交换机端口安全
华三交换机端口安全操作
1-1
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
1.1.3 端口安全模式
对于端口安全模式的具体描述,请参见 表 1-1。
i
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
第 1 章 端口安全配置
ቤተ መጻሕፍቲ ባይዱ
第1章 端口安全配置
1.1 端口安全简介
1.1.1 概述
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1x 认证和 MAC 地址认证的扩充。这种机制通过检测数据帧中的源 MAC 地址来控制非 授权设备对网络的访问,通过检测数据帧中的目的 MAC 地址来控制对非授权设备 的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时, 系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高 了系统的安全性。 非法报文包括: z 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; z 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源
H3C S5500-EI 系列以太网交换机 操作手册 端口安全
目录
目录
第 1 章 端口安全配置 ..............................................................................................................1-1 1.1 端口安全简介 ..................................................................................................................... 1-1 1.1.1 概述 ......................................................................................................................... 1-1 1.1.2 端口安全的特性 ....................................................................................................... 1-1 1.1.3 端口安全模式........................................................................................................... 1-2 1.2 端口安全配置任务简介....................................................................................................... 1-4 1.3 使能端口安全功能 .............................................................................................................. 1-4 1.3.1 配置准备 .................................................................................................................. 1-4 1.3.2 使能端口安全功能.................................................................................................... 1-4 1.4 配置端口允许的最大安全MAC地址数 ................................................................................ 1-5 1.5 配置端口安全模式 .............................................................................................................. 1-6 1.5.1 配置autoLearn模式.................................................................................................. 1-6 1.5.2 配置userLoginWithOUI模式 .................................................................................... 1-7 1.5.3 配置其它模式........................................................................................................... 1-7 1.6 配置端口安全的特性 .......................................................................................................... 1-8 1.6.1 配置NeedToKnow特性 ............................................................................................ 1-8 1.6.2 配置入侵检测特性.................................................................................................... 1-8 1.6.3 配置Trap特性........................................................................................................... 1-9 1.7 配置安全MAC地址 ............................................................................................................. 1-9 1.7.1 配置准备 .................................................................................................................. 1-9 1.7.2 配置安全MAC地址................................................................................................. 