交换机端口安全配置备课讲稿
交换机端口安全技术讲义
交换机端口安全技术讲义一、为什么需要端口安全技术?- 交换机是网络中非常重要的设备,端口是交换机连接其他设备的接口。
因此,保护交换机端口的安全对于整个网络的安全至关重要。
二、常见的端口安全技术1. MAC地址绑定- 通过将特定MAC地址与端口进行绑定,只有被绑定的设备才能使用该端口进行通信,其他设备将无法访问该端口。
2. 802.1X认证- 802.1X是一种端口认证协议,通过在交换机端口上实施认证服务,可以有效地防止未授权的设备接入网络。
只有经过认证的设备才能使用交换机端口。
3. 端口安全限制- 通过设置每个交换机端口允许连接的最大设备数量,可以防止未经授权的设备接入网络。
4. DHCP snooping- 通过检测和验证DHCP报文,防止恶意DHCP服务器对网络设备进行攻击或者误导。
5. 端口状态监控- 交换机可以监控端口的通信状态,一旦发现异常情况,可以及时做出处理,防止网络安全风险。
三、如何实施端口安全技术- 在交换机上配置相应的端口安全措施,包括MAC地址绑定、802.1X认证、端口安全限制、DHCP snooping等,并定期对端口进行监控和审计,及时发现并处理异常情况。
四、端口安全技术带来的好处- 通过实施端口安全技术,可以有效地防止未经授权的设备接入网络,保护网络的安全。
同时,也可以有效地减少网络故障和攻击的风险,保障网络的正常运行。
五、端口安全技术的应用场景端口安全技术广泛应用于企业、学校、政府机构以及各种组织和机构的网络中。
无论是小型局域网还是大型企业网络,都需要采取端口安全技术来保护网络的安全和稳定性。
特别是在一些对网络安全要求较高的领域,如金融、医疗、军事等,端口安全技术更是不可或缺的一部分。
六、端口安全技术的挑战与解决方案虽然端口安全技术在保护网络安全方面起到了重要作用,但也面临着一些挑战。
例如,管理和维护成本较高、配置复杂、容易受到攻击等。
为了解决这些问题,可以采取以下措施:1. 自动化管理工具:可以使用自动化管理工具来简化端口安全技术的配置和管理,减少人工操作的成本和错误。
第八章实验讲义交换机基本配置端口安全与STP
第八章实验讲义---交换机基本配置端口安全与STP第12章交换机基本配置交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。
和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。
本章将简单介绍交换的一些基本配置。
关于VLAN 和Trunk等将在后面章节介绍。
12.1 交换机简介交换机是第2层的设备,可以隔离冲突域。
交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。
交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM来进行数据帧的转发。
交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。
12.2 实验0:交换机基本配置1.实验目的:通过本实验,可以掌握交换机的基本配置这项技能。
2.实验拓扑实验拓扑图如图12-2所示。
图12-2 实验1拓扑图3.实验步骤(1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.登录成功后, 通过PC0配置交换机Switch0的主机名Switch>enableSwitch#conf terminalEnter configuration commands,one per line. End with CNTL/ZSwitch(config)#hostname S1(2)步骤2:配置telnet密码和enable密码. S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login(3)步骤3:接口基本配置默认时,交换机的以太网接口是开启的,对于交换机的以太网口可以配置其双工模式和速率等。
交换机端口安全配置
【实验拓扑】
F0/1 F0/2
PC1 192.168.1.1
PC2 192.168.1.2
周金玲
课堂实验1 MAC地址绑定
【实验步骤】
1. 2. 3. 查得2台PC MAC地址,并记录下来; 把PC1和PC2分别接到交换机的F0/1和F0/2,show mac-address-table查看MAC地址表, MAC 地址是否动态学到?2台PC互ping,结果? 将PC2和交换机断开,把PC2的mac地址绑定到F0/2F0/22
PC1 192.168.1.1
PC2 192.168.1.3
PC3
周金玲
课堂实验3 MAC地址和IP地址绑定
【实验步骤】
1. 将PC2和交换机断开,把PC2的mac地址和192.168.1.3绑定到F0/22: Switch(config)# interface f 0/22 switch(config-if)#switchport port-security switch(config-if)# switchport port-security mac-address PC2-MAC ip-address 192.168.1.3 switch(config-if)# switchport port-security aging time 1 2. 将PC2接到交换机的F0/22,ping PC1,结果?
