实验14交换机的端口安全

《实验14交换机的端口安全》由会员分享，可在线阅读，更多相关《实验14交换机的端口安全（4页珍藏版）》请在金锄头文库上搜索。

1、实验 14 交换机的端口安全【实验名称】交换机的端口安全【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP 地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP 地址是 172.16.1.55/24，主机 MAC 地址是 00-06-1B-DE-13-B4 ，该主机连接在1 台 2126G上边。【需求分析】针对交换机的所有端口，配置最大连接数为1，针对 PC1主机的接口进行IPMAC地

2、址绑定。【实验拓扑】图 1 实验拓扑图【实验设备】设备类型设备名称设备数量交换机Switch 1 计算机PC 1 直通线2 【实验原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC 地址、 IP 地址的绑定。限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的 ARP欺骗。交换机端口的地址绑定，可以针对IP 地址、 MAC 地址、 IPMAC 进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如AR

3、P欺骗、 IP、 MAC 地址欺骗， IP 地址攻击等。配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3 种：protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。restrict 当违例产生时，将发送一个Trap 通知。shutdown 当违例产生时，将关闭端口并发送一个Trap 通知。当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。【实验步骤】步骤 1： 配置交换机端口的最大连接数限制S3750#configure te

4、rminal S3750(config)#interface range fastethernet 0/1-23 S3750(config-if-range)#switchport port-security S3750(config-if-range)#switchport port-secruity maximum 1 S3750(config-if-range)#switchport port-secruity violation shutdown 步骤 2：验证交换机端口的最大连接数限制S3750#sh port-security Secure Port MaxSecureAddr(c

5、ount) CurrentAddr(count) Security Action - - - - FastEthernet 0/1 1 0 Shutdown FastEthernet 0/2 1 0 Shutdown FastEthernet 0/3 1 0 Shutdown FastEthernet 0/4 1 0 Shutdown FastEthernet 0/5 1 0 Shutdown FastEthernet 0/6 1 0 Shutdown FastEthernet 0/7 1 0 Shutdown FastEthernet 0/8 1 0 Shutdown FastEtherne

6、t 0/9 1 0 Shutdown FastEthernet 0/10 1 0 Shutdown FastEthernet 0/11 1 0 Shutdown FastEthernet 0/12 1 0 Shutdown FastEthernet 0/13 1 0 Shutdown FastEthernet 0/14 1 0 Shutdown FastEthernet 0/15 1 0 Shutdown FastEthernet 0/16 1 0 Shutdown FastEthernet 0/17 1 0 Shutdown FastEthernet 0/18 1 0 Shutdown Fa

7、stEthernet 0/19 1 0 Shutdown FastEthernet 0/20 1 0 Shutdown FastEthernet 0/21 1 0 Shutdown FastEthernet 0/22 1 0 Shutdown FastEthernet 0/23 1 0 Shutdown S3750#show port-security interface fastEthernet 0/1 Interface : FastEthernet 0/1 Port Security : Enabled Port status : up Violation mode : Shutdown

8、 Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins 步骤 3：配置交换机端口的MAC 与 IP 地址绑定查看主机的IP 和 MAC 地址信息在主机上打开CMD 命令提示符窗口，执行ipconfig /all 命令配置交换机端口的地址绑定S3750#configure terminal S3750(config)#interface fastethernet 0/3 S3750(config-if)#switchport port-security

9、S3750(config-if)#switchport port-security mac-address 0006.1bde.13b4 ip-address 172.16.1.55 步骤 4：查看地址安全绑定配置S3750#sh port-security address all Vlan Port Arp-Check Mac Address IP Address Type Remaining Age(mins) - - - - - - - 1 FastEthernet 0/3 Disabled 0006.1bde.13b4 172.16.1.55 Configured - S3750#sh

10、 port-security address interface fa0/3 Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 0006.1bde.13b4 172.16.1.55 Configured FastEthernet 0/3 - 步骤 5：配置交换机端口的IP 地址绑定S3750(config)#int fastEthernet 0/2 S3750(config-if)#switchport port-security ip-address 10.1.1.1 S3750#show port

11、-security address all Vlan Port Arp-Check Mac Address IP Address Type Remaining Age(mins) - - - - - - - 1 FastEthernet 0/2 Disabled 10.1.1.1 Configured - 1 FastEthernet 0/3 Disabled 0006.1bde.13b4 172.16.1.55 Configured - 【注意事项】1、交换机端口安全功能只能在ACCESS 接口进行配置。2、交换机最大连接数限制取值范围是1128，默认是128。3、交换机最大连接数限制默认的处理方式是protect。