1-10 1.8 配置当前端口不应用服务器下发的授权信息 .................................................................... 1-10 1.9 端口安全显示和维护 ........................................................................................................ 1-10 1.10 端口安全典型配置举例................................................................................................... 1-11 1.10.1 端口安全autoLearn模式配置举例 ........................................................................ 1-11 1.10.2 端口安全userLoginWithOUI模式配置举例........................................................... 1-13 1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 ................................. 1-18 1.11 常见配置错误举例 .......................................................................................................... 1-21 1.11.1 端口安全模式无法设置 ........................................................................................ 1-21 1.11.2 无法配置端口安全MAC地址 ................................................................................ 1-21 1.11.3 用户在线情况下无法更换端口安全模式............................................................... 1-22
交换机端口安全portsecurity超级详解
交换机端口安全Port-Security超级详解交换安全交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:限制交换机每个端口下接入主机的数量MAC地址数量限定交换机端口下所连接的主机根据IP或MAC地址进行过滤当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现:二、理解Port-Security安全地址:secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口所连接的的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制;那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address;安全地址表项可以通过让使用端口动态学习到的MACSecureDynamic,或者是手工在接口下进行配置SecureConfigured,以及sticy MAC addressSecureSticky 三种方式进行配置;当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口;2.当以下情况发生时,激活惩罚violation:当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:在接口下使用switchport port-security mac-address 来配置静态安全地址表项使用接口动态学习到的MAC来构成安全地址表项一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空;而静态配置的安全地址表项依然保留;与Sticky MAC地址上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用switchport port-security mac-address手工来配置,工作量又太大;因此这个sticky mac 地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“ 实际上是SecureSticky的表项;在up/down现象出现后仍能保存;而在使用wr后,这些sticky安全地址将被写入start-up config,即使设备重启也不会被丢失;三、默认的Port-Security配置Port-Security 默认关闭默认最大允许的安全MAC地址数量 1惩罚模式 shutdown进入err-disable状态,同时发送一个SNMP trap四、Port-Security的部署注意事项配置步骤a 在接口上激活Port-SecurityPort-Security开启后,相关参数都有默认配置,需关注b 配置每个接口的安全地址Secure MAC Address可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址c 配置Port-Security惩罚机制默认为shutdown,可选的还有protect、restrictd 可选配置安全地址老化时间2.关于被惩罚后进入err-disable的恢复:如果一个psec端口由于被惩罚进入了err-disable,可以使用如下方法来恢复接口的状态:使用全局配置命令:err-disable recovery psecure-violation手工将特定的端口shutdown再noshutdown3.清除接口上动态学习到的安全地址表项使用clear port-security dynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项使用clear port-security sticky 命令,将清除所有sticky安全地址表项使用clear port-security configured命令,将清除所有手工配置的安全地址表项使用clear port-security all命令,将清除所有安全地址表项使用show port-security address来查看每个port-security接口下的安全地址表项4.关于sticky安全地址Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址,从而不会由于接口的up/down丢失;然而如果我们希望在设备重启之后,这个sticky的安全地址表项仍然存在,那么就需要wr一下;将配置写入start-up config 文件;Sticky安全地址也是一个简化我们管理员操作的一个很好的工具,毕竟现在不用再一条条的手工去绑了;支持private vlan支持 tunnel接口不支持SPAN的目的接口不支持etherchannel的port-channel接口9.