一、判斷交換機端口通斷狀態(tài)的方法

作為網(wǎng)絡(luò)管理員,，在應(yīng)用新的功能前,，肯定要先經(jīng)過測試，即為了保證網(wǎng)絡(luò)的穩(wěn)定運行,，只能在空閑的端口上面測試新功能,。如何找到空閑的端口，到交換機的前面直接去查看是一種方法,，當(dāng)然作為一名資深的網(wǎng)管人員來說,，一般是不會這么做的，我們是通過在交換機上執(zhí)行相應(yīng)的指令來找到自己所需的答案的,。以前我是用show inter命令來看,，但是這條命令顯示的信息太多了，看起來不方便,，現(xiàn)在我是用show inter status命令來看,，這條命令可以逐條顯示出每個端口的通斷狀態(tài)（用“connected”和“notconnect”來表示），本例中我就通過這條命令找到了一個空閑的端口3來進(jìn)行隨后的測試,。

3550#show inter status

Port Name Status Vlan Duplex Speed Type

Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX

二,、端口安全的基本操作

（一）顯示端口3口上面的MAC地址

3550#show mac-address-table int fa0/3

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

（由于端口上面現(xiàn)在沒接任何網(wǎng)線,，所以顯示該端口上面沒有任何MAC地址）

 

（二）清除動態(tài)獲到的MAC 地址

3550#clear mac-address-table dynamic inter fa0/3

以上兩步操作的目的是確認(rèn)當(dāng)前端口上面沒有MAC地址的記錄，以便證明我們以后進(jìn)行的操作是有效的,。

（三）關(guān)閉端口,、將其配置為接入端口并執(zhí)行配置端口安全的命令

端口安全的實現(xiàn)是通過switchport port-security命令來實現(xiàn)的，這是一條核心的指令,，輔以與之相關(guān)的其它命令,，我們就可以實現(xiàn)端口安全的設(shè)置。由于大多采用的默認(rèn)設(shè)置,，所以本例實現(xiàn)的功能是端口3上面只允許一個指定的MAC地址通過,，并在出現(xiàn)安全違規(guī)時關(guān)閉端口，先對相關(guān)的設(shè)置命令做一下解釋：

switchport port-security命令在端口上啟用端口安全,，默認(rèn)設(shè)置情況下只允許一個MAC地址通過,，并在出現(xiàn)安全違規(guī)時關(guān)閉接口。）

switchport port-security mac-add sticky命令讓交換機獲悉當(dāng)前與端口相關(guān)聯(lián)的MAC地址,，該地址將包含在運行配置中,。如果將運行配置保存到啟動配置中，則路由器重啟后,，該地址也將保留下來,。

介紹完核心命令的操作，我們再介紹一下端口安全操作的思路：首先關(guān)閉端口3,。使用命令switchport mode access將端口配置為接入端口,，以便配置端口安全。使用命令switchport port-securtiy啟用端口安全,，然后使用命令swithchport port-security mac-address sticky讓端口獲悉其連接機的主機的IP地址,。最后，執(zhí)行命令no shutdown重新啟用端口,，使其能夠獲悉主機的MAC地址,，實現(xiàn)以上操作的命令如下。

3550#conf t

Enter configuration commands, one per line. End with CNTL/Z.

3550（config）#inter fa0/3

3550（config-if）#shutdown

3550（config-if）#switchport mode access

3550（config-if）#switchport port-security

3550（config-if）#switchport port-security mac-address sticky（設(shè)置MAC地址的粘性,，我對這條命令的理解是交換機會自動的學(xué)習(xí)到第一次接到到該端口的網(wǎng)絡(luò)設(shè)備的MAC地址,，并把它記錄到當(dāng)前的配置文件中）

3550（config-if）#end

 

（四）查看配置信息的操作

1、查看當(dāng)前配置文件中有關(guān)FA0/3端口的信息

3550#show run inter fa0/3

Building configuration...

Current configuration : 281 bytes

!

interface FastEthernet0/3

switchport access vlan 66

switchport mode access

switchport port-security

switchport port-security mac-address sticky

end

2,、查看有關(guān)FA0/3端口安全方面的信息

Port Security : Enabled

Port Status : Secure-down

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 0

Configured MAC Addresses : 0

Sticky MAC Addresses : 0

Last Source Address : 0000.0000.0000

Security Violation Count : 0

（五）實際測試

我們拿一臺筆記本電腦,，接入FA0/3端口，這臺筆記本網(wǎng)卡的狀態(tài)顯示為連通,，由于VLAN66網(wǎng)段內(nèi)有DHCP服務(wù)器,，也可以順利的獲取IP地址，訪問網(wǎng)絡(luò)。然后再將連接這臺筆記本電腦的網(wǎng)線接到另外一臺微機上,，該微機的網(wǎng)卡狀態(tài)顯示為斷開,，說明端口安全已經(jīng)生效。

（六）存在的問題

本來以為端口安全的操作到此已經(jīng)完成了,，但是將這根網(wǎng)線再插回到剛才的那臺筆記本電腦上時,，卻發(fā)現(xiàn)網(wǎng)絡(luò)仍然處于斷開狀態(tài)，查看端口的狀態(tài),，處于“error disable”,，雖然我們可以通過在FA0/3端口執(zhí)行shutdown和no shutdown命令將這個端口恢復(fù)正常，但是這個操作太麻煩了,，而且也不現(xiàn)實,，總不能每次用戶每次發(fā)現(xiàn)端口關(guān)閉了以后，都去找網(wǎng)管員執(zhí)行shutdown,、no shutdonw命令,。

三、對端口安全設(shè)置的深入研究

在已經(jīng)實現(xiàn)端口安全的基礎(chǔ)上（雖然效果跟我們的要求還有一定差距）,，我們繼續(xù)對相關(guān)的功能進(jìn)行研究,，在查看端口安全狀態(tài)的“Violation（違背） Mode”時，發(fā)現(xiàn)默認(rèn)的處理是shutdown,，那么還有沒有其它的選項呢,？通過“？”（幫助）,，我們還真找到其它的兩個選項，分別為

3550（config-if）#switchport port-security violation ,？

protect Security violation protect mode

restrict Security violation restrict mode

shutdown Security violation shutdown mode

通過查看相關(guān)的資料,，我們了解到protect參數(shù)的含義是當(dāng)發(fā)生違背安全的情況時，是將數(shù)據(jù)包丟棄,，這正好我們的設(shè)想,，即不是將發(fā)生違規(guī)的端口關(guān)閉，而是將違規(guī)的數(shù)據(jù)包丟棄,，這才是我們所要的結(jié)果,，具體的設(shè)置命令如下：

3550#conf t

Enter configuration commands, one per line. End with CNTL/Z.

3550（config）#inter fa0/3

3550（config-if）#shut

3550（config-if）#end

3550#show port-security inter fa0/3

Port Security : Enabled

Port Status : Secure-down

Violation Mode : Protect

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 1

Last Source Address : 485b.39b8.a060

Security Violation Count : 0

從實際測試的效果來看也達(dá)到我們的要求，即該端口安全的設(shè)置生效后,，首先連接筆記本電腦是可以接入網(wǎng)絡(luò)的,，更換為一臺臺式機以后，該臺式機的網(wǎng)卡狀態(tài)仍然顯示為已連接,，但是網(wǎng)絡(luò)數(shù)據(jù)不通,，當(dāng)重新接回筆記本電腦后，網(wǎng)絡(luò)的通訊又恢復(fù)正常了。