第四章

交換機(jī)安全配置第四章交換機(jī)安全配置培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：掌握思科IOS的口令驗(yàn)證方式及配置方法掌握交換機(jī)端口安全原理及配置方法培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：管理配置CiscoIOS設(shè)備第4章-交換機(jī)安全配置交換機(jī)安全配置課件限制設(shè)備訪問——配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際接觸網(wǎng)絡(luò)設(shè)備是不錯(cuò)的做法

必須從本地為每臺設(shè)備配置口令以限制訪問。

在此介紹的口令有：-控制臺口令—用于限制人員通過控制臺連接訪問設(shè)備

-使能口令—用于限制人員訪問特權(quán)執(zhí)行模式

-使能加密口令—經(jīng)加密，用于限制人員訪問特權(quán)執(zhí)行模式

-VTY口令—用于限制人員通過Telnet訪問設(shè)備限制設(shè)備訪問——配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際限制設(shè)備訪問——配置口令Switch(config)#lineconsole0Switch(config-line)#passwordpasswordSwitch(config-line)#login限制設(shè)備訪問——配置口令Switch(config)#l限制設(shè)備訪問——配置口令請盡可能使用enablesecret命令，而不要使用較老版本的enablepassword命令。enablesecret命令可提供更強(qiáng)的安全性，因?yàn)槭褂么嗣钤O(shè)置的口令會被加密。enablepassword命令僅在尚未使用enablesecret命令設(shè)置口令時(shí)才能使用。Router(config)#enablepasswordpasswordRouter(config)#enablesecretpasswordRouter(config)#linevty04Router(config-line)#passwordpasswordRouter(config-line)#login限制設(shè)備訪問——配置口令請盡可能使用enablese限制設(shè)備訪問——配置口令和使用標(biāo)語限制設(shè)備訪問——配置口令和使用標(biāo)語限制設(shè)備訪問——配置口令加密顯示口令它可在用戶配置口令后使口令加密顯示。servicepassword-encryption命令對所有未加密的口令進(jìn)行弱加密。當(dāng)通過介質(zhì)發(fā)送口令時(shí)，此加密手段不適用，它僅適用于配置文件中的口令。此命令的用途在于防止未經(jīng)授權(quán)的人員查看配置文件中的口令。Router(config)#servicepassword-encryption

限制設(shè)備訪問——配置口令加密顯示口令4.1.6配置特權(quán)等級

通過設(shè)置口令保護(hù)和劃分特權(quán)級別來實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活性和安全性，是控制網(wǎng)絡(luò)上的終端訪問和管理交換機(jī)的最簡單辦法。用戶級別范圍是0~15級，級別0是最低的級別。交換機(jī)設(shè)備系統(tǒng)只有兩個(gè)受口令保護(hù)的授權(quán)級別：普通用戶級別（0級）和特權(quán)用戶級別（15級）。

用戶模式只有Show的權(quán)限和其他一些基本命令；特權(quán)模式擁有所有的權(quán)限，包括修改、刪除配置。在實(shí)際情況下，如果給一個(gè)管理人員分配用戶模式權(quán)限，可能不能滿足實(shí)際操作需求，但是分配給特權(quán)模式則權(quán)限太大，容易發(fā)生誤操作或密碼泄漏。使用特權(quán)等級，可以定制多個(gè)等級特權(quán)模式，每一個(gè)模式擁有的命令可以按需定制。4.1.6配置特權(quán)等級通過設(shè)置口令保護(hù)和劃分特Switch(config)#usernameusernameprivilegelevelpasswordpassword設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Switch(config)#privilegemodelevellevelcommand設(shè)置命令的級別劃分。

mode代表命令的模式，有：configure表示全局配置模式、exec表示特權(quán)命令模式、interface表示接口配置模式等等。

level代表授權(quán)級別，范圍從0到15。level1是普通用戶級別，level15是特權(quán)用戶級別，在各用戶級別間切換可以使用enable命令。

command代表要授權(quán)的命令。注意：一旦一條命令被賦予一個(gè)特權(quán)等級，比該特權(quán)等級低的其他特權(quán)等級均不能使用該命令。Switch(config)#usernameusern4.2交換機(jī)端口安全控制4.2交換機(jī)端口安全控制準(zhǔn)備知識（二）

