收藏
下载资源

网络配置9 端口安全

上传人:woxinch****an2018 文档编号:44686483 上传时间:2018-06-14 格式:PPT 页数:29 大小:819KB
返回 下载 相关 举报
网络配置9 端口安全_第1页
第1页 / 共29页
网络配置9 端口安全_第2页
第2页 / 共29页
网络配置9 端口安全_第3页
第3页 / 共29页
网络配置9 端口安全_第4页
第4页 / 共29页
网络配置9 端口安全_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《网络配置9 端口安全》由会员分享,可在线阅读,更多相关《网络配置9 端口安全(29页珍藏版)》请在金锄头文库上搜索。

1、网络设备配置与管理项目9配置交换机端口安全项目9配置交换机端口安全 【职业能力目标】 1.掌握交换机端口安全作用。 2.掌握交换机端口的地址绑定方法。 3.掌握交换机端口连接数限制。 4.掌握交换机风暴控制方法。任务1配置交换机的端口安全(1)任务情境 你是某公司的网络管理员,公司要求对网络进行 严格控制。为了防止公司内部用户的网络攻击和 破坏行为,为每个员工分配了固定的IP地址,并 且限制只允许公司内部员工主机可以使用网络, 不得随意连接其他主机。任务分析 对于这一工作任务,公司网络接入交换机的所有端口配置最 大连接数为“1”,并对公司内部每台主机连接的交换机端 口进行MAC地址绑定。模拟网

2、络拓扑图如图所示。任务1配置交换机的端口安全(1)任务实施 1PC机配置 主机PC0的IP地址配置为192.168.1.10,子网掩码为 255.255.255.0,网关为192.168.1.1;主机PC1的IP地址配置为 192.168.1.20,子网掩码为255.255.255.0,网关为192.168.1.1; 主机PC2的IP地址配置为192.168.1.30,子网掩码为 255.255.255.0,网关为192.168.1.1。任务1配置交换机的端口安全(1)任务实施 2交换机配置 第一步:进入全局配置模式 Switchenable Switch #configure termina

3、l Switch (config)# 第二步:配置交换机端口的最大连接数限制 Switch (config)#interface range fastEthernet 0/1-23 Switch (config-if-range)#switchport port-security Switch (config-if-range)#switchport port-security maximum 1 Switch (config-if-range)#switchport port-security violation shutdown Switch (config-if-range)#end任务

4、1配置交换机的端口安全(1)任务实施 2交换机配置 第三步:配置交换机端口地址的绑定 第四步:验证交换机端口安全功能效果 在PC0连接交换机FA 0/1口、PC1连接交换机FA 0/2口、PC2 连接交换机FA 0/10口情况下,PC0、PC1、PC2都能够PING 通,测试结果如图所示。任务1配置交换机的端口安全(1)任务实施 2交换机配置 第三步:配置交换机端口地址的绑定 Switch (config)#interface fastEthernet 0/1 Switch (config-if)#switchport port-security Switch (config-if)#swit

5、chport port-security mac-address 0001.6477.091c Switch (config-if)#exit Switch(config)# Switch (config)#interface fastEthernet 0/2 Switch (config-if)#switchport port-security Switch (config-if)#switchport port-security mac-address 0001.c9d3.3ced Switch (config-if)#exit Switch(config)# Switch (config

6、)#interface fastEthernet 0/10 Switch (config-if)#switchport port-security Switch (config-if)#switchport port-security mac-address 00d0.5897.8a97 Switch (config-if)#exit任务1配置交换机的端口安全(1)任务实施 3交换机配置 第四步:验证交换机端口安全功能效果 将PC0、PC1、PC2任何一个连接的交换机接口互换,PC0、 PC1、PC2都不能够PING通,测试结果如图所示任务1配置交换机的端口安全(1)相关知识 1端口安全概述

7、利用交换机端口安全这个特性,可以实现网络接入安全。具 体可以通过限制允许访问交换机上某个端口的MAC以及IP地 址来实现严格控制对该端口的接入。 当设置安全端口上安全地址的最大个数后,可以使用下面几 种方式加满端口上的安全地址。 (1)使用接口配置模式下的命令switchport port-security mac- address mac-addressip-address ip-address来手工配置端口的所 有安全地址。 (2)让该端口自动学习地址,这些自动学习到的地址将变 成该端口上的安全地址,直到达到最大个数。任务1配置交换机的端口安全(1)相关知识 1端口安全概述 当违例产生时(