在CISCO IOS 33SXH 以及后续的版本,我们可以将port-security及部署在同一个接口上;而在此之前的软件版本:如果你试图在一个port-security接口上激活则会报错,并且功能无法开启如果你试图在一个接口上激活port-security则也会报错,并且port-security特性无法开启支持nonegotiating trunk 接口Port-Security 支持在如下配置的trunk上激活switchportswitchport trunk encapsulationswitchport mode truknswitchport nonegotiateIf you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamicallylearned in the access VLAN to sticky or static secure addresses on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port.If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the access port. Port security removes all addresses learned on VLANs other than the native VLAN.links和Port-Security互不兼容五、Port-security的配置1.激活Port-Security在access接口上Switchconfig interface fast0/1Switchconfig-if switchportSwitchconfig-if switchport mode accessSwitchconfig-if switchport access vlan 10Switchconfig-if switchport port-security接口的Port-Security特性一旦激活后,默认的最大安全地址个数为1,也就是说,在不进行手工配置安全地址的情况下,这个接口将使用其动态学习到的MAC作为安全地址,并且,这个接口相当于被该MAC所属的设备独占;而且默认的violation是shutdownSW1show port-security interface f0/1Port Security : EnabledPort Status : Secure-up 接口目前的状态是up的Violation Mode : Shutdown 违例后的惩罚措施,默认为shutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1 最大安全地址个数,默认为1Total MAC Addresses : 0Configured MAC Addresses : 0 手工静态配置的安全MAC地址,这里没配Sticky MAC Addresses : 0 sticky的安全地址,这里没有Last Source Address:Vlan : 最近的一个安全地址+vlanSecurity Violation Count : 0 该接口历史上出现过的违例次数这个时候,如果另一台PC接入到这个端口上,那么该port-security接口将会收到一个新的、非安全地址表项中的MAC地址的数据帧,于是触发的违例动作,给接口将被err-disable掉;同时产生一个snmp trap消息,另外,接口下,Security Violation Count将会加12.激活Port-Security在trunk接口上3. Port-Security violation惩罚措施默认的violation是shutdown;如果是protect,那么惩罚就会温柔些,对于非法的数据帧例如数据帧的源MAC不在安全地址表项中的、且安全地址已经达到最大数,这些非法数据将仅仅被丢弃,合法数据照常转发,同时不会触发一个syslog消息,另外接口下的“Security Violation Count”也不会加1;而如果是restrict,那么非法数据被丢弃,同时触发一个syslog消息,再者,Security Violation Count加1,合法的数据照常转发;4. 配置Port Security Rate Limiter注意,在6509交换机,truncated switching模式下不支持该功能在交换机接口上开启Port-Security是会耗费资源的,Port-Security会检测每一个进入接口的数据帧,以判断流量是否合法,或者是否存在违例行为;当一个安全接口设置的violation为shutdown的时候,该接口在违例后触发惩罚机制,进入err-diasble状态,这样可以有效的方式有效的防止交换机由于处理违例事件导致交换机的CPU利用率过高;然而protect和restict的惩罚措施,则不会将端口关闭,端口依然可用,那么这就可能导致在违例事件发生的情况下交换机的CPU利用率飙高例如大量的非法数据涌入;因此当使用protect和restrict这两种违例惩罚措施事,可以通过Port-Secuirty rate limiter来防止CPU飙高;Switchconfig mls rate-limite layer2 port-security rate_in_pps burst_size关于rate_in_pps参数:范围是10- 1000000没有默认值值设置的越低,对CPU的保护程度就越高,这个值对惩罚措施发生前、后都生效,当然这个值也不能设置的过低,至少要保障合法流量被处理吧;一般低于1000就差不多;关于burst-size参数:范围是1-255默认是10,这个默认值一般就够用了;5. 配置Port-Security 最大允许的安全地址数量最大安全地址数量,不同的软件平台允许的上限值有所不同,但是默认都是1;在trunk口上,前面说了,也是可以激活port-security的,而在trunk口上配置最大安全地址数量,可以基于接口配置对所有VLAN生效,也可以基于VLAN进行配置;如下:switchport port-security maximum 1switchport port-security maximum 1 vlan 10,20,30 可以关联多个VLAN6. 在port-security接口上手工配置安全地址上述配置中,最大安全地址数设置为3,然后使用手工配置了一个安全地址,那么剩下2个,交换机可以通过动态学习的方式来构建安全地址;在trunk接口上手工配置安全地址,可关联vlan关键字;如果在trunk接口上手工配置安全地址,没有关联vlan关键字,那么该安全地址将被关联到trunk的native vlan上7. 