F0/20
PC2
PC3
4. 总结规律得到设置端口安全最大连接数的 效果。
周金玲
提交作业标准
show port-security address show run Show port-security 下周提问的问题为本次4个实验的问题,请课后做 好准备。
案例26:交换机基本配置与端口安全
案例26:交换机基本配置与端口安全1. 案例目标通过本案例,你可以掌握如下技能:1)熟悉交换机的基本配置2)理解交换机的MAC表3)理解交换机的端口安全4)配置交换机的端口安全特性2. 设备与拓扑设备:1台1841路由器,1台2950T-24交换机,2台PC。
拓扑:如下图。
3. 操作步骤步骤1:按拓扑图配置好路由器的主机名和显示名,以及路由器接口F0/0、F0/1的IP地址,包括主机PC0的IP地址和PC1的IP及网关地址。
步骤2:配置交换机的主机名和密码Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname S1S1(config)#enable se cisco //启用加密密码S1(config)#line vty 0 15S1(config-line)#password cisco //虚拟中断登录密码S1(config-line)#loginS1(config-line)#步骤3:配置接口S1(config)#int f0/1S1(config-if)#duplex ? //接口的双工模式auto Enable AUTO duplex configurationfull Force full duplex operationhalf Force half-duplex operationS1(config-if)#speed ? //接口的速率10 Force 10 Mbps operation100 Force 100 Mbps operationauto Enable AUTO speed configurationS1(config-if)#//注意:通常配置为自动(auto)即可。
步骤4:配置交换机的管理地址和缺省网关S1#conf tEnter configuration commands, one per line. End with CNTL/Z.S1(config)#int vlan 1S1(config-if)#ip addr 172.16.0.1 255.255.0.0S1(config-if)#no shutS1(config-if)#exitS1(config)#ip default-gateway 172.16.0.101S1(config)#【注意】交换机的3层接口要配置为VLAN接口,通常VLAN 1接口作为管理接口,交换机相当于有多个VLAN接口的主机。
任务2.5交换机端口安全
课题
教具:
计算机
课型:
新授
课时:
2
教
学
知识
目标
1.学会配置交换机端口的安全。
2.配置交换机端口安全地址的绑定。
3.限制交换机端口的最大连接数。
目
的
要
求
能力
目标
掌握交换机端口安全配置
德育
目标
培养学生安全意识,养成保护公物和爱护自身的良好习惯。
教学重点
学会配置交换机端口的安全
教
学
进
程
一.交换机端口安全功能
根据MAC地址来做对网络流量的控制和管理。比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量;或者在具体的端口不允许某些MAC地址的帧流量通过。
二.端口安全的工作过程
当一个端口开启了端口安全特性以后,交换机将检查从此端口接收到的帧的源MAC地址,并检查在此端口上配置的最大安全地址数。若此帧的源MAC地址存在于安全地址表中,则直接将直接转发帧;若安全地址数没有超过最大安全地址数量,并且此帧的源MAC地址不在安全地址表中,则交换机学习此MAC地址,将其添加到安全地址表中,进行后续转发。
四.实训拓扑
使用课件
演示讲解
教程
教学活动
教学小记
教
学
进
程
五.实训
步骤1搭建网络,配置四台计算机的IP地址和子网掩码
步骤2配置交换机端口安全
Switch(config)#hostname Switch0
Switch0(config)#interface f0/24 //进入接口配置模式
Switch0(config-if)#switchport mode access //设置交换机端口模式为access
任务4.1 交换机端口安全配置
Ø以太网安全隐患Ø端口安全基本概念Ø端口安全工作原理Ø端口安全配置流程Ø端口安全配置命令•对于安全性要求较高的网络环境,通常要对用户的接入进行基本的安全管控,以防止非法用户的接入及恶意的网络攻击。
•通过对交换机配置端口安全功能来增强网络的安全性,可有效避免信息泄露、MAC地址泛洪攻击等安全问题。
•本次任务介绍交换机端口安全的基本原理和配置方法。
ØMAC地址泛洪攻击•攻击者发送大量的虚假源MAC地址数据帧,导致MAC地址表快速填满,使得交换机将无法再学习新的MAC地址。
•交换机在转发数据帧时失去了“依据”,只能以广播的方式将数据帧从其余接口发送出去。
•攻击者利用此原理,窃取用户的通信数据。
MAC地址泛洪攻击Ø终端接入隐患•用户私自扩充网络,导致终端数量增大,给通信环境带来了不稳定因素;•非信任终端的接入,可能导致信息的泄露。