常見針對交換機(jī)的安全攻擊MAC地址泛洪-主機(jī)A向主機(jī)B發(fā)送流量。交換機(jī)收到幀，并在其MAC地址表中查找目的MAC地址。如果交換機(jī)在MAC地址表中無法找到目的MAC，則交換機(jī)將復(fù)制幀并將其從每一個(gè)交換機(jī)端口廣播出去。準(zhǔn)備知識（二）

常見針對交換機(jī)的安全攻擊MAC地址泛洪MAC地址泛洪

主機(jī)B收到幀并向主機(jī)A發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī)B的MAC地址位于端口2，并將該信息寫入MAC地址表。主機(jī)C也收到從主機(jī)A發(fā)到主機(jī)B的幀，但是因?yàn)樵搸哪康腗AC地址為主機(jī)B，因此主機(jī)C丟棄該幀。MAC地址泛洪MAC地址泛洪由主機(jī)A（或任何其它主機(jī)）發(fā)送給主機(jī)B的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口2，而不是從每一個(gè)端口廣播出去。MAC地址泛洪MAC地址泛洪攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。MAC地址泛洪MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行，交換機(jī)的MAC地址表就會始終保持充滿。當(dāng)發(fā)生這種情況時(shí)，交換機(jī)開始將所有收到的幀從每一個(gè)端口廣播出去，這樣一來，從主機(jī)A發(fā)送到主機(jī)B的幀也會從交換機(jī)上的端口3向外廣播。MAC地址泛洪欺騙攻擊攻擊者竊取網(wǎng)絡(luò)流量的一種辦法是偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)欺騙攻擊欺騙攻擊要防止DHCP攻擊，請使用CiscoCatalyst交換機(jī)上的DHCP偵聽和端口安全性功能。欺騙攻擊CDP攻擊默認(rèn)情況下，大多數(shù)Cisco路由器和交換機(jī)都啟用了CDP。建議如果設(shè)備不需要使用CDP，則在設(shè)備上禁用CDP。CDP攻擊telnet攻擊的類型：暴力密碼攻擊

Dos攻擊抵御暴力密碼攻擊：-經(jīng)常更改密碼-使用強(qiáng)密碼-限制可通過vty線路進(jìn)行通信的人員抵御暴力密碼攻擊：更新為最新版本的CiscoIOS軟件telnet攻擊的類型：4.2.1風(fēng)暴控制

在以太網(wǎng)網(wǎng)絡(luò)中，廣播數(shù)據(jù)是必然存在的，是一種正常的數(shù)據(jù)。但是，有時(shí)候因?yàn)榫W(wǎng)絡(luò)蠕蟲病毒、攻擊者或者網(wǎng)絡(luò)錯(cuò)誤的配置等發(fā)送大量的廣播，導(dǎo)致網(wǎng)絡(luò)擁塞和報(bào)文傳輸超時(shí)，影響網(wǎng)絡(luò)的正常通信，因此需要通過交換機(jī)來發(fā)現(xiàn)和限定這種異常流量（風(fēng)暴流量）的發(fā)生，交換機(jī)將暫時(shí)禁止相應(yīng)類型的包的轉(zhuǎn)發(fā)直到數(shù)據(jù)流恢復(fù)正常。4.2.1風(fēng)暴控制在以太網(wǎng)網(wǎng)絡(luò)中，廣播數(shù)據(jù)缺省情況下，Cisco二層交換機(jī)針對廣播的風(fēng)暴控制功能均被關(guān)閉。我們可以在交換機(jī)的接口模式下打開其廣播的風(fēng)暴控制開關(guān)。接口配置模式下通過命令nostorm-controlbroadcastlevel來關(guān)閉接口相應(yīng)的風(fēng)暴控制功能。步驟命令含義步驟1Switch#configureterminal進(jìn)入全局配置模式。