在port-security接口上使用sticky MAC地址我们知道,构成安全地址表项的方式有好几种,其中一种是使用switchport port-security mac 来手工配置,但是这种方式耗时耗力,更需要去PC上抄MAC,工作成本比较高;而另一种构成安全地址的方式是让交换机使用动态学习到的MAC,然而这些安全地址在接口一旦up/down后,将丢失,更别说重启设备了;因此可以使用sticky mac的方式,这种方式激活后,交换机将动态学习到的MAC“粘起来”,具体的动作很简单,就是在动态学习到MAC例如一个后,如果我激活了sticiky MAC address,则在接口下自动产生一条命令:interface FastEthernet0/1switchport access vlan 10switchport mode accessswitchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 自动产生这样形成的安全地址表项是SecureSticky的,即使在接口翻动,也不会丢失;在者如果wr保存配置,命令写入,那么设备即使重启,安全地址也不会丢失;当在接口上激活了port-security mac-address sticky,那么:该接口上所有通过动态学习到的MAC,将被转成sticky mac address从而形成安全地址接口上的静态手工配置的安全地址不会被转成sticky mac address通过voice vlan动态学习到的安全地址不会被转成sticky mac address命令配置后,新学习到的MAC地址,也是sticky的当此时又敲入no port-secuirty mac-address sticiky ,则所有的sticky安全地址条目都变成动态的安全地址条目SecureDynamic8. 配置安全地址老化时间配置的命令比较简单:Switchconfig-if switchport port-security aging type {absolute | inactivity}配置老化时间的类型,如果选择absolute,也就是绝对时间,需要搭配aging time命令设定老化时间的具体值,命令一旦敲下去后,所有的通过动态学习的MAC构建的安全地址表项将开始以aging time倒计时;如果是inactivity关键字,则只在该动态安全地址表项不活跃的时候譬如主机离线了或者挂掉了才开始倒计时;Switchconfig-if switchport port-security aging time设定老化时间Switchconfig-if switchport port-security aging static使用前面两条命令,老化时间是不会影响那些使用静态手工配置的安全地址表项的,当然sticky表项也不会受影响,这些表项都是永不老化的,但是如果搭配上上面这条命令,则手工配置的安全地址表项也受限于老化时间了;不过对于sticky表项,则始终不会激活aging time,它是不会老化的;示例1:将安全地址老化时间设置为50min;针对动态学习到的MAC构成的安全地址有效50min是一个绝对时间,配置完成后开始倒计时,无论该MAC是否依然活跃,都始终进行倒计时示例2:针对动态学习到的MAC构成的安全地址有效,如果该MAC在50min内一直处于失效状态例如主机离线了,那么该安全地址在aging time超时后被清除示例3:注意,上述两种配置方式,对手工配置switchport port-security mac-address 的安全地址无效;也就是采用上述方法配置的静态安全地址表项永不超时;如果增加switchport port-security aging static命令,则手工静态配置的安全地址也的aging time也开始计时注意,对于sticky mac address,安全地址的老化时间无效。
宽带接入之交换机端口安全介绍
降低管理成本: 端口安全优化可 以简化网络管理, 降低管理成本。
满足合规要求: 端口安全优化可 以帮助企业满足 相关法规和标准 的要求,降低法 律风险。
端口安全优化的方法
01 端口安全策略:设置端口安全策 略,限制端口访问权限
02 端口访问控制:设置端口访问控 制,限制特定端口的访问
03 端口加密:使用加密技术,提高 端口数据的安全性
监控端口状态:实时 监控交换机端口的状 态,发现异常情况及
时处理
配置安全参数:设置 端口允许的最大MAC 地址数量、安全动作、
安全时间等参数
定期更新安全策略: 根据网络环境的变化, 定期更新端口安全策
略,确保网络安全
绑定MAC地址:将交 换机端口与特定的
MAC地址进行绑定, 防止非法设备接入
端口安全配置参数
端口安全模式:包括安全模 式和非安全模式,安全模式 可以限制端口的最大连接数, 非安全模式则没有限制。
端口安全动作:包括关闭端 口、限制连接数和限制流量 等,可以根据需要选择合适 的动作。
端口安全年龄:设置端口安 全年龄可以限制端口的最大 连接时间,超过设定时间后, 连接将被断开。
端口安全协议:可以设置端 口安全协议,如TCP、UDP 等,以限制端口的连接类型。
宽带接入之交换 机端口安全介绍
目录
01. 交换机端口安全概述 02. 交换机端口安全配置 03. 交换机端口安全策略 04. 交换机端口安全优化
1
交换机端口安全 概述
交换机端口安全的重要性
01
02
03
04
保护网络免受未 经授权的访问防止恶意软件和 病毒的传播
保障数据传输的 安全性和完整性
提高网络性能和 稳定性
交换机端口安全技术讲义
交换机端口安全技术讲义一、为什么需要端口安全技术?- 交换机是网络中非常重要的设备,端口是交换机连接其他设备的接口。
因此,保护交换机端口的安全对于整个网络的安全至关重要。
二、常见的端口安全技术1. MAC地址绑定- 通过将特定MAC地址与端口进行绑定,只有被绑定的设备才能使用该端口进行通信,其他设备将无法访问该端口。
2. 802.1X认证- 802.1X是一种端口认证协议,通过在交换机端口上实施认证服务,可以有效地防止未授权的设备接入网络。
只有经过认证的设备才能使用交换机端口。
3. 端口安全限制- 通过设置每个交换机端口允许连接的最大设备数量,可以防止未经授权的设备接入网络。
4. DHCP snooping- 通过检测和验证DHCP报文,防止恶意DHCP服务器对网络设备进行攻击或者误导。
5. 端口状态监控- 交换机可以监控端口的通信状态,一旦发现异常情况,可以及时做出处理,防止网络安全风险。
三、如何实施端口安全技术- 在交换机上配置相应的端口安全措施,包括MAC地址绑定、802.1X认证、端口安全限制、DHCP snooping等,并定期对端口进行监控和审计,及时发现并处理异常情况。
四、端口安全技术带来的好处- 通过实施端口安全技术,可以有效地防止未经授权的设备接入网络,保护网络的安全。
同时,也可以有效地减少网络故障和攻击的风险,保障网络的正常运行。
五、端口安全技术的应用场景端口安全技术广泛应用于企业、学校、政府机构以及各种组织和机构的网络中。
无论是小型局域网还是大型企业网络,都需要采取端口安全技术来保护网络的安全和稳定性。
特别是在一些对网络安全要求较高的领域,如金融、医疗、军事等,端口安全技术更是不可或缺的一部分。
六、端口安全技术的挑战与解决方案虽然端口安全技术在保护网络安全方面起到了重要作用,但也面临着一些挑战。
例如,管理和维护成本较高、配置复杂、容易受到攻击等。
为了解决这些问题,可以采取以下措施:1. 自动化管理工具:可以使用自动化管理工具来简化端口安全技术的配置和管理,减少人工操作的成本和错误。
描述交换机安全端口功能的作用及应用环境
描述交换机安全端口功能的作用及应用环境交换机安全端口功能是一种网络设备提供的安全机制,它可以帮助保护局域网内的数据安全,防止未经授权的访问和攻击。
交换机安全端口功能的作用是限制和控制连接到交换机的设备,只允许经过授权的设备访问局域网。
当交换机开启了安全端口功能后,它会记录下所有连接到端口的设备的MAC地址,并与预先设定的安全MAC地址进行比对。
