交换机端口安全

实验交换机端口安全

一、实验目的和要求

• 了解交换机的端口安全性的基本知识

• 掌握如何配置交换机连接的最大安全地址数

• 掌握如何配置交换机绑定指定的mac地址

二、实验设备

模拟软件：Cisco PacketTracer53_setup_no_tutorials

设备：交换机两台，PC机若干，直连线，交叉线若干。

三、实验内容

1．在交换机上配置端口安全，以及违例的处理方式。

2．两台交换机以交叉线相连，其中主交换机上连接一台PC机，以用来验证链路。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum，验证工作组PC数目超过最大安全地址数时，链路不通，以指定的违例处理方式处理。

3．在主交换机上配置绑定固定的mac地址，验证当更换工作组pc机时，链路不通，以指定的违例处理方式处理。

四、实验拓扑

图1 交换机端口连接最大安全地址数

图2 交换机端口绑定指定mac地址

五、背景描述

1．某公司在内部的交换机上配置每个端口可连接的最大安全地址数，可以防止外来用户盗用公司内部网络。

2．公司的主交换机上绑定公司内部主机的mac地址之后，能防止公司外部带有病毒的pc机感染公司内部主机，或者防止人为的恶意破坏，窃取公司内部机密。

六、相关知识

锐捷网络的交换机有端口安全功能，利用端口安全这个特性，可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性，它主要有以下几个功能：

•只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。

•限制端口接入的设备数量，防止用户将过多的设备接入到网络中。

当一个端口被配置成为一个安全端口（启用了端口安全特性）后，交换机将检查从此端口接收到的帧的源mac地址，并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值，交换机会检查安全地址列表，若此帧的源mac地址没有被包含在安全地址表中，那么交换机将自动学习此mac地址，并将它加入到安全地址表中，标记为安全地址，进行后续转发；若此帧的源mac地址已经存在于安全地址表中，那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习，也可以手工配置。

配置安全端口安全存在以下限制。

•一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。

•一个安全端口不能是一个聚合端口（Aggregate Port）。

•一个安全端口不能是SPAN的目的端口。

七、实验步骤

步骤1．画出实验拓扑结构图。

步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。

步骤3．交换机更改主机名。

主交换机改名为SwitchA,次交换机改名为SwitchB。

步骤4．验证PC0，PC1与pc2三者之间都能ping通，说明交换机连接的网络是ok的。

步骤5．在SwitchA中对F0/1接口开启交换机端口安全，限制可接入的最大MAC数为1，违例处理为protect。注意，开启端口安全模式的接口必须为access

SwitchA(config)#interface fastEthernet 0/1

SwitchA(config-if)#switchport mode access

SwitchA(config-if)#switchport port-security ！开启交换机端口安全功能

SwitchA(config-if)#switchport port-security maximum 1 ！设置最大安全地址数

SwitchA(config-if)#switchport port-security violation protect ！设置违例处置方式为protect

步骤6．查看安全模式是否配置成功

步骤7. 配置完成后，再从PC0 ping pc2 ，是不通的，因为switchA的fa0/1接口上，实际上接了2台pc机，超过了端口可接的最大地址数。

PC0>ping 192.168.10.3

Pinging 192.168.10.3 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.10.3:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

【注意】：此时虽然PC0与pc2无法ping通，但是由于违例处理为protect，SwitchA与SwitchB之间的线路还是连通的，可以观察到线缆两端是绿色的点。

步骤8. 将Switch A 与SwitchB之间的连线切换到SwitchA 的F0/2接口。

步骤9 .再F0/2接口上配置端口安全模式，最大MAC数为1，违例处理为shutdown。

SwitchA(config)#interface fastEthernet 0/2

SwitchA(config-if)#switchport mode access

SwitchA(config-if)#switchport port-security

SwitchA(config-if)#switchport port-security maximum 1

SwitchA(config-if)#switchport port-security violation shutdown

步骤10. 查看安全配置是否成功

步骤11.在PC0上分别ping PC1与PC2

PC0>ping 192.168.10.3

Pinging 192.168.10.3 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.10.3:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

【注意】：由于此时的违例处理方式是shutdown的，可以观察SwitchA与SwitchB之前的线缆两端变成红点了，表示此条链路down掉了。

步骤12. 按实验拓扑图2连接设备。并对三台PC机进行IP设置。

步骤13. 通过ipconfig /all命令查看PC0与PC1的MAC地址。

步骤14. 在交换机上开启端口安全模式，绑定PC1的MAC地址。

Switch(config)#interface fastEthernet 0/1