终端接入隐患Ø端口安全作用•限制接口学习MAC地址的数量。
端口安全的默认安全MAC地址的限制数是1个,即只能学习一个MAC地址表项。
•限制非信任终端接入网络。
任何源MAC地址为非安全MAC地址的报文将会被丢弃。
•限制信任终端切换连接端口。
即信任终端只能在通过指定的端口接入网络。
Ø违例通信的保护动作•Restrict:丢弃源MAC地址为非安全MAC地址的报文并上报告警,此为默认的处理动作;•Protect:只丢弃源MAC地址为非安全MAC地址的报文,不上报告警;•Shutdown:接口状态被置为error-down,并上报告警。
默认情况下,接口关闭后不会自动恢复,只能由网络管理人员手动恢复。
Ø工作原理•交换机开启端口安全功能后,接口学习到的MAC地址会被转换为安全MAC地址。
•接口学习的MAC数量达到上限后不再学习新的MAC地址。
•如果交换机收到源MAC地址不属于安全MAC地址的报文,交换机认为有非法用户攻击,就会根据配置的动作对接口做保护处理。
交换机端口安全技术课件
学习完本课程,您应该能够:
掌握802.1X基本原理及其配置 掌握端口隔离技术及其配置 掌握端口绑定技术及其配置
•交换机端口安全技术
•1
目录
802.1X基本原理及其配置 端口隔离技术及其配置 端口绑定技术及其配置
•交换机端口安全技术
•2
802.1X技术简介
Internet
802.1X
•交换机端口安全技术
•9
端口隔离基本配置
将指定端口加入到隔离组中,端口成为 隔离组的普通端口
[Switch-Ethernet1/0/1] port-isolate enable
将指定端口加入到隔离组中,端口成为 隔离组的上行端口
[Switch-Ethernet1/0/2] port-isolate uplink-port
•交换机端口安全技术
•6
802.1X典型配置举例
E1/0/1
PC
SWA
[SWA]dot1x [SWA]doWA]local-user localuser [SWA-luser-localuser]password simple hello [SWA-luser-localuser]service-type lan-access
802.11
l 802.1X协议起源于标准的无线局域网协议802.11。主要目的是 为了解决有线局域网用户的接入认证问题。
•交换机端口安全技术
•3
802.1X的体系结构
客户端
设备端
认证服务 器端
l 本地认证
à 由设备端内置本地服务器对客户端进行认证
l 远程集中认证
à 由远程的认证服务器对客户端进行认证
•交换机端口安全技术
交换机端口安全
3.验证测试 查看端口安全的基本配置
SW1(config)#show port-security
(3)当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安 全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该 MAC的数据帧能够进入该接口。
2.当以下情况发生时,激活惩罚(violation): (1)当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安 全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安 全地址中,那么启动惩罚措施
楼梯剖面详图的绘制: 1.设置绘图环境; 2.绘制定位轴线、室外地坪线、楼面位
置线、梯段位置线等; 3.绘制墙体、楼板、梯段等构件; 4.绘
1.了解制图标准; 2.掌握建筑施工图的阅读方法; 3.掌握计算机绘制建筑施工图
的方法和技巧。
《网络组建与应用》精品课程配套课件
Secure Port MaxSecureAddr (count) CurrentAddr (count) SecurityViolation (coun
t) Security Action
---------------------------------------------------------------------------------------------------------------
《网络组建与应用》精品课程配套课件
2.11 交换机端口安全配置2
2.11交换机端口安全配置2预备知识:同2.9。
一、实训目的1、了解交换机端口安全的作用。
2、能读懂交换机MAC地址表。
3、掌握配置交换机端口安全的方法。
二、应用环境某校园网上的接入交换机均启用了交换机端口安全,限制端口的接入数为1并指定端口的接入MAC地址,防止未经授权的用户接入网络。
但有些接口下还没接入终端,不能确定以后接入的终端MAC,使用交换机端口安全的粘性MAC地址可使交换机接口有终端接入时自动学习MAC地址来绑定,这个设置会被保存在MAC地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自动重新学习MAC地址。
三、实训要求1.设备要求:1)一台2950-24二层交换机、二台PC机。
2)二条直通双绞线。