如果发现连接到交换机的设备的MAC地址不在安全MAC地址列表中,交换机将阻止该设备的数据通信,从而有效地防止未经授权设备的入侵和数据泄露风险。
应用环境方面,交换机安全端口功能主要适用于需要保护局域网安全的企业、学校、医院等组织和机构。
在这些环境中,通常有大量的设备需要连接到局域网,比如电脑、服务器、打印机、IP电话等。
如果不加以安全限制,有可能会有未经授权的设备接入,从而导致数据泄露、恶意攻击、网络拥堵等问题。
通过使用交换机安全端口功能,可以严格控制哪些设备可以连接到局域网,提高网络的安全性。
此外,在一些公共场所,如酒店、咖啡厅、机场等,也可以使用交换机安全端口功能来保护公共无线网络。
在这种环境下,许多用户需要通过公共无线网络连接互联网。
如果不加以限制,存在未经授权用户恶意攻击、盗取用户信息的风险。
通过使用交换机安全端口功能,可以对连接到公共无线网络的设备进行限制和控制,提高公共网络的安全性。
总之,交换机安全端口功能是一项非常有用的网络安全措施。
它可以在企业和公共场所的局域网中保护数据安全,限制未经授权设备的访问,有效防止攻击和数据泄露的风险。
在当前网络安全形势日益严峻的环境下,使用交换机安全端口功能已成为保护网络和用户信息不可或缺的一部分。
因此,在构建和维护网络时,建议使用交换机安全端口功能,以提高网络的安全性和可靠性。
锐捷实训4-交换机的端口安全
实训4 交换机的端口安全【实训目的】(1)掌握交换机端口安全功能,控制用户的安全接入(2)掌握交换机的端口配置的连接数(3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定;配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:(1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包;(2)restrict当违例产生时,将发送一个trap通知;(3)shutdown当违例产生时,将关闭端口并发送一个trap通知;当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来;【实训背景描述】你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。
为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。
例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0019.2147.10F9。
该主机连接在1台2126G上。
【实训设备】S2126G(1台),PC(2台)、直连线(2条)【实训内容】(1)按照拓扑进行网络连接(2)配置交换机端口最大连接数限制(3)配置交换机端口地址绑定【实训拓扑图】【实训步骤】(1)配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23!打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y!开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1!开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n!配置安全违例的处理方式s h u t d o w n(2)验证测试:查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y(3)配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。
(完整word版)实验2:交换机端口安全
12.3 实验2:交换机端口安全1。
实验目的通过本实验,读者可以掌握如下技能:①理解交换机的CAM表;②理解交换机的端口安全;③配置交换的端口安全特性。
2。
实验拓扑实验拓扑图如图12—3所示。
图12-3 实验2拓扑图3。
实验步骤交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。
在这里限制f0/接口只允许R1接入。
(1)步骤1:检查R1的g0/0接口的MAC地址R1(config)#int g0/0R1(config-if)#no shutdownR1(config-if)#ip address 172.16.0。
101 255。
255。
0.0R1#show int g0/0GigabitEthernet0/0 is up ,line protocol is upHardware is MV96340 Ethernet,address is 0019.5535。
b828(bia 0019。
5535.b828)//这里可以看到g0/0接口的Mac地址,记下它Internet address is 172.16.0。
101/16MTU 1500 bytes,BW 100000 Kbit,DLY 100 usec,(此处省略)(2)步骤2:配置交换端口安全S1(config)#int f0/1S1(config—if)#shutdownS1(config—if)#switch mode access//以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义S1(config—if)#switch port—security//以上命令是打开交换机的端口安全功能S1(confg—if)#switch port—security maximum 1//以上命令只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入S1(config-if)#switch port—security violation shutdown“switch port-security violation{protect|shutdown|restrict}" //命令含义如下:●protect;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响;●shutdown;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown”命令重新打开;●restrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息.S1(config-if)#switchport port—security mac—address 0019.5535.b828//允许R1路由器从f0/1接口接入S1(confgi—if)#no shutdownS1(config)#int vlan1S1(config—if)#no shutdownS1(config—if)#ip address 172。
交换机端口安全功能配置
172.16.1.55
!配置IP地址与 MAC地址的绑定
○ 验证测试:查看交换机安全绑定配置 ○ switch#show port-security address
步骤2.配置交换机端口的地址绑定
交换机端口安全配置注意事项
交换机端口安 全功能只能在 ACCESS接口 进行配置
交换机最大连 接数限制取值 范围是1~128, 默认是128.
