端口安全实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验一
实验名称:交换机的端口安全配置。
实验目的:掌握交换机的端口安全功能。
技术原理:利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC 地址攻击、ARP 攻击、IP/MAC 地址欺骗等。交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能
实现功能:查看交换机的各项参数。
实验设备: S2126G 一台,主机一台,直连网线一根。
实验拓朴:
实验步骤:1.配置交换机端口最大连接数限制。
Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置。
Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。
Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。
Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.
Switch#show port-security !查看交换机端口的安全配置。
Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action
------------ -------------------- ------------------ ----------------
Fa0/1 1 0 Shutdown
Fa0/2 1 0 Shutdown
Fa0/3 1 0 Shutdown
Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown S2126
o n s o l e
F 0/c o m 1
N I C
Fa0/6 1 0 Shutdown
Fa0/7 1 0 Shutdown
Fa0/8 1 0 Shutdown
Fa0/9 1 0 Shutdown
Fa0/10 1 0 Shutdown
Fa0/11 1 0 Shutdown
Fa0/12 1 0 Shutdown
Fa0/13 1 0 Shutdown
Fa0/14 1 0 Shutdown
Fa0/15 1 0 Shutdown
Fa0/16 1 0 Shutdown
Fa0/17 1 0 Shutdown
Fa0/18 1 0 Shutdown
Fa0/19 1 0 Shutdown
Fa0/20 1 0 Shutdown
Fa0/21 1 0 Shutdown
Fa0/22 1 0 Shutdown
Fa0/23 1 0 Shutdown
2.配置交换机端口的地址绑定。
Switch(config)#interface fastethernet 0/3
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0006.1bde.13b4 ip-address 172.16.1.55 ! 配置IP地址和MAC地址的
绑定,MAC地址用 ipconfig /all命令。
Switch#show port-security address !查看地址安全绑定配置。
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- -------------------
1 0016.ecd3.9136 63.5.8.
2 Configured Fa0/
3 -
注意事项: 1.交换机端口安全功能只能在ACCESS接口进行配置。
2.交换机最大连接数限制取值范围是1—128,默认128。
3.交换机最大连接数限制默认的处理方式是protect。
4.有三种安全违例处理方式:
●Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口
的安全地址中的任何一个)的包。
●RestrictTrap:当违例产生时,将发送一个Trap通知。
●Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
5. 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
实验二
实验名称:标准IP访问控制列表。
实验目的:掌握路由器上标准IP访问控制列表规则及配置。
技术原理:IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。
1.定义标准ACL
编号的标准访问列表
Router(config)#access-list <1-99> {permit|deny} 源地址[反掩码]
命名的标准访问列表
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址[反掩码]
2.应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
实现功能:实现网段间相互访问的安全控制。
实验设备:R1762路由器两台,V.35线缆一条,直连线或交叉线三根。
实验拓朴:
实验步骤:1. router1基本配置。
Router(config)#hostname router1
Router1(config)#interface fastethernet 1/0
Router1(config-if)#ip address 172.16.1.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config)#interface fastethernet 1/1
Router1(config-if)#ip address 172.16.2.1 255.255.255.0
Router1(config-if)#no shutdown