2.实训拓扑图3.配置要求:1)PC机配置要求:在交换机S1上的所有端口上启用端口安全、限制最大连接MAC地址数为1并设置端口安全为粘性MAC地址,设置发生违例后丢弃新加入计算机发送的数据包并不发送警告。
4.实训效果:只有PC1接入交换机S2950上的F0/1和PC2接入交换机S2950上的F0/2时才能互联互通,其它PC接入到F0/1、F0/2均不能通信。
四、实训步骤1、添加设备并连接部分网络。
2、启用端口安全配置。
3、设置端口限制。
4、设置违例处理方式。
5、测试效果。
五、详细步骤1、按实训配置要求添加一台2950-24二层交换机和2台PC机并按实训拓扑图连接网络。
2、按实训配置要求设置二台PC机的IP地址信息。
3、进入交换机命令行配置模式,更改交换机名称为S2950。
Switch>en //进入特权用户配置模式Switch#conf t //进入全局配置模式Switch(config)#hostname S2950 //更改交换机名称4、进入交换机的F0/1到F0/24接入,限制最大连接数、启用端口安全粘性MAC地址并设置违例方式。
S2950(config)#int range f0/1-24 //进入F0/1到F0/24端口S2950(config-if-range)#switchport mode access //配置端口模式为accessS2950(config-if-range)#switchport port-security //启用端口安全配置S2950(config-if-range)#switchport port-security maximum 1 //设置端口最大MAC连接数为1S2950(config-if-range)#switchport port-security mac-address sticky //配置端口安全MAC 地址为sticky模式S2950(config-if-range)#switchport port-security violation protect //设置端口违例处理方式为protectS2950(config-if-range)#5、在特权用户配置模式下查看交换机的MAC地址表,确认学习到PC1、PC2的地址后保存配置文件。
Cisco交换机端口安全
VLAN隔离
定期审计和监控
将不同的用户或部门划分到不同的VLAN, 实现逻辑隔离,降低安全风险。
对交换机端口安全策略进行定期审计和监 控,确保安全策略的有效性和合规性。
05
Cisco交换机端口安全故障排除
故障排除概述
故障排除流程
故障排除应遵循一定的流程,包括识别问题、收集信息、分析问 题、制定解决方案和实施解决方案等步骤。
网络管理软件
使用网络管理软件可以帮助管理 员监控网络设备的状态和性能, 及时发现和解决故障。
系统日志
通过分析交换机和网络设备的系 统日志,可以发现潜在的问题和 故障原因。
06
总结与展望
总结
01
02
03
04
05
Cisco交换机端口 端口隔离 安…
端口绑定
访问控制列表 (ACL)
802.1X认证
随着网络技术的不断发展 ,Cisco交换机作为网络核 心设备,其端口安全技术 也得到了广泛应用。这些 技术旨在保护网络免受未 经授权的访问和潜在的安 全威胁。
的风险。
防止IP地址冲突
通
简化管理
通过集中管理和控制网络设备的访问, 可以简化网络管理流程,减少手动配 置的工作量。
提高性能
端口安全可以减少不必要的网络流量 和广播风暴,提高网络性能和稳定性。
03
Cisco交换机端口安全配置
配置步骤
进入交换机的命令行界面。
端口安全通过监控连接到交换机 的设备MAC地址(物理地址)
来实现。
当设备连接到交换机端口时,交 换机将学习并记录该设备的 MAC地址。
之后,交换机将根据MAC地址 表来允许或拒绝网络流量。只有 与MAC地址表中的地址匹配的
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。
交换机端口安全配置【实验目的】使网络管理人员了解网管交换机端口安全的配置。
【背景描述】1、什么是ARP?ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC 地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC 地址,以保证通信的顺利进行。
2、ARP协议的工作原理正常情况下,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP 列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP 请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
PC 1IP: 192.168.0.100 MAC : 00-C0-9F-86-C2-5C§ PC1 Ping PC2 PC1与PC2的通信过程3、常见的ARP攻击类型ARP 请求(目标: FF:FF:FF:FF:FF:FF)ARP应答(目标: PC1的MAC)ICMP 请求ICMP 应答PC 3PC 2IP: 192.168.0.1 MAC : 00-50-18-21-C0-E1192.168.0.100 00-C0-9F-86-C2-5CPC 4 PC 5MAC : AA-BB-CC-DD-EE-FF交换机的IP-MAC-PORT绑定可以很好地解决ARP欺骗行为,保护网络的安全。