交换机最大连 接数限制默认 的处理方式是 protect。
Protect 当安全地址个数满后,安全端口将丢弃未 知名地址的包
Restrict 当违例产生时,将发送一个Trap通知。
Shutdown 当违例产生时,将关闭端口并发送一 个 Tr a p 通 知 。 ○ 当端口因违例而被关闭后,在全局配置模式下使 用命令errdisable recovery来将接口从错误状 态恢复过来。
【实验设备】
S2126(1台)、直连线(1条)、PC(1 台)
交换机端口安全配置
01
01
01
交换机端口安全功能, 是指针对交换机的端口 进行安全属性的配置, 从而控制用户的安全接 入。交换机端口安全主 要有两种类型:一是限 制交换机端口的最大连 接数,二是针对交换机 端口进行MAC地址、 IP地址的绑定。
限制交换机端口的最大 连接数可以控制交换机 端口下连的主机数,并 防止用户进行恶意ARP 欺骗。
交换机端口的地址绑定, 可以针对IP地址、 MAC地址、IP+MAC 进行灵活的绑定。可以 实现对用户进行严格的 控制。保证用户的安全 接入和防止常见的内网 的网络攻击。
技术原理
交换机端 口安全配 置
配置了交换机的端口安全功能后,当实际应用超出 配置的要求,将产生一个安全违例,产生安全违例 的处理方式有3种:
交换机的端口安全
交换机的端⼝安全交换机最常⽤的对端⼝安全的理解就是可根据MAC地址来做对⽹络流量的控制和管理,⽐如MAC地址与具体的端⼝绑定,限制具体端⼝通过的MAC地址的数量,或者在具体的端⼝不允许某些MAC地址的帧流量通过。
稍微引申下端⼝安全,就是可以根据802.1X来控制⽹络的访问流量。
⼀、MAC地址与端⼝绑定和根据MAC地址允许流量的配置1.MAC地址与端⼝绑定当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端⼝将down 掉。
当给端⼝指定MAC地址时,端⼝模式必须为access或者Trunk状态。
1.3550-1#conf t2.3550-1(config)#int f0/13.3550-1(config-if)#switchport mode access /指定端⼝模式。
4.3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
5.3550-1(config-if)#switchport port-security maximum 1 /限制此端⼝允许通过的MAC地址数为1。
6.3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端⼝down掉。
2.通过MAC地址来限制端⼝流量此配置允许⼀TRUNK⼝最多通过100个MAC地址,超过100时,但来⾃新的主机的数据帧将丢失。
1.3550-1#conf t2.3550-1(config)#int f0/13.3550-1(config-if)#switchport trunk encapsulation dot1q4.3550-1(config-if)#switchport mode trunk /配置端⼝模式为TRUNK。
5.3550-1(config-if)#switchport port-security maximum 100 /允许此端⼝通过的最⼤MAC地址数⽬为100。
交换机端口安及认证
中恢复过来。
7
5.3.1 配置安全端口
• 端口的安全地址绑定:端口-MAC-IP绑定 – switchport port-security 打开该接口的端口安全功能 – switchport port-security [mac-address mac-address] [ address ip-address] 手工配置接口上的安全地址。 –使用指导:如果你将一个IP 地址和一个指定的 MAC地址绑定,则当帧的源MAC 地址不为这个IP 地 址绑定的MAC 时,这个帧将会被交换机丢弃。
• 应用环境:主要应用在汇聚层交换机的端口安全配置。
14
maximum 8 –Switch(config-if)# switchport port-security
violation protect //当违例发生配置接口fastethernet0/3上的端口安 全功能,实现端口+MAC+IP地址绑定。主机 MAC为00d0.f800.073c,IP为192.168.1.120 – Switch(config)# interface fastethernet 0/3 – Switch(config-if)# switchport mode access – Switch(config-if)# switchport port-security –Switch(config-if)# switchport port-security m address 00d0.f800.073c ip-address 192.168.1.120
• 验证基本同前,自己完成。 • 应用环境:主要应用在接入层交换机的端口安全配置。
13
端口安全应用配置示例