步驟2Switch(config)#interfaceinterface-id進(jìn)入接口配置模式。

步驟3Switch(config-if)#storm-controlbroadcastlevelx打開對廣播風(fēng)暴的控制功能，設(shè)置網(wǎng)絡(luò)風(fēng)暴閥值，數(shù)值是按百分比算的，如果你是百兆口，數(shù)值設(shè)為1，那就代表1%步驟4Switch(config-if)#end回到特權(quán)模式。

步驟5Switch#

shstorm-controlbroadcast

驗(yàn)證配置。

步驟6Switch#copyrunning-configstartup-config保存配置。(可選)缺省情況下，Cisco二層交換機(jī)針對廣播的風(fēng)暴控制功能均被關(guān)顯示風(fēng)暴控制使能狀態(tài)我們可以在特權(quán)模式下，通過showstorm-controlbroadcast命令來查看接口的風(fēng)暴控制使能狀態(tài)。顯示風(fēng)暴控制使能狀態(tài)我們可以在特權(quán)模式下，通過showst4.2.4端口保護(hù)控制交換機(jī)的端口安全是工作在交換機(jī)二層端口上的一個(gè)安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中配置端口安全存在以下限制一個(gè)安全端口必須是一個(gè)Access端口，而非Trunk端口一個(gè)安全端口不能是一個(gè)聚合端口（AggregatePort）一個(gè)安全端口不能是鏡像（SPAN）的目的端口。4.2.4端口保護(hù)控制交換機(jī)的端口安全步驟命令含義步驟1Switch#configureterminal進(jìn)入全局配置模式。

步驟2Switch(config)#interfaceinterface-id選定一個(gè)接口，并進(jìn)入接口配置模式。

步驟3Switch(config-if)#switchportprotected將該接口設(shè)置為保護(hù)口

Switch(config-if)#noswitchportprotected取消該接口的保護(hù)口步驟4Switch(config-if)#end

退回到特權(quán)模式。

步驟5Switch#showinterfacesswitchport

驗(yàn)證配置

步驟6Switch#copyrunning-configstartup-config保存配置（可選）。

端口保護(hù)控制的配置步驟步驟命令含義步驟1Switch#configureter4.2.4交換機(jī)端口安全如果用戶操作超出端口安全允許的操作范圍，這種現(xiàn)象稱之為違例。當(dāng)違例產(chǎn)生時(shí)，有下面3種違例的處理模式：Protect：安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包Restrict：交換機(jī)不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個(gè)SNMPTrap報(bào)文，給網(wǎng)管Shutdown：交換機(jī)將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個(gè)SNMPTrap報(bào)文，而且將端口關(guān)閉。4.2.4交換機(jī)端口安全如果用戶操作超出端口安全允許的操作端口安全的配置打開該接口的端口安全功能設(shè)置接口上安全地址的最大個(gè)數(shù)配置處理違例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}端口安全的配置打開該接口的端口安全功能Switch(coni端口安全默認(rèn)配置

端口安全的配置端口安全默認(rèn)配置端口安全的配置配置安全端口上的安全地址配置安全端口上的安全地址當(dāng)端口由于違規(guī)操作而進(jìn)入“err-disabled”狀態(tài)后，必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài)使用errdisablerecovery命令后所有的違例端口都會被恢復(fù)設(shè)置端口從“err-disabled”狀態(tài)自動(dòng)恢復(fù)所等待的時(shí)間Switch(conifg-if)#switchportport-security[mac-addressmac-address[ip-addressip-address]Switch(conifg)#errdisablerecovery//6.x版本模擬器上無此指令Switch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址Switch(conifg-if)#配置端口安全配置安全地址的老化時(shí)間，時(shí)間過后地址更新關(guān)閉一個(gè)接口的安全地址老化功能（老化時(shí)間為0）使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到的安全地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

