实验2：交换机端口安全

交换安全】交换机端口安全Port-Security 超级详解一、Port-Security 概述接入用户的安全控制在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求：• 限制交换机每个端口下接入主机的数量（MAC地址数量）•限定交换机端口下所连接的主机（根据IP或MAC地址进行过滤）•当出现违例时间的时候能够检测到，并可采取惩罚措施上述需求，可通过交换机的Port-Security功能来实现:Maximum Number of SecureMAC Addresses二、理解 Port-Security1. Port-Security 安全地址：secure MAC address在接口上激活 Port-Security 后，该接口就具有了一定的安全功能，例如能够限制接口(所 连接的)的最大MAC 数量，从而限制接入的主机用户； 或者限定接口所连接的特定 MAC ，从而实现接入用户的限制。

那么要执行过滤或者限制动作， 就需要有依据，这个依据就是安全地址 -secure MAC address 。

安全地址表项可以通过让使用端口动态学习到的 MAC (SecureDynamic )，或者是手工在接口下进行配置(SecureConfigured )，以及 sticy MAC address (SecureSticky ) 三种 方式进行配置。

当我们将接口允许的 MAC 地址数量设置为1并且为接口设置一个安全地址， 那么这个接口将只为该MAC 所属的PC 服务，也就是源为该 MAC 的数据帧能够进入该接口。

2.当以下情况发生时，激活惩罚( violation ):当一个激活了 Port-Security 的接口上，MAC 地址数量已经达到了配置的最大安全地址数 量，并且又收到了一个新的数据帧，而这个数据帧的源 MAC 并不在这些安全地址中，那么启动惩罚措施当在一个Port-Security 接口上配置了某个安全地址，而这个安全地址的 MAC 又企图在同VLAN 的另一个Port-Security 接口上接入时，启动惩罚措施当设置了 Port-Security 接口的最大允许 MAC 的数量后，接口关联的安全地址表项可以 通过如下方式获取： *在接口下使用 switchport port-security mac-address 来配置静态安全地址表项 • 使用接口动态学习到的 MAC 来构成安全地址表项一部分静态配置，一部分动态学习Secure MAC SecureSecureSeciirE | I I addressMAC1MAC1MAC1 ||・ SecureDynamic • SecureConfigured * SecureStickyDAT A当接口出现up/down，则所有动态学习的MAC安全地址表项将清空。

交换机端口的安全配置实验报告课程名称交换机配置实验项目名称实验项目2：交换机端口的安全配置开课系（部）及实验室巡天楼311 实验日期2019年 9月 5日学生姓名董小明学号Ming 专业班级计算机网络技术1班指导教师- 实验成绩一、实验目的1、掌握交换机交换数据的基本原理。

2、掌握交换机端口的安全配置。

3、掌握MAC地址表的建立过程。

二、实验拓扑图三、实验步骤1、交换机的配置过程Switch>enSwitch#conf tSwitch(config)#hostname Ming1Ming1(config)#int f0/1Switch(config-if)#shutdownSwitch(config-if)#switchport mode access //设置端口为接入模式Switch(config-if)#switchport port-security //设置端口安全Switch(config-if)#switchport port-security maximum 1 //允许通过此端口的最大MAC地址数为1Switch(config-if)#switchport port-security violation shutdown //设置端口如果发生违规产生什么后果Switch(config-if)#switchport port-security mac-address 00D0.BC1D.D582 //允许指定的MAC地址主机通过Switch(config-if)#no shut2、测试连通性PC1：PC2：实验心得通过此次实验我知道了如何让交换机拒绝某个端口连接的某些主机的通过，只需要知道可以通过的主机的MAC地址就可以进行设置。

实验一实验名称：交换机的端口安全配置。

实验目的：掌握交换机的端口安全功能。

技术原理：利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。

如MAC 地址攻击、ARP 攻击、IP/MAC 地址欺骗等。

交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能：查看交换机的各项参数。

实验设备： S2126G 一台，主机一台，直连网线一根。

实验拓朴：实验步骤：1.配置交换机端口最大连接数限制。

Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置。

Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。

Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。

Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。

Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown S2126C o n s o l eF 0/5 c o m 1N I CFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 ShutdownFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2．配置交换机端口的地址绑定。

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

实训4 交换机的端口安全【实训目的】（1）掌握交换机端口安全功能，控制用户的安全接入（2）掌握交换机的端口配置的连接数（3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：（1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包；（2）restrict当违例产生时，将发送一个trap通知；（3）shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来；【实训背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。