• 通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过 100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。 – 3550-1(config)#int f0/1 – 3550-1(config-if)#switchport mode access/配置端口模式为TRUNK?。 – 3550-1(config-if)#switchport port-security maximum 100 /允许此端 口通过的最大MAC地址数目为100。 – 3550-1(config-if)#switchport port-security violation protect /当 MAC地址数目超过100时,交换机继续工作,但来自新的主机的 数据帧将丢失。
网络设备调试04交换机端口安全
常见数据链路层安全威胁
• DHCP服务器欺骗与DHCP地址耗尽 – DHCP服务器欺骗 • 即客户端将自己配置为DHCP服务器,分派虚假的IP地 址及其信息或者直接响应DHCP请求 – DHCP地址耗尽 • 即客户端不断的冒充新客户发送DHCP请求,请求服务 器分派IP地址,这样很快耗尽DHCP配置的IP地址池, 其他计算机无法使用 • IP地址欺骗 – 客户端使用自己配置的IP地址冒充其他客户端或网络管理 员,对其他用户、设备、服务器等进行非法操作 – IP地址欺骗主要是利用自行配置IP地址实现的
– 启用端口安全的接口不能是动态协商(dynamic)模式, 必须配置接口为接入或干道模式 • 配置允许访问网络的MAC地址 – 配置接口允许的最大活跃地址数量
Switch(config-if)#switchport port-security maximum { max-addr }
– 配置静态绑定的MAC地址
网关 Internet PC1的MAC地址是 XX-XX-XX-XX-XX-XX (虚假MAC地址)
PC1
网关的MAC地址是 XX-XX-XX-XX-XX-XX (虚假MAC地址)
PC2
常见数据链路层安全威胁 • ARP欺骗原理
– 欺骗网关 – 欺骗主机
网关 PC1到PC2的流量需要经过PC3转发 Internet 我是PC1,我的MAC地址是XXXX-XX-XX-XX-XX (PC2的MAC地址) PC2
端口状态改变
端口安全配置示例5-4 • 查看端口安全状态
Switch#show port-security interface fastEthernet 0/2 Port Security : Enabled Port Status : Secure-shutdown 端口状态 Violation Mode : Shutdown Aging Time : 1 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses :1 Total MAC Addresses :1 Configured MAC Addresses : 1 Sticky MAC Addresses :0 Last Source Address:Vlan : 0021.1ba5.6983:2 Security Violation Count : 1
交换机端口利用率的安全值
交换机端口利用率的安全值
交换机端口利用率的正常范围在70%~80%,新建网络达到60%时,可以考虑使用更高级的设备或增加备份等。
如果端口利用率达到80%~90%,网络通常仍能正常运行,但长时间处于高负荷状态可能导致设备出现误码等问题,影响稳定性。
以上仅供参考,端口利用率的安全值会根据交换机的品牌和型号而有所差异。
因此,对于交换机的监控和安全值的设定,最好参照生产厂商的文档或者咨询专业技术人员的建议。
交换机端口利用率的安全值指的是在交换机端口正常工作时,其带宽的使用率应保持在一定的范围内,以确保网络正常运行和避免潜在的风险。
一般来说,交换机端口利用率的正常范围在70%~80%,如果超出这个范围,可能会导致网络性能下降或出现其他问题。
如果交换机端口利用率过高,可能会导致网络拥堵和数据传输延迟,甚至可能出现丢包现象。
这不仅会影响用户的网络体验,还可能对网络设备的正常运行造成影响。
因此,需要监控交换机端口的利用率,并采取相应的措施来确保网络的稳定性和可靠性。
为了确保交换机端口利用率的安全,可以采取以下措施:
1.合理规划网络结构,避免网络瓶颈的出现。
2.合理配置交换机端口的速度和双工模式,以匹配网络的实际需求。
3.定期检查网络设备的性能指标,及时发现和解决潜在的问题。
4.实施流量控制和限速等策略,避免网络拥堵和异常流量的产生。
5.备份关键网络设备,确保在设备故障时可以快速恢复网络的正常运行。
总之,合理规划和配置交换机端口,以及采取相应的措施来监控和管理网络设备的性能指标,是确保网络稳定性和可靠性的关键。
最新整理交换机端口安全防护与配置方法命令介绍
交换机端口安全防护与配置方法命令介绍交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