8、超过允许的最大连接数;收到数据包源地址 不属于端口上的安全地址),你可以设置下面几种针对违例 的处理模式: (1)protect:当安全地址个数满后,安全端口将丢弃未知 名地址(不是该端口的安全地址中的任何一个)的数据包。 (2)restrict:当违例产生时,丢弃并发送一个Trap通知给管 理服务器。 (3)shutdown:当违例产生时,将关闭端口并发送一个Trap 通知。任务1配置交换机的端口安全(1)相关知识 2端口安全配置 (1)默认配置值。交换机端口安全的具体内容有四项,它的 默认配置如表所示:内 容默 认 设 置端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址

9、无违例处理方式保护(protect)任务1配置交换机的端口安全(1)相关知识 2端口安全配置 (2)端口安全限制。交换机配置端口安全时有如下一些限制。 一个安全端口不能是一个aggregate port(聚合端口)。 一个安全端口只能是一个access port。 (3)最大连接数配置过程: 从特权模式开始,你可以通过下表所示的步骤来配置一个安全端口和 违例处理方式:任务1配置交换机的端口安全(1)步骤命令含义第1步Configure terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport mode access设置接口为A

10、ccess模式(默认为动态端口)第4步Switchport port-security打开端口安全功能(默认是关闭的)第5步Switchport port-security maximumvalue设置端口上安全地址的最大个数,范围1128 ,默认128第6步Switchport port-security violationprotect|restrict|shutdown设置违例处理方式; Protect:保护端口,当安全地址个数满后,安 全端口将丢弃未知名地址(不是该端口的安全 地址中的任何一个)的数据包; restrict:当违例产生时,丢弃并发送一个Trap通 知给管理服务器; sh

11、utdown:当违例产生时,将关闭端口并发送 一个Trap通知。 当端口因为违例而被关闭后,可以在全局配置 模式下使用命令errdisable recovery来将接口从 错误状态恢复过来。第7步End回到特权模式第8步Show port-security interfaceinterface -id显示配置情况第9步Copy running-config startup-config保存配置相关知识 2端口安全配置 (4)IP地址及MAC地址绑定配置 从特权模式开始,你可以通过表所示步骤来手工配置一个安全端口上的安 全地址:(模拟器暂不支持IP绑定)步 骤命 令含 义第1步Configure

12、 terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport port-security mac-address mac-addressip -address ip-address手工配置接口安全地址第4步end回到特权模式第5步Show port-security address验证配置第6步Copy running-config startup -config保存配置任务1配置交换机的端口安全(1)相关知识 2端口安全配置 (5)安全地址的老化时间配置。可以为一个端口上所有安全地址配置老 化时间。具体步骤如表所示:(模拟器暂

13、不支持)步 骤命 令含 义第1步Configure terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport port-security agingstatic|time timeStatic:表示老化时间将同时应用于手 工配置的安全地址和学习的地址,否 则只应用于自动学习的地址 Time:表示这个端口上安全地址的老 化时间,范围是01440分钟。如果设 置为0,相当于老化功能被关闭。老化 时间按照绝对的方式计时,也就是一 个地址成为一个端口的安全地址后, 经过time指定的时间后,这个地址就将 被自动删除。Time默认值为0

14、第4步end回到特权模式第5步Show port-security interface interface- id验证配置第6步Copy running-config startup-config保存配置任务1配置交换机的端口安全(1)相关知识 2端口安全配置 (6)查看交换机端口安全信息。在特权模式开始,可以通过 表9.5所示命令来查看端口安全信息。步 骤命 令含 义第1步Show port-security interface interface-id查看端口的安全配置信息第2步Show port-security address查看安全地址信息第3步Show port-security

15、interface-id address显示某个接口上的安全地址信 息第4步Show port-security显示所有安全端口的统计信息 ,包括最大安全地址数,当前 安全地址数及违例处理方式等任务1配置交换机的端口安全(1)例子:配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end例子:配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为 00d0.f800.073c,IP为1

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号