端口安全

端口安全

本次实验的目的主要是对交换机端口安全的配置，实验分为两块内容，1为将交换机的端口配置成最大连接数为1，即maximum为1，2为将交换机的端口和固定的mac地址绑定,见下：

首先我们按照拓扑将设备连接起来，PC1之所以没有与hub连接，是因为其为测试的PC，该实验的主要配置为交换机，首先将PC0和PC1分配IP地址：

PC0：192.168.1.2PC1:192.168.1.3

255.255.255.0255.255.255.0

192.168.1.1192.168.1.1

交换机的配置为：

Switch>en

Switch#conf t

Switch(config)#hostname SW

SW(config)#enable password yao

SW(config)#exit

SW#vlan database

SW(vlan)#vlan10

VLAN10added:

Name:VLAN0010

SW(vlan)#exit

APPLYcompleted.

Exiting....

SW#conf t

SW(config)#interface fastEthernet0/1

SW(config-if)#switchport access vlan10

SW(config-if)#switchport port-security

Command rejected:FastEthernet0/1is a dynamic port.（这里需要注意，出错的原因是该端口为一个动态的端口，需要将其定义为access模式或trunk模式才行）

SW(config-if)#switchport mode access（将端口定义为access模式）

SW(config-if)#switchport port-security（开启端口安全）

SW(config-if)#switchport port-security maximum1（允许最大的连接为1）

SW(config-if)#switchport port-security violation shutdown（如果超过最大连接数为1，则该端口将自动关闭）

配置完成后，将PC1与HUB连接，不同设备要用直连线。

连接完后见下图：

可见端口自动关闭。

查看端口安全配置为：

Switch#show port-security?

address Show secure address

interface Show secure interface

|Output modifiers

Switch#show port-security in

Switch#show port-security interface?

Ethernet IEEE802.3

FastEthernet FastEthernet IEEE802.3

GigabitEthernet GigabitEthernet IEEE802.3z

Switch#show port-security interface fastEthernet0/1

Port Security:Enabled

Port Status:Secure-up

Violation Mode:Shutdown

Aging Time:0mins

Aging Type:Absolute

SecureStatic Address Aging:Disabled

Maximum MAC Addresses:1

Total MAC Addresses:0

Configured MAC Addresses:0

Sticky MAC Addresses:0

Last Source Address:Vlan:000C.8504.6576:1

Security Violation Count:0

注意点：如果是端口安全的原因将端口关闭，要想使端口重新开启，需要先shut然后再no shut 才行。

实验2：

将端口绑定固定的MAC地址，粘连固定的MAC地址，当不是本MAC地址连接到端口上时，该端口将自动关闭，见下图：

PC0的地址为：192.168.1.2PC1的地址为：192.168.1.3

255.255.255.0255.255.255.0

192.168.1.1192.168.1.1

PC1之所以没有连接到交换机上是为了做测试用，将PC0的MAC地址粘连到SW的F0/1口上，交换机的配置及说明见下：

首先将PC0与交换机的F0/1口相连接，并保证网络可正常通信。

Switch>en

Switch#vlan database

Switch(vlan)#vlan10

VLAN10added:

Name:VLAN0010

Switch(vlan)#exit

APPLYcompleted.

Exiting....

Switch#conf t

Switch(config)#interface vlan10

Switch(config-if)#ip address192.168.1.1255.255.255.0（定义vlan10的地址）

Switch(config-if)#no shut

Switch(config-if)#exit

Switch(config)#interface fastEthernet0/1

Switch(config-if)#switchport access vlan10（将端口划分到vlan10中）

Switch(config-if)#

Switch(config-if)#exit

Switch(config)#end

Switch#

%SYS-5-CONFIG_I:Configured from console by console

Switch#ping192.168.1.2

Type escape sequence to abort.

Sending5,100-byte ICMP Echos to192.168.1.2,timeout is2seconds:

.!!!!

Success rate is80percent(4/5),round-trip min/avg/max=31/31/32ms

Switch#show arp（查看ARP表，查询pc的MAC地址）

Protocol Address Age(min)Hardware Addr Type Interface

Internet192.168.1.1-0006.2AC4.3C56ARPA Vlan10

Internet192.168.1.200001.42EA.8DB7ARPA Vlan10

Switch#conf t

Enter configuration commands,one per line.End with CNTL/Z.

Switch(config)#interface fastEthernet0/1

Switch(config-if)#switchport port-security

Command rejected:FastEthernet0/1is a dynamic port.（需要先定义端口的类型，access 或trunk，否则会报上述错误）

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum1

Switch(config-if)#switchport port-security mac-address sticky（先定义端口为粘连模式，否则会报Sticky mac is not enabled的错误）

Switch(config-if)#switchport port-security mac-address sticky0001.42EA.8DB7（将MAC地址与端口粘连）

Switch(config-if)#switchport port-security violation shutdown（如果与粘连的mac地址不匹配，端口将自动关闭）

Switch(config-if)#exit

Switch(config)#exit

Switch#show port-security interface fastEthernet0/1（查看端口安全的配置）

Port Security:Enabled

Port Status:Secure-up

Violation Mode:Shutdown

Aging Time:0mins

Aging Type:Absolute

SecureStatic Address Aging:Disabled