200/300系列管理型交换机上的端口安全配置
目标
网络的安全极为重要。安全网络可以防止入侵者对您的网络发起攻击。增强网络安全的一种方法是配置端口安全。端口安全允许您在特定端口或链路汇聚组(LAG)上配置安全性。LAG将各个接口合并为一个逻辑链路,可提供最多八个物理链路的聚合带宽。您可以限制或允许特定端口/LAG上的不同用户访问。
本文说明如何在200/300系列管理型交换机上配置端口安全。
适用设备
- SF/SG 200和SF/SG 300系列托管交换机
软件版本
- 1.3.0.62
端口安全配置
步骤1:登录Web配置实用程序,并选择Security > Port Security。Port Security页面随即打开:
第二步:从Interface Type Equals下拉列表中选择Port或LAG并单击Go。
第三步:点击要为其编辑安全设置的接口的单选按钮。
第四步:单击 Edit。此时会显示Edit Port Security Interface Settings窗口:
第5步:(可选)要锁定接口使其无法发送和接收数据流量,请在接口状态字段中选中Lock复选框。 
第六步:在Learning Mode字段中,点击所需学习模式的单选按钮。可用选项包括:
- 经典锁定-立即锁定端口,无论已了解的设备数量如何。
- 有限动态锁定—删除与要锁定端口的端口相关的当前MAC地址。端口可以获取特定数量的设备。
- 安全永久-保留与端口相关的当前MAC地址,并且可以识别特定数量的设备。
- 重置时安全删除—重置后删除与端口相关的当前MAC地址。交换机重置后,端口可获知特定数量的设备。
步骤 7.在允许的最大地址数量字段中,输入允许端口获取的MAC地址的最大数量。如果输入0,则端口仅支持静态地址。
步骤 8 如果在步骤5中锁定端口,则在Action on Violation字段中,点击发生违规时要采取的操作的单选按钮。可用选项包括:
- 丢弃-如果源未知,则丢弃数据包。
- 转发-如果源未知,则转发数据包。
- 关闭—丢弃数据包并关闭端口。
步骤9. (可选)每次在锁定的端口上收到数据包时都会触发陷阱,这样可以确保数据包不会违反锁定的端口。要启用陷阱,请在Trap字段中选中Enable复选框。陷阱是从代理发送到管理器的同步通知,包括当前sysUpTime值,当在简单网络管理协议(SNMP)代理上满足条件时生成。这些条件在管理信息库(MIB)中定义
步骤 10如果在第9步中启用了陷阱,请在Trap Frequency字段中输入每个陷阱之间的最短时间(以秒为单位)。
步骤 11单击 Apply。
下图显示已配置端口中的更改。
注意:要将一个端口的端口安全配置应用于多个端口,请参阅将端口安全配置应用于多个端口部分。
将端口安全配置应用于多个端口
本节介绍如何将单个端口的安全端口配置应用到多个端口。
步骤1:登录Web配置实用程序,并选择Security > Port Security。Port Security页面随即打开:
第二步:点击要将其配置应用到多个端口的端口的单选按钮。
第三步:单击Copy Settings。屏幕上会显示复制设置窗口。
第四步:在to字段中,输入端口范围,这些端口将具有您在步骤2中选择的相同端口安全配置。可以使用端口号或端口名称作为输入。可以输入每个端口(以逗号分隔),例如1、3、5或GE1、GE3、GE5,也可以输入端口范围,例如1-5或GE1-GE5。
第五步:单击确定保存所进行的配置。
下图显示单个端口安全配置应用到多个端口的情况。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
10-Dec-2018 |
初始版本 |
反馈