eine Überlastung der Geräte zu vermeiden.

Konfigurieren der Port-Sicherheit

Schritt 1

Melden Sie sich bei der Webbenutzeroberfläche an.

Schritt 2

Wählen Sie im Menü auf der linken Seite Security > Port Security aus.

Schritt 3

Wählen Sie eine zu ändernde Schnittstelle aus, und klicken Sie dann auf das Bearbeitungssymbol.

Schritt 4

Geben Sie die Parameter ein.

Interface (Schnittstelle): Wählen Sie den Schnittstellennamen aus.
Administrative Status: Wählen Sie diese Option aus, um den Port zu sperren.
Learning Mode (Lernmodus): Wählen Sie den Typ der Portsperrung aus. Um dieses Feld zu konfigurieren, muss der Schnittstellenstatus entsperrt werden. Das Feld Lernmodus wird nur aktiviert, wenn das Feld Schnittstellenstatus gesperrt ist. Um den Lernmodus zu ändern, muss die Sperrschnittstelle gelöscht werden. Nachdem der Modus geändert wurde, kann die Sperrschnittstelle wieder eingesetzt werden. Folgende Optionen sind verfügbar:
- Klassische Sperre - Sperrt den Port sofort, unabhängig von der Anzahl der bereits abgefragten Adressen.
- Eingeschränkte dynamische Sperrung - Sperrt den Port, indem die aktuellen dynamischen MAC-Adressen des Ports gelöscht werden. Der Port erfasst bis zu den maximal zulässigen Adressen für den Port. Sowohl das erneute Lernen als auch das Altern von MAC-Adressen sind aktiviert.

Max No of Addresses Allowed (Max. Anzahl zulässiger Adressen): Geben Sie die maximale Anzahl von MAC-Adressen ein, die auf dem Port gelernt werden können, wenn der Lernmodus "Eingeschränkte dynamische Sperrung" ausgewählt wurde. Die Zahl 0 gibt an, dass auf der Schnittstelle nur statische Adressen unterstützt werden.
Aktion bei Verletzung - Wählen Sie eine Aktion aus, die auf Pakete angewendet werden soll, die an einem gesperrten Port eintreffen. Folgende Optionen sind verfügbar:
- Discard - Verwirft Pakete von einer beliebigen unbekannten Quelle ·
- Forward (Weiterleiten): Weiterleitet Pakete von einer unbekannten Quelle weiter, ohne die MAC-Adresse zu kennen
- Discard and Log (Verwerfen und Protokollieren): Verwirft Pakete von einer beliebigen unbekannten Quelle, beendet die Schnittstelle, protokolliert die Ereignisse und sendet Traps an die angegebenen Trap-Empfänger Shutdown (Herunterfahren von Paketen von einer beliebigen unbekannten Quelle). Anschließend wird der Port heruntergefahren. Der Port bleibt so lange geschlossen, bis er wieder aktiviert wird oder bis das Gerät neu gestartet wird.
- Trap Frequency (Trap-Frequenz) - Geben Sie die minimale Zeit (in Sekunden) ein, die zwischen Traps vergeht.

Klicken Sie auf Apply (Anwenden).

Wenn Sie ein Beispiel für das Standardverhalten der Port-Sicherheit auf Ihrem CBS220 sehen möchten, überprüfen Sie das Portsicherheitsverhalten.

Fazit

So einfach ist das. Profitieren Sie von Ihrem sicheren Netzwerk!

Weitere Konfigurationen finden Sie im Cisco Business Switches der Serie 220.

Weitere Artikel finden Sie auf der Cisco Business Switch Support-Seite.