Cisco Business 220交換機上的埠安全

目標

本文說明您在Cisco Business 220系列交換機上選擇埠安全的方法。

適用裝置 |韌體版本

• CBS220系列（產品手冊） | 2.0.0.17

簡介

將連線埠上的存取限製為具有特定MAC位址的使用者，可以提高網路安全性。MAC地址可以是動態獲取的，也可以是靜態配置的。埠安全監控接收和獲知的資料包。只有具有特定MAC地址的使用者才能訪問鎖定的埠。

埠安全有兩種模式：

• 經典鎖定 — 埠上所有學習的MAC地址都被鎖定，並且埠不會學習任何新的MAC地址。獲知的地址不會老化和重新學習。
• Limited Dynamic Lock — 裝置獲取的MAC地址數達到所配置的允許地址限制。達到限制後，裝置不會獲取其他地址。在此模式中，地址會進行老化和重新學習。

當在未授權的埠上檢測到來自新MAC地址的幀時（埠通常被鎖定，並且有新MAC地址，或者埠被動態鎖定，並且已超過允許的地址的最大數量），將呼叫保護機制，並執行以下操作之一：

• 幀被丟棄。
• 幀被轉發。
• 將丟棄幀並生成SYSLOG消息。
• 埠關閉。

當在另一個埠上看到安全MAC地址時，幀會被轉發，但在該埠上不會獲知MAC地址。

除了上述操作之一，您還可以生成陷阱，並限制其頻率和數量以避免裝置過載。

配置埠安全

步驟1

登入到Web使用者介面(UI)。

步驟2

從左側選單中選擇Security > Port Security。

步驟3

選擇要修改的介面，然後按一下編輯圖示。

步驟4

輸入引數。

• Interface — 選擇介面名稱。
• 管理狀態 — 選擇以鎖定埠。
• Learning Mode — 選擇埠鎖定型別。要配置此欄位，必須解鎖介面狀態。僅當鎖定介面狀態欄位時，才啟用「學習模式」欄位。要更改學習模式，必須清除鎖定介面。模式更改後，可以恢復鎖定介面。選項包括：
  • 經典鎖定 — 立即鎖定埠，無論已獲取的地址數量如何。
  • 有限動態鎖定 — 通過刪除與埠關聯的當前動態MAC地址來鎖定埠。連線埠會得知連線埠上允許的最大位址。MAC地址的重新獲取和老化都已啟用。

• 允許的最大地址數 — 輸入在選擇有限動態鎖學習模式時可在埠上學習的最大MAC地址數。數字0表示介面僅支援靜態地址。
• Action on Violation — 選擇對到達鎖定埠的資料包應用的操作。選項包括：
  • Discard — 丟棄來自任何未獲知的源的資料包·
  • Forward — 從未知來源轉發資料包，但不學習MAC地址
  • Discard and Log — 丟棄來自任何未獲知的源的資料包，關閉介面，記錄事件並將陷阱傳送到指定的陷阱接收器Shutdown — 丟棄來自任何未獲知的源的資料包，並關閉埠。埠保持關閉狀態，直到重新啟用或裝置重新啟動。
  • 陷阱頻率 — 輸入陷阱之間經過的最小時間（以秒為單位）

按一下「Apply」。

結論

就這麼簡單。享受您的安全網路！

如需更多設定，請參閱思科商務220系列交換器管理指南。

如果您想檢視其他文章，請檢視思科商務220系列交換器支援頁面。