可以配置交换机以通过以下两种方式之一获取安全端口的 MAC 地址信息:
手动配置- 使用switchport port-security mac-address接口配置命令手动配置 MAC 地址。
动态学习- 允许交换机使用粘性接口 mac-address 端口安全配置命令动态学习 MAC 地址。
端口安全违规 有三种安全 萨尔瓦多号码数据 违规模式:限制、关闭和保护模式,以防止 MAC 泛洪攻击。
保护:这是最不安全的安全漏洞模式。当安全 MAC 地址数量达到端口允许的限制时,具有未知源地址的数据包将被丢弃,直到删除足够多的安全 MAC 地址或增加允许的最大地址数量。没有发生安全漏洞的通知。
限制:当安全 MAC 地址数量达到端口允许的限制时,
将丢弃源地址未知的数据包,直到删除足够多的安全 MAC 地址或增加允许的最大地址数量。在这种模式下,会出现一条通知,告知发生了安全漏洞。
关闭:在此(默认)安全 利用多房折扣填补淡 违规模式下,端口安全违规会导致接口立即进入错误关闭状态并且端口 LED 关闭。它会增加违规计数器。当受保护端口处于错误禁用状态时,可以通过输入 Shutdown 和 Unshutdown 接口配置模式命令使其退出此状态。更重要的是,该端口必须由管理员手动重新启用。
防止安全老化
端口安全过期可用于设置端口上静态和动态安全地址的过期时间。每个端口支持两种老化类型:
端口安全违规 绝对 – 安全端口地址在指定的过期时间后被删除。
不作为 – 仅当受保护的端口地址在指定的到期时间内处于非活动状态时,才会被删除。
使用老化功能删除安全端 电话号码业务线索 口上的安全 MAC 地址,而无需手动删除现有的安全 MAC 地址。还可以增加老化时间限制,以确保即使添加新的 MAC 地址,过去的安全 MAC 地址也能得到保留。请注意,您可以为每个端口配置最大数量的安全地址。可以根据每个端口启用或禁用静态配置的安全地址的老化。
S4(config-if)#switchport 端口安全老化时间 150
关于如何防止网络遭受 MAC 泛洪攻击,这并不是您需要了解的全部内容。这是一个了解MAC 表攻击功能和简单端口安全设置的简单指南。