配置端口安全配置安全地址的老化時(shí)間，時(shí)間過后地址更新Swit查看端口安全信息顯示所有接口的安全設(shè)置狀態(tài)、違例處理等信息來查看安全地址信息，顯示安全地址及老化時(shí)間顯示所有安全端口的統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

查看端口安全信息Router#showport-secur在CiscoCatalyst交換機(jī)上配置端口安全性

端口安全的配置在CiscoCatalyst交換機(jī)上配置端口安全性端口安全驗(yàn)證端口安全性

端口安全的配置驗(yàn)證端口安全性端口安全的配置針對常見安全攻擊禁用未使用的端口一種簡單方法是禁用網(wǎng)絡(luò)交換機(jī)上所有未使用的端口，這樣做可保護(hù)網(wǎng)絡(luò)，使其免受未經(jīng)授權(quán)的訪問。針對常見安全攻擊禁用未使用的端口？AnyQuestion？AnyQuestion第四章

交換機(jī)安全配置第四章交換機(jī)安全配置培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：掌握思科IOS的口令驗(yàn)證方式及配置方法掌握交換機(jī)端口安全原理及配置方法培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：管理配置CiscoIOS設(shè)備第4章-交換機(jī)安全配置交換機(jī)安全配置課件限制設(shè)備訪問——配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際接觸網(wǎng)絡(luò)設(shè)備是不錯(cuò)的做法

必須從本地為每臺設(shè)備配置口令以限制訪問。

在此介紹的口令有：-控制臺口令—用于限制人員通過控制臺連接訪問設(shè)備

-使能口令—用于限制人員訪問特權(quán)執(zhí)行模式

-使能加密口令—經(jīng)加密，用于限制人員訪問特權(quán)執(zhí)行模式

-VTY口令—用于限制人員通過Telnet訪問設(shè)備限制設(shè)備訪問——配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際限制設(shè)備訪問——配置口令Switch(config)#lineconsole0Switch(config-line)#passwordpasswordSwitch(config-line)#login限制設(shè)備訪問——配置口令Switch(config)#l限制設(shè)備訪問——配置口令請盡可能使用enablesecret命令，而不要使用較老版本的enablepassword命令。enablesecret命令可提供更強(qiáng)的安全性，因?yàn)槭褂么嗣钤O(shè)置的口令會被加密。enablepassword命令僅在尚未使用enablesecret命令設(shè)置口令時(shí)才能使用。Router(config)#enablepasswordpasswordRouter(config)#enablesecretpasswordRouter(config)#linevty04Router(config-line)#passwordpasswordRouter(config-line)#login限制設(shè)備訪問——配置口令請盡可能使用enablese限制設(shè)備訪問——配置口令和使用標(biāo)語限制設(shè)備訪問——配置口令和使用標(biāo)語限制設(shè)備訪問——配置口令加密顯示口令它可在用戶配置口令后使口令加密顯示。servicepassword-encryption命令對所有未加密的口令進(jìn)行弱加密。當(dāng)通過介質(zhì)發(fā)送口令時(shí)，此加密手段不適用，它僅適用于配置文件中的口令。此命令的用途在于防止未經(jīng)授權(quán)的人員查看配置文件中的口令。Router(config)#servicepassword-encryption

限制設(shè)備訪問——配置口令加密顯示口令4.1.6配置特權(quán)等級

通過設(shè)置口令保護(hù)和劃分特權(quán)級別來實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活性和安全性，是控制網(wǎng)絡(luò)上的終端訪問和管理交換機(jī)的最簡單辦法。用戶級別范圍是0~15級，級別0是最低的級別。交換機(jī)設(shè)備系統(tǒng)只有兩個(gè)受口令保護(hù)的授權(quán)級別：普通用戶級別（0級）和特權(quán)用戶級別（15級）。

