Port Security, A6 P7 J4 _3 |* M1 T5 f6 K
端口安全特性提供了根据MAC地址,动态的对交换机端口进行保护的特性.
) G' E- ]' g8 p; f3 m! ?2 b+ c配置端口安全特性的步骤如下:7 P" C% z; L& f3 Y2 u
1.启用端口安全特性:1 h# @1 [. ?! Z$ H: G8 ?+ E* g% [
Aiko(config-if)#switchport port-security& k* k/ ~2 G: u% f; X5 g1 o
2.限制被允许访问的MAC地址是最大数目:
. k! ]: ^8 A) Z2 JAiko(config-if)#switchport port-security maximum {number} [vlan vlan-list]' ]' W7 K' J* y) }/ T6 b
3.静态定义MAC地址,可以设置一个或多个MAC地址:
" U1 p+ Y h4 m1 l( w$ iAiko(config-if)#switchport port-security mac-address {mac-address} [vlan vlan-id]4.定义当收到带有违法MAC地址信息的帧的时候,端口所采取的动作.如果关键字设置shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在于后者会发送日志信息,它们对违法的帧的操作均为丢弃:Aiko(config-if)#switchport port-security violation {protect|restrict|shutdown}
9 \3 M8 y, {+ f `5.启用MAC地址的粘滞学习(sticky learning),即当交换机重启之后,MAC地址不需要重新学习,它们是被保存在交换机启动配置文件里的.可选:2 R. E6 H* o" k2 t
Aiko(config-if)#switchport port-security mac-address sticky
% d$ |0 O" V& u) G# C& V802.1x Port-Based Authentication
( Z/ R# Z3 ]" n$ u* I2 ^2 W8 w9 x7 [# X802.1x标准提供了基于交换机端口的认证方式.; u, L$ E$ ~1 g- v) Y
配置802.1x端口认证的步骤如下:2 O' F+ ]7 r+ F0 O' \' F, B" c
1.启用认证,授权和审计(AAA):4 |% t8 P3 m5 j* h0 p4 E8 }
Aiko(config)#aaa new-model, O1 m; T e# ]
2.创建方式列表(method list):
5 u/ n' k& N9 D) j/ P0 zAiko(config)#aaa authentication dot1x default group {radius|tacacs+}- B* Z/ M/ Z8 i# U7 B" I
3.全局启用802.1x端口认证:
( G+ }6 @4 w; m# |6 X( v5 b, ~( I. O/ |9 @0 J
Aiko(config)#dot1x system-auth-control |