2.10-交换机端口安全配置
2.10 交换机端口平安配置1预备学问:网络平安涉及到方方面面,从交换机来说,首选须要保证交换机端口的平安。
在不少公司或网络中,员工可以随意的运用集线器等工具将一个上网端口增至多个,或者说运用自己的笔记本电脑连接到网络中,类似的状况都会给企业的网络平安带来不利的影响。
交换机的端口平安特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。
配置端口平安时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。
交换机的端口平安能从限制接入端口的最大连接数和接入MAC地址来达到平安配置。
一、实训目的1、了解交换机端口平安的作用。
2、能读懂交换机MAC地址表。
3、驾驭配置交换机端口平安的方法。
二、应用环境某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的状况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。
交换机端口平安特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。
三、实训要求1.设备要求:1)两台2950-24二层交换机、四台PC机。
2)一条交叉双绞线、四条直通双绞线。
2.实训拓扑图3.配置要求:PC2192.168.1.2/24PC3192.168.1.3/24PC4192.168.1.4/242)交换机配置要求:在交换机S1上的F0/24上启用端口平安、限制最大连接MAC地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。
4.实训效果:PC1、PC2、PC3之间能互联互通,P1、PC2机PING PC4不通,PC3与PC4互通。
四、实训步骤1、添加设备并连接部分网络。
2、进入F0/24启用端口平安配置。
3、设置端口最大连接MAC数限制。
《网络构建与维护》教学课件——配置交换机保护端口
3、简单的办公网中所有设备,直接连接在交换机上,同 一交换网络中所有计算机都能实现连通。
在本步骤网络连通测试中,如果网络测试结果未通,需检 查交换机配置信息,网卡状态、网线和IP地址,及时排除 网络故障,以免影响以下阶段目实施。
【任务目标】
通过将交换机指定端口设置为保护端口,隔离网络中部分 PC机间互访,实现网络安全。
【设备清单】
交换机(1台)、 计算机(>=3台)、 双绞线(若干根 )。
【工作过程】
步骤一:安装网络工作环境
按图8-8中的网络拓扑结构,安装和连接设备,注意设备 连接的接口标识,连接完成后检查连接线缆指示灯的工作 状态,清除交换机原来的配置信息。
【任务描述】
王先生的公司所在的办公网络,为了防止来自公司内部网 络中ARP病毒,避免网络中计算机在受到ARP攻击后,防 止ARP病毒在网络中交叉干扰。需要为办公网中交换机实
施保护端口,通过将交换机指定的端口设置为保护端口, 隔离网络中PC机间的互访,隔离网络中计算机间互访, 实现网络安全实现办公网网络的安全。
步骤四:配置交换机保护端口
步骤五:测试网络
使用步骤三中测试网络连通性方法,继续测试网络一次, 网络在实施交换机保护端口技术后。保护端口技术产生隔 离效果,连接在同一台交换机中所有计算机之间不再互相 通讯。
通过在交换机上开启端口保护后,本交换机的保护端口之 间确实无法直接通讯。发现保护端口之间不能互访,保护 端口与非保护端口之间可以互访。
步骤二:IP地址规划
根据办公网络中地址规划原则,规划如表9-2所示的地址 信息。
步骤三:测试网络连通性
交换机端口安全策略配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------
交换机端口安全策略配置
首先按照下图的配置连接好这些设备,并记下三台 pc 机的mac 地址:
Pc0:
0030.F27C.9666 Pc1:
00D0.D379.9E66 Pc2:
0001.64C1.EB0E 然后为这三台 pc 机配置 ip 地址:
然后用 pc2 分别 ping pc0 和 pc1,在交换机的 cli 界面键入 show mac-address-table 得到如下内容:
然后设置交换机端口 1 的安全功能:
之后再 ping pc1,发现由于安全策略的启动,不仅无法ping 通 pc1,而且还关闭了交换机的f0/1 端口,使我们无法 ping 通 pc0,所以我们键入以下指令,重新开启 f0/1 端口:然后发现可以 ping 通了按照习题要求,我们将集线器的接口调换到交换机的 f0/3 接口上,再次让 pc2 ping 其他两台计算机,得到如下结果:
结论证明:
如果将集线器的接口从设置了交换机端口安全策略的接口调换到了交换机的其他没有设置安全策略的接口,即可实现正常通信。
1 / 1。
项目十一交换机端口安全
3rew
演讲完毕,谢谢听讲!