用戶模式只有Show的權(quán)限和其他一些基本命令；特權(quán)模式擁有所有的權(quán)限，包括修改、刪除配置。在實(shí)際情況下，如果給一個(gè)管理人員分配用戶模式權(quán)限，可能不能滿足實(shí)際操作需求，但是分配給特權(quán)模式則權(quán)限太大，容易發(fā)生誤操作或密碼泄漏。使用特權(quán)等級，可以定制多個(gè)等級特權(quán)模式，每一個(gè)模式擁有的命令可以按需定制。4.1.6配置特權(quán)等級通過設(shè)置口令保護(hù)和劃分特Switch(config)#usernameusernameprivilegelevelpasswordpassword設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Switch(config)#privilegemodelevellevelcommand設(shè)置命令的級別劃分。

mode代表命令的模式，有：configure表示全局配置模式、exec表示特權(quán)命令模式、interface表示接口配置模式等等。

level代表授權(quán)級別，范圍從0到15。level1是普通用戶級別，level15是特權(quán)用戶級別，在各用戶級別間切換可以使用enable命令。

command代表要授權(quán)的命令。注意：一旦一條命令被賦予一個(gè)特權(quán)等級，比該特權(quán)等級低的其他特權(quán)等級均不能使用該命令。Switch(config)#usernameusern4.2交換機(jī)端口安全控制4.2交換機(jī)端口安全控制準(zhǔn)備知識（二）

常見針對交換機(jī)的安全攻擊MAC地址泛洪-主機(jī)A向主機(jī)B發(fā)送流量。交換機(jī)收到幀，并在其MAC地址表中查找目的MAC地址。如果交換機(jī)在MAC地址表中無法找到目的MAC，則交換機(jī)將復(fù)制幀并將其從每一個(gè)交換機(jī)端口廣播出去。準(zhǔn)備知識（二）

常見針對交換機(jī)的安全攻擊MAC地址泛洪MAC地址泛洪

主機(jī)B收到幀并向主機(jī)A發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī)B的MAC地址位于端口2，并將該信息寫入MAC地址表。主機(jī)C也收到從主機(jī)A發(fā)到主機(jī)B的幀，但是因?yàn)樵搸哪康腗AC地址為主機(jī)B，因此主機(jī)C丟棄該幀。MAC地址泛洪MAC地址泛洪由主機(jī)A（或任何其它主機(jī)）發(fā)送給主機(jī)B的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口2，而不是從每一個(gè)端口廣播出去。MAC地址泛洪MAC地址泛洪攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。MAC地址泛洪MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行，交換機(jī)的MAC地址表就會始終保持充滿。當(dāng)發(fā)生這種情況時(shí)，交換機(jī)開始將所有收到的幀從每一個(gè)端口廣播出去，這樣一來，從主機(jī)A發(fā)送到主機(jī)B的幀也會從交換機(jī)上的端口3向外廣播。MAC地址泛洪欺騙攻擊攻擊者竊取網(wǎng)絡(luò)流量的一種辦法是偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)欺騙攻擊欺騙攻擊要防止DHCP攻擊，請使用CiscoCatalyst交換機(jī)上的DHCP偵聽和端口安全性功能。欺騙攻擊CDP攻擊默認(rèn)情況下，大多數(shù)Cisco路由器和交換機(jī)都啟用了CDP。建議如果設(shè)備不需要使用CDP，則在設(shè)備上禁用CDP。CDP攻擊telnet攻擊的類型：暴力密碼攻擊

Dos攻擊抵御暴力密碼攻擊：-經(jīng)常更改密碼-使用強(qiáng)密碼-限制可通過vty線路進(jìn)行通信的人員抵御暴力密碼攻擊：更新為最新版本的CiscoIOS軟件telnet攻擊的類型：4.2.1風(fēng)暴控制