为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0019.2147.10F9。

该主机连接在1台2126G上。

【实训设备】S2126G（1台），PC（2台）、直连线（2条）【实训内容】（1）按照拓扑进行网络连接（2）配置交换机端口最大连接数限制（3）配置交换机端口地址绑定【实训拓扑图】【实训步骤】（1）配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23！打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y！开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1！开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n！配置安全违例的处理方式s h u t d o w n（2）验证测试：查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y（3）配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。

12.3 实验2:交换机端口安全1。

实验目的通过本实验，读者可以掌握如下技能：①理解交换机的CAM表；②理解交换机的端口安全；③配置交换的端口安全特性。

2。

实验拓扑实验拓扑图如图12—3所示。

图12-3 实验2拓扑图3。

实验步骤交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。

在这里限制f0/接口只允许R1接入。

（1）步骤1：检查R1的g0/0接口的MAC地址R1(config)＃int g0/0R1(config-if）＃no shutdownR1(config-if）＃ip address 172.16.0。

101 255。

255。

0.0R1#show int g0/0GigabitEthernet0/0 is up ，line protocol is upHardware is MV96340 Ethernet，address is 0019.5535。

b828（bia 0019。

5535.b828）//这里可以看到g0/0接口的Mac地址，记下它Internet address is 172.16.0。

101/16MTU 1500 bytes，BW 100000 Kbit，DLY 100 usec，（此处省略）(2）步骤2：配置交换端口安全S1（config)#int f0/1S1（config—if）＃shutdownS1（config—if）＃switch mode access//以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义S1(config—if)＃switch port—security//以上命令是打开交换机的端口安全功能S1(confg—if)＃switch port—security maximum 1//以上命令只允许该端口下的MAC条目最大数量为1，即只允许一个设备接入S1（config-if）＃switch port—security violation shutdown“switch port-security violation｛protect｜shutdown|restrict}" //命令含义如下：●protect;当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响;●shutdown；当新的计算机接入时，如果该接口的MAC条目超过最大数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用”no shutdown”命令重新打开；●restrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量，则这个新的计算机可以接入,然而交换机将向发送警告信息.S1(config-if)＃switchport port—security mac—address 0019.5535.b828//允许R1路由器从f0/1接口接入S1（confgi—if)＃no shutdownS1(config)#int vlan1S1（config—if）＃no shutdownS1（config—if）＃ip address 172。

第八章实验讲义---交换机基本配置端口安全与STP第12章交换机基本配置交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。

和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。

本章将简单介绍交换的一些基本配置。

关于VLAN 和Trunk等将在后面章节介绍。

12.1 交换机简介交换机是第2层的设备，可以隔离冲突域。

交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。

交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM来进行数据帧的转发。

交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。

12.2 实验0：交换机基本配置1.实验目的:通过本实验，可以掌握交换机的基本配置这项技能。

2.实验拓扑实验拓扑图如图12-2所示。

图12-2 实验1拓扑图3.实验步骤（1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.登录成功后, 通过PC0配置交换机Switch0的主机名Switch>enableSwitch#conf terminalEnter configuration commands，one per line. End with CNTL/ZSwitch(config)#hostname S1（2）步骤2：配置telnet密码和enable密码. S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login（3）步骤3：接口基本配置默认时，交换机的以太网接口是开启的，对于交换机的以太网口可以配置其双工模式和速率等。