再见,see you again
PPT文档演模板
2021/1/7
项目十一交换机端口安全
• Switch# configure terminal • Switch(config)# interface fastethernet 0/3 • Switch(config-if)# switchport mode access • Switch(config-if)# switchport port-security • Switch(config-if)# switchport port-security macaddress 00d0.f800.073c ip-address 192.168.12.202 • Switch(config-if)# end
• (2)restrict:当违例产生时,将发送一个Trap通知
• (3)shutdown:当违例产生时,将关闭端口并发
送一个Trap通知。
PPT文档演模板
项目十一交换机端口安全
• □ 端口安全配置 • (1)限制允许访问交换机上某个端口的MAC地址以 及IP • 例如:在交换机端口fastethernet 0/3上配置一个安 全地址:00d0.f800.073c,并为其绑定一个IP地址: 192.168.12.202 。
• 你是某公司的网络管理员,公司要求对网络进行 严格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以使 用网络,不得随意连接其他主机。
PPT文档演模板
项目十一交换机端口安全
•3. 相关实践知识
• • 公司网络接入交换机的所有端口配置最大连接数为1, 并对公司每台主机连接的交换机端口进行IP+MAC地址 绑定,模拟网络拓朴结构如图11.1所示。假设PC1的IP 地 址 为 192.168.0.10/24 , PC2 的 IP 地 址 为 192.168.0.20/24,PC3的IP地址为192.168.0.30/24。
交换机端口安全配置-PPT
address 0006.1bde.13b4 ip-address
172.16.1.55
!配置IP地址与 MAC地址的绑定
验证测试:查看交换机安全绑定配置
switch#show port-security address
验证测试:查看交换机的端口安全配置
Switch#show port-security
大家应该也有点累了,稍作休息
大家有疑问的,可以询问和交流
大家有疑问的,可以询问和交流
可以互相讨论下,但要小声点
步骤2.配置交换机端口的地址绑定
在主机上打开CMD命令窗口,执行ipconfig/all命令查 看IP和MAC地址信息。
Switch#configure terminal
switch(config)#interface fastethernet 0/3
Switch(config-if)#switchport port-security !开启交 换机的端口安全功能
Switch(config-if)#switchport port-secruity mac-
➢ Restrict 当违例产生时,将发送一个Trap通知。
➢ Shutdown 当违例产生时,将关闭端口并发送一个Trap 通知。
当端口因违例而被关闭后,在全局配置模式下使用命令 errdisable recovery来将接口从错误状态恢复过来。
【实验内容】
1、按照拓扑进行网络连接 2、配置交换机端口最大连接数限制 3、配置交换机端口地址绑定
交换机端口的地址绑定,可以针对IP地址、MAC地址、 IP+MAC进行灵活的绑定。可以实现对用户进行严格的控 制。保证用户的安全接入和防止常见的内网的网络攻击。
交换机端口安全PPT教案
给管理主机。
第8页/共17页
相关知识---端口安全配置
例如:设置端口安全违例处理方式为shutdown Switchport port-security violation shutdown 例如:设置端口安全违例处理方式为Protect Switchport port-security violation Protect
第9页/共17页
相关知识---端口安全配置
⑤显示系统中的所有安全地址 show port-security address
第10页/共17页
相关知识---端口安全配置
⑥显示的是安全端口的统计信息
第11页/共17页
配置实例
MAC:1111.1111.1111 PC1
f0/1 SA
在交换机SA的F0/1端口上配置端口 安全,要求最大安全数为1,并只 允许PC1接入,设置违例方式为 shutdown。
PC1 PC2
第3页/共17页
相关知识---端口安全配置
(1)配置步骤 ①进入接口模式 ②设置接口为ACCESS(默认,可省略) ③开启端口安全功能 ④设置安全地址或最大数量 ⑤设置违例方式
第4页/共17页
相关知识---端口安全配置
(2)配置命令 ①开启端口安全功能 Switchport port-security
交换机端口安全
会计学
1
相关知识--- 端口安全概述
端口安全(Port Security)是一种对网络接入进行 控制的安全机制,是对已有的802.1X(二层协议)认证 和MAC地址认证的扩充。 (1)端口安全作用
●防止非授权设备访问连接网络; ●控制接口合法接入设备数量; ●对非法的MAC地址和不符合接入数量的设备可以
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计
看IP和MAC地址信息。
算
Switch#configure terminal
机
switch(config)#interface fastethernet 0/3
网 络 工
Switch(config-if)#switchport port-security !开启交 换机的端口安全功能
程
Switch(config-if)#switchport port-secruity mac-
机
Switch(config-if-range)#switchport port-security !
