如何在具有端口安全性的每个端口上允许我的笔记本电脑 MAC 地址?甚至可能吗?
当我尝试时,我得到了这个:
SW2(config-if)#switchport port-security mac-address XXXX.XXXX.XXXX
Found duplicate mac-address XXXX.XXXX.XXXX.
如何在具有端口安全性的不同端口上允许相同的 MAC 地址?
网络工程
思科
转变
安全
MAC地址
端口安全
2022-02-09 04:25:19
3个回答
请允许我加入讨论。
为什么您甚至希望在具有端口安全性的所有交换机端口上允许您的笔记本电脑 MAC 地址?
端口安全功能主要是为了提高第 2 层安全性,例如防止交换机上的 MAC 溢出攻击。这并不是为了防止未经授权的设备连接到 RJ45 插座,也就是以太网端口。通常,您在办公室配置 RJ 45 插座,这些插座端接在配线架上并连接到交换机,以允许给定端口在采取任何操作(保护、限制、关闭)之前可以学习一定数量的 MAC。这样做可以防止可能对您的交换机执行的 MAC 溢出攻击。
再次(这是我个人的观点)这个问题没有多大意义。如果您能证明您甚至会关心以这种方式配置它的真实原因,请告诉我。
亚当
您可能需要查看端口安全粘性(动态学习 MAC),然后配置老化以老化每个接口上的旧 MAC 地址。您将无法配置端口安全性,同时允许 MAC 从一个接口移动到另一个接口而不会出现问题。如上所述,它违背了端口安全的目的。
对于每个接口,您可以将其配置为动态学习 mac:
switchport port-security mac-address sticky
您可以设置希望每个接口学习多少 MAC 地址:
switchport port-security maximum ?
<1-8192> Maximum addresses
然后为每个接口设置老化计时器:
switchport port-security aging ?
static Enable aging for configured secure addresses
time Port-security aging time
type Port-security aging type
当您设置老化参数时,您有几个选项,您可以根据时间、类型或静态设置:
switchport port-security Aging time ?
<1-1440> Aging time in minutes. Enter a value between 1 and 1440
switchport port-security Aging type ?
absolute Absolute aging (default)
inactivity Aging based on inactivity time period
就像 Ron 在他的回复中所说的那样,您将需要端口安全来动态学习(粘性)MAC 地址,可以在每个接口上设置最大学习量,并将老化参数配置为最适合您的参数。
这违背了端口安全的一个方面的目的:
如果具有在一个安全端口上配置或获知的安全 MAC 地址的流量尝试访问同一 VLAN 中的另一个安全端口,则应用配置的违规模式。
交换机的 MAC 地址表将只允许单个端口上的单个 MAC 地址,以便它以确定性的方式知道应该将具有该目标地址的流量发送到哪个端口。MAC 地址欺骗是一种攻击,它会通过在两个或多个端口之间反弹 MAC 地址表来造成中断。
端口安全的这一方面可以防止这种情况发生。
无需指定确切的 MAC 地址即可使用端口安全性。端口可以动态学习 MAC 地址,并将其保留在该端口上指定的时间段。
思科有详细解释端口安全的文档,例如章节:端口安全:
具有动态学习和静态 MAC 地址的端口安全性
您可以将端口安全与动态学习和静态 MAC 地址一起使用,通过限制允许将流量发送到端口的 MAC 地址来限制端口的入口流量。将安全 MAC 地址分配给安全端口时,该端口不会转发源地址在已定义地址组之外的入口流量。如果您将安全 MAC 地址的数量限制为一个并分配一个安全 MAC 地址,则连接到该端口的设备将拥有该端口的全部带宽。
在以下任何一种情况下都会发生安全违规:
- 当在安全端口上达到最大安全 MAC 地址数量并且入口流量的源 MAC 地址不同于任何已识别的安全 MAC 地址时,端口安全将应用配置的违规模式。
- 如果具有在一个安全端口上配置或获知的安全 MAC 地址的流量尝试访问同一 VLAN 中的另一个安全端口,则应用配置的违规模式。
注意在一个安全端口上配置或获知安全 MAC 地址后,当端口安全检测到同一 VLAN 中不同端口上的安全 MAC 地址时发生的一系列事件称为 MAC 移动违规。
有关违规模式的更多信息,请参阅“在端口上配置端口安全违规模式”部分。
设置端口上安全 MAC 地址的最大数量后,端口安全将通过以下方式之一将安全地址包含在地址表中:
- 您可以使用switchport port-security mac-address mac_address接口配置命令静态配置所有安全 MAC 地址。
- 您可以允许端口使用所连接设备的 MAC 地址动态配置安全 MAC 地址。
- 您可以静态配置多个地址,并允许动态配置其余地址。
如果端口存在链路断开情况,则删除所有动态学习的地址。
在启动、重新加载或链路断开情况后,端口安全不会使用动态学习的 MAC 地址填充地址表,直到端口接收到入口流量。
如果已将最大数量的安全 MAC 地址添加到地址表中,并且端口从不在地址表中的 MAC 地址接收流量,则会发生安全违规。
您可以将端口配置为以下三种违规模式之一:保护、限制或关闭。请参阅“配置端口安全性”部分。
为确保连接的设备具有端口的全部带宽,请将最大地址数设置为 1,并配置连接设备的 MAC 地址。
其它你可能感兴趣的问题