思科企业220交换机的端口安全

目标

本文介绍您在Cisco Business 220系列交换机上的端口安全选项。

适用设备 |固件版本

• CBS220系列（产品手册） |2.0.0.17

简介

通过限制对具有特定MAC地址的用户的端口访问，可以提高网络安全性。MAC地址可以动态获取，也可以静态配置。端口安全监控已接收和已获取的数据包。对锁定端口的访问仅限于具有特定MAC地址的用户。

端口安全有两种模式：

• 经典锁定 — 端口上所有获取的MAC地址都已锁定，并且端口不会获取任何新的MAC地址。获取的地址不受老化或重新学习的影响。
• 有限动态锁 — 设备获取的MAC地址数达到配置的允许地址限制。达到限制后，设备不会获取其他地址。在此模式下，这些地址可能会老化并重新学习。

当在未授权的端口上检测到来自新MAC地址的帧时（该端口被典型锁定，并且有新的MAC地址，或者该端口被动态锁定，且已超过允许的最大地址数），将调用保护机制，并可执行以下操作之一：

• 帧被丢弃。
• 帧被转发。
• 帧被丢弃并生成SYSLOG消息。
• 端口关闭。

当在另一个端口上看到安全MAC地址时，会转发帧，但在该端口上不会获取MAC地址。

除了这些操作之一，您还可以生成陷阱，并限制其频率和数量以避免设备过载。

配置端口安全性

第 1 步

登录Web用户界面(UI)。

步骤 2

从左侧的菜单中，选择“安全”>“端口安全”。

步骤 3

选择要修改的接口，然后单击编辑图标。

步骤 4

输入参数。

• 接口 — 选择接口名称。
• 管理状态 — 选择以锁定端口。
• 学习模式(Learning Mode) — 选择端口锁定的类型。要配置此字段，必须解锁接口状态。仅当Interface Status字段被锁定时，Learning Mode字段才启用。要更改学习模式，必须清除锁定接口。模式更改后，可以恢复锁定接口。选项有：
  • 经典锁定 — 立即锁定端口，无论已获知的地址数量如何。
  • 有限动态锁定 — 通过删除与端口关联的当前动态MAC地址来锁定端口。端口获取的地址最多为端口允许的最大地址数。MAC地址的重新学习和老化都已启用。

• Max No. of Addresses Allowed — 如果选择了有限动态锁学习模式，则输入可在端口上获取的MAC地址的最大数量。数字0表示接口仅支持静态地址。
• Action on Violation — 选择要应用于到达锁定端口的数据包的操作。选项有：
  • Discard — 丢弃来自任何未学习源的数据包·
  • 转发 — 从未知源转发数据包，但不获取MAC地址
  • Discard and Log — 丢弃来自任何未学习源的数据包、关闭接口、记录事件并将陷阱发送到指定陷阱接收器Shutdown — 丢弃来自任何未学习源的数据包并关闭端口。在重新激活或重新启动设备之前，端口将保持关闭状态。
  • 陷阱频率 — 输入陷阱之间经过的最短时间（以秒为单位）

单击 Apply。

结论

就这么简单。享受您的安全网络！

有关详细配置，请参阅《Cisco Business 220系列交换机管理指南》。

如果您想查看其他文章，请查看Cisco Business 220系列交换机支持页。