交换机端口安全性交换机端口安全性【实验名称】交换机端口安全性【实验目的】理解什么是交换机的端口安全性，如何配置端口安全性。

【背景描述】从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。

现在要通过在交换机上做适当配置来实现这一目标。

本实验以一台S2126G交换机为例，交换机名为SwitchA。

一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。

假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。

【实现功能】通过在交换机上设置端口安全性来实现对网络访问的控制。

【实验拓扑】F0/1ConsoleNIC ComPC【实验设备】S2126G（1台）【实验步骤】第一步：在交换机上配置管理接口IP地址SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址SwitchA(config-if))# no shutdown ！开启交换机管理接口验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1Description : Vlan 1OperStatus : upManagementStatus : EnabledPrimary Internet address: 192.168.0.138/24Broadcast address : 255.255.255.255PhysAddress : 00d0.f8ef.9d08SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性Sending 5, 100-byte ICMP Echos to 192.168.0.137,timeout is 2000 milliseconds.Success rate is 100 percent (5/5)Minimum = 1ms Maximum = 3ms, Average = 1ms第二步：打开交换机上fastethernet 0/1接口的端口安全功能SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access 模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能验证测试：验证已开启fastethernet 0/1接口的端口安全功能SwitchA#show port-security interface fastethernet 0/1Interface : Fa0/1Port Security : EnabledPort status : upViolation mode : ProtectMaximum MAC Addresses : 128Total MAC Addresses : 0Configured MAC Addresses : 0Aging time : 0 minsSecure static address aging : Disabled第三步：配置安全端口上的安全地址(可选)SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137! 手工配置接口上的安全地址验证测试：验证已配置了安全地址SwitchA#show port-security addresslan Mac Address IP Address Type Port Remaining Age(mins)---- --------------- --------------- ---------- -------- ------------------- 1 00e0.9823.9526 192.168.0.137 Configured Fa0/1第四步：验证这台PC机可以通过fastethernet 0/1端口访问交换机，而其它计算机不能通过fastethernet 0/1端口访问该交换机C:\>ping 192.168.0.138 ! 验证这台PC机可以通过fastethernet 0/1端口访问交换机现在拔下网线，将另一台计算机连接到交换机的fastethernet 0/1端口上C:\>ping 192.168.0.138 ! 验证这台PC机不能通过fastethernet 0/1端口访问交换机【注意事项】●安全地址设置是可选的；●如果交换机端口所连接的计算机网卡或IP地址发生改变，则必须在交换机上做相应的改变。

交换机的端⼝安全交换机最常⽤的对端⼝安全的理解就是可根据MAC地址来做对⽹络流量的控制和管理，⽐如MAC地址与具体的端⼝绑定，限制具体端⼝通过的MAC地址的数量，或者在具体的端⼝不允许某些MAC地址的帧流量通过。

稍微引申下端⼝安全，就是可以根据802.1X来控制⽹络的访问流量。

⼀、MAC地址与端⼝绑定和根据MAC地址允许流量的配置1.MAC地址与端⼝绑定当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端⼝将down 掉。

当给端⼝指定MAC地址时，端⼝模式必须为access或者Trunk状态。

1.3550-1#conf t2.3550-1(config)#int f0/13.3550-1(config-if)#switchport mode access /指定端⼝模式。

4.3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

5.3550-1(config-if)#switchport port-security maximum 1 /限制此端⼝允许通过的MAC地址数为1。

6.3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端⼝down掉。

2.通过MAC地址来限制端⼝流量此配置允许⼀TRUNK⼝最多通过100个MAC地址，超过100时，但来⾃新的主机的数据帧将丢失。

1.3550-1#conf t2.3550-1(config)#int f0/13.3550-1(config-if)#switchport trunk encapsulation dot1q4.3550-1(config-if)#switchport mode trunk /配置端⼝模式为TRUNK。

5.3550-1(config-if)#switchport port-security maximum 100 /允许此端⼝通过的最⼤MAC地址数⽬为100。

实训名称：交换机的端口安全
一、实训原理
1、交换机安全防御
二、实训目的
1、对交换机各个端口的进行安全配置
三、实训内容
对交换机所有接口开启端口安全保护
F0/1接口最大数连接数为10
其它接口都为1
如果违规直接关闭端口
F0/3接口绑定PC2的mac地址
四、实训步骤：
1、F0/1接口
2、配置其它所有接口
3、在F0/3接口上绑定PC2的mac地址
拓扑图
具体步骤：
F0/1接口
En
Conf
int f0/1
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security violation shut
配置其它所有接口
int range f0/2-24
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shut
在F0/3接口上绑定PC2的mac地址
int f0/3
switchport port-security mac-address 0090.0C90.9A47
五、实训结果
1、在特权模式下，使用show port-security命令查看所有配置端口的安全情况
mac地址。

Xxx大学数学与计算机学院实验报告课程名称：计算机网络指导教师：xxx 实验成绩：实验序号：2实验名称：交换机端口隔离与端口安全实验地点：计算机网络实验室实验日期：实验小组编号：3小组成员姓名：xx xxx xxx xxx xx xxx 31200xxx 31200xxx 31200xxx 31200xxx 31200xxx 31200xxx 小组成员学号一、实验内容1.通过划分PORT VLAN 实现本交换端口隔离。

2. 配置交换机的端口安全二、实验设备与网络拓扑结构安全智能交换机一台；测试PC 2 台；网线。

1.理解Port Vlan 的配置和端口安全的配置。

2.配置交换机的端口安全三、实验目的及要求（1）利用交换机安全端口功能，控制用户的安全接入；（2）对交换机的端口配置最大连接数1；（3）针对接入端口进行IP+MAC 地址绑定。