网
开启交换机的端口安全功能
络 工 程
Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1
Switch(config-if-range)#switchport port-security
计 2. 交换机最大连接数限制取值范围是1~128,默认
算 是128.
机 网
3. 交换机最大连接数限制默认的处理方式是
络 protect。
Hale Waihona Puke 工程计算机网络工程实验
计 算 机 网 络 工 程
计算机网络工程实验
计 算 机
此课件下载可自行编辑修改,仅供参考! 感谢您的支持,我们努力做得更好!谢谢
网
络
工
程
计算机网络工程实验
交换机端口安全配置
计 算 机 网 络 工 程
计算机网络工程实验
交换机端口安全配置
【背景描述】
➢ 你是一个公司的网络管理员,公司要求对网络进行严
计 算 机 网
格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以 使用网络,不得随意连接其他主机。例如:某员工分
属性的配置,从而控制用户的安全接入。交换机端口安 全主要有两种类型:一是限制交换机端口的最大连接数, 二是针对交换机端口进行MAC地址、IP地址的绑定。
网 限制交换机端口的最大连接数可以控制交换机端口下连
络 的主机数,并防止用户进行恶意ARP欺骗。
工 程
交换机端口的地址绑定,可以针对IP地址、MAC地址、 IP+MAC进行灵活的绑定。可以实现对用户进行严格的控
络 ➢ Shutdown 当违例产生时,将关闭端口并发送一个Trap
工 程
通知。
当端口因违例而被关闭后,在全局配置模式下使用命令
errdisable recovery来将接口从错误状态恢复过来。
计算机网络工程实验
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接
计
2、配置交换机端口最大连接数限制
address 0006.1bde.13b4 ip-address
172.16.1.55
!配置IP地址与 MAC地址的绑定
验证测试:查看交换机安全绑定配置
switch#show port-security address
计算机网络工程实验
交换机端口安全配置注意事项
1. 交换机端口安全功能只能在ACCESS接口进行配 置
制。保证用户的安全接入和防止常见的内网的网络攻击。
计算机网络工程实验
交换机端口安全配置
配置了交换机的端口安全功能后,当实际应用超出配置
的要求,将产生一个安全违例,产生安全违例的处理方
式有3种:
计 算 机
➢ Protect 当安全地址个数满后,安全端口将丢弃未知名地 址的包
网 ➢ Restrict 当违例产生时,将发送一个Trap通知。
络
配的IP地址是172.16.1.55/24,主机MAC地址是00-06-
工
1B-DE-13-B4。该主机连接在1台2126G上。
程 【实验设备】
➢ S2126(1台)、直连线(1条)、PC(1台)
计算机网络工程实验
交换机端口安全配置
技术原理
交换机端口安全功能,是指针对交换机的端口进行安全
计 算 机
violation shutdown !配置安全违例的处理方式为
shutdown
验证测试:查看交换机的端口安全配置
Switch#show port-security
计算机网络工程实验
交换机端口安全配置步骤
步骤2.配置交换机端口的地址绑定
在主机上打开CMD命令窗口,执行ipconfig/all命令查
算
3、配置交换机端口地址绑定
机
网
络
工
程
计算机网络工程实验
交换机端口安全配置
【实验拓扑】
计
算 机
F0/3
网
络
工
程
172.16.1.55
计算机网络工程实验
交换机端口安全配置步骤
步骤1.配置交换机端口的最大连接数限制
Switch#configure terminal
计 算
switch(config)#interface range fastethernet 0/1-23 进入一组端口配置模式