在以太網(wǎng)網(wǎng)絡(luò)中，廣播數(shù)據(jù)是必然存在的，是一種正常的數(shù)據(jù)。但是，有時(shí)候因?yàn)榫W(wǎng)絡(luò)蠕蟲病毒、攻擊者或者網(wǎng)絡(luò)錯(cuò)誤的配置等發(fā)送大量的廣播，導(dǎo)致網(wǎng)絡(luò)擁塞和報(bào)文傳輸超時(shí)，影響網(wǎng)絡(luò)的正常通信，因此需要通過交換機(jī)來發(fā)現(xiàn)和限定這種異常流量（風(fēng)暴流量）的發(fā)生，交換機(jī)將暫時(shí)禁止相應(yīng)類型的包的轉(zhuǎn)發(fā)直到數(shù)據(jù)流恢復(fù)正常。4.2.1風(fēng)暴控制在以太網(wǎng)網(wǎng)絡(luò)中，廣播數(shù)據(jù)缺省情況下，Cisco二層交換機(jī)針對廣播的風(fēng)暴控制功能均被關(guān)閉。我們可以在交換機(jī)的接口模式下打開其廣播的風(fēng)暴控制開關(guān)。接口配置模式下通過命令nostorm-controlbroadcastlevel來關(guān)閉接口相應(yīng)的風(fēng)暴控制功能。步驟命令含義步驟1Switch#configureterminal進(jìn)入全局配置模式。

步驟2Switch(config)#interfaceinterface-id進(jìn)入接口配置模式。

步驟3Switch(config-if)#storm-controlbroadcastlevelx打開對廣播風(fēng)暴的控制功能，設(shè)置網(wǎng)絡(luò)風(fēng)暴閥值，數(shù)值是按百分比算的，如果你是百兆口，數(shù)值設(shè)為1，那就代表1%步驟4Switch(config-if)#end回到特權(quán)模式。

步驟5Switch#

shstorm-controlbroadcast

驗(yàn)證配置。

步驟6Switch#copyrunning-configstartup-config保存配置。(可選)缺省情況下，Cisco二層交換機(jī)針對廣播的風(fēng)暴控制功能均被關(guān)顯示風(fēng)暴控制使能狀態(tài)我們可以在特權(quán)模式下，通過showstorm-controlbroadcast命令來查看接口的風(fēng)暴控制使能狀態(tài)。顯示風(fēng)暴控制使能狀態(tài)我們可以在特權(quán)模式下，通過showst4.2.4端口保護(hù)控制交換機(jī)的端口安全是工作在交換機(jī)二層端口上的一個(gè)安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中配置端口安全存在以下限制一個(gè)安全端口必須是一個(gè)Access端口，而非Trunk端口一個(gè)安全端口不能是一個(gè)聚合端口（AggregatePort）一個(gè)安全端口不能是鏡像（SPAN）的目的端口。4.2.4端口保護(hù)控制交換機(jī)的端口安全步驟命令含義步驟1Switch#configureterminal進(jìn)入全局配置模式。

步驟2Switch(config)#interfaceinterface-id選定一個(gè)接口，并進(jìn)入接口配置模式。

步驟3Switch(config-if)#switchportprotected將該接口設(shè)置為保護(hù)口

Switch(config-if)#noswitchportprotected取消該接口的保護(hù)口步驟4Switch(config-if)#end

退回到特權(quán)模式。

步驟5Switch#showinterfacesswitchport

驗(yàn)證配置

步驟6Switch#copyrunning-configstartup-config保存配置（可選）。

端口保護(hù)控制的配置步驟步驟命令含義步驟1Switch#configureter4.2.4交換機(jī)端口安全如果用戶操作超出端口安全允許的操作范圍，這種現(xiàn)象稱之為違例。當(dāng)違例產(chǎn)生時(shí)，有下面3種違例的處理模式：Protect：安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包Restrict：交換機(jī)不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個(gè)SNMPTrap報(bào)文，給網(wǎng)管Shutdown：交換機(jī)將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個(gè)SNMPTrap報(bào)文，而且將端口關(guān)閉。4.2.4交換機(jī)端口安全如果用戶操作超出端口安全允許的操作端口安全的配置打開該接口的端口安全功能設(shè)置接口上安全地址的最大個(gè)數(shù)配置處理違例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}端口安全的配置打開該接口的端口安全功能S