一、步骤1. 在未划VLAN 前两台PC 互相ping 可以通。

创建 VLAN。

switch#configure terminal ! 进入交换机全局配置模式switch(config)# vlan 10 ! 创建vlan 1019switch(config-vlan)# name test10 ! 将Vlan 10 命名为test10switch(config)# vlan 20 ! 创建vlan 20switch(config-vlan)# name test20 ! 将Vlan 20 命名为test20验证测试：switch#show vlan !查看已配置的VLAN 信息VLAN Name Status Ports-------------------------------------------------------------------1 default static Fa0/1 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/5 ,Fa0/6Fa0/7 ,Fa0/8 ,Fa0/9Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24!默认情况下所有接口都属于VLAN110 test10 static !创建的VLAN10，没有端口属于VLAN1020 test20 static !创建的VLAN20，没有端口属于VLAN20步骤2. 将接口分配到VLAN。

交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。

【背景描述】1、什么是ARP？ARP 协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC 地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC 地址，以保证通信的顺利进行。

2、ARP协议的工作原理正常情况下，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。

当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP 列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。

此ARP 请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

PC 1IP: 192.168.0.100 MAC : 00-C0-9F-86-C2-5C§ PC1 Ping PC2 PC1与PC2的通信过程3、常见的ARP攻击类型ARP 请求(目标: FF:FF:FF:FF:FF:FF)ARP应答(目标: PC1的MAC)ICMP 请求ICMP 应答PC 3PC 2IP: 192.168.0.1 MAC : 00-50-18-21-C0-E1192.168.0.100 00-C0-9F-86-C2-5CPC 4 PC 5MAC : AA-BB-CC-DD-EE-FF交换机的IP-MAC-PORT绑定可以很好地解决ARP欺骗行为，保护网络的安全。

H3C端口绑定与端口安全端口安全：1.启用端口安全功能[H3C]port-security enable2.配置端口允许接入的最大MAC地址数[H3C-Ethernet1/0/3]port-security max-mac-count count-value缺省情况下，最大数不受限制为03.配置端口安全模式[H3C-Ethernet1/0/3]port-security port-mode { autolearn ｜noRestriction… }4.手动添加Secure MAC地址表项[H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id5.配置Intrusion Protection（Intrusion Protection被触发后，设置交换机采取的动作）[H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily }验证命令：display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ]显示Secure MAC地址的配置信息端口+IP+MAC绑定方法一：[H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3方法二：[H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106验证命令：[H3C]display am user-bind 显示端口绑定的配置信息端口+IP绑定[H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106注：交换机只要接收一个3层表项，交换机使用动态ARP产生一条arp条目。

交换机端口隔离安全实验报告实验目的：本实验旨在通过交换机端口隔离技术，提高网络的安全性和隔离性，并验证隔离效果。

实验环境：本实验使用了一台拥有多个可配置端口的交换机，并连接了多台主机设备。

实验步骤：1. 配置交换机端口隔离功能：首先，登录交换机管理界面，在交换机配置页面上找到端口隔离选项。

根据实际需求，选择需要隔离的端口，并启用隔离功能。

2. 设置隔离规则：在交换机端口隔离配置页面上，为每个需要隔离的端口设置隔离规则。

可以根据IP地址、MAC地址等进行隔离规则的设定。

3. 验证隔离效果：连接不同的主机设备至交换机的不同端口，并在各个主机之间进行通信测试。

检查是否存在跨端口通信，验证隔离效果的可行性。

实验结果：通过交换机端口隔离功能的配置，我们成功实现了端口之间的隔离。

在测试过程中，我们发现无法实现跨端口的通信，证明了隔离的效果。

实验总结：交换机端口隔离技术在网络安全中发挥了重要作用。

通过该技术，可以有效隔离不同端口之间的通信，增强网络的安全性和隔离性。

在实验中，我们成功配置了交换机端口隔离功能，并验证了其有效性。

然而，需要注意的是，在实际应用中，还需要综合考虑业务需求和网络拓扑结构，合理配置端口隔离规则，以达到最佳的网络安全效果。

实验局限性：本实验仅仅针对交换机端口隔离功能的验证，未对其他相关安全功能进行测试。

在实际应用中，需要综合考虑其他网络设备和安全机制，搭建完整的网络安全体系。

未来展望：随着网络安全威胁的不断演变和升级，交换机端口隔离技术也需要不断更新和改进。

未来，我们希望通过进一步的研究和实践，提高交换机端口隔离技术的性能和可靠性，更好地应对网络安全挑战。

参考文献：[1] 张三, 李四. 交换机端口隔离技术及其应用[J]. 计算机科学, 20XX, XX(X): XX-XX.[2] 王五, 赵六. 网络安全技术概论[M]. 北京：XX出版社, 20XX.。