今天我们来介绍一下交换机端口安全的配置内容,主要防止公司内部的网络攻击和破坏行为,详细的教程,请看下文介绍,需要的朋友可以参考下方法步骤1、配置交换机端口的最大连接数限制。
S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t 0/3进行0模块第3端口的配置模式S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c u r i t y开启交换机的端口安全功能S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c r u i t ym a x i m u m1配置端口的最大连接数为1S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c r u i t yv i o l a t i o n s h u t d o w n配置安全违例的处理方式为s h u t d o w n2、验证测试:查看交换机的端口安全配置。
S w i t c h#s h o w p o r t-s e c u r i t y3、配置交换机端口的地址绑定S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e f a s t e t h e r n e t0/3S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c u r i t yS w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c u r i t ym a c-a d d r e s s0006.1b d e.13b4i p-a d d r e s s172.16.1.55配置I P地址和M A C地址的绑定4、验证测试:查看地址安全绑定配置。
华为交换机端口安全怎么配置?华为交换机端口安全命令的用法
华为交换机端⼝安全怎么配置?华为交换机端⼝安全命令
的⽤法
在华为交换机配置中,经常遇到各种问题,那么如何配置端⼝安全?下⾯就为⼤家带来详细的配置过程,详细请看下⽂介绍。
1、登录华为交换机,进⼊系统视图模式。
2、进⼊华为交换机接⼝视图。
3、在接⼝视图下开启端⼝安全功能。
命令:port-security enable
4、开启端⼝安全之后,使能接⼝Sticky MAC功能。
5、配置端⼝功能的保护动作。
命令:port-security protect-action protect
6、在接⼝下配置MAC地址学习限制数,设置⼀个表⽰只允许⼀台主机接⼊。
命令:port-security max-mac-num 1
以上就是华为交换机端⼝安全命令的⽤法,希望⼤家喜欢,请继续关注。
Cisco交换机端口安全
VLAN隔离
定期审计和监控
将不同的用户或部门划分到不同的VLAN, 实现逻辑隔离,降低安全风险。
对交换机端口安全策略进行定期审计和监 控,确保安全策略的有效性和合规性。
05
Cisco交换机端口安全故障排除
故障排除概述
故障排除流程
故障排除应遵循一定的流程,包括识别问题、收集信息、分析问 题、制定解决方案和实施解决方案等步骤。
网络管理软件
使用网络管理软件可以帮助管理 员监控网络设备的状态和性能, 及时发现和解决故障。
系统日志
通过分析交换机和网络设备的系 统日志,可以发现潜在的问题和 故障原因。
06
总结与展望
总结
01
02
03
04
05
Cisco交换机端口 端口隔离 安…
端口绑定
访问控制列表 (ACL)
802.1X认证
随着网络技术的不断发展 ,Cisco交换机作为网络核 心设备,其端口安全技术 也得到了广泛应用。这些 技术旨在保护网络免受未 经授权的访问和潜在的安 全威胁。
的风险。
防止IP地址冲突
通
简化管理
通过集中管理和控制网络设备的访问, 可以简化网络管理流程,减少手动配 置的工作量。
提高性能
端口安全可以减少不必要的网络流量 和广播风暴,提高网络性能和稳定性。
03
Cisco交换机端口安全配置
配置步骤
进入交换机的命令行界面。
端口安全通过监控连接到交换机 的设备MAC地址(物理地址)
来实现。
当设备连接到交换机端口时,交 换机将学习并记录该设备的 MAC地址。
之后,交换机将根据MAC地址 表来允许或拒绝网络流量。只有 与MAC地址表中的地址匹配的
交换机端口保护机制
交换机端口保护机制交换机端口保护机制是网络中非常重要的一环,它可以帮助网络管理员保护交换机端口免受潜在的网络攻击和滥用。
在本文中,将探讨交换机端口保护机制的基本原理,不同的端口保护技术,以及如何配置和优化这些保护机制。
交换机端口保护机制的基本原理是通过限制交换机上每个端口的交通流量来保护网络安全。
这些保护机制可以防止由于设备故障、恶意软件或非法操作而导致的网络拥塞、数据泄漏或其他安全问题。
常见的交换机端口保护机制包括端口安全、端口瓶颈检测和入侵检测。
端口安全是最常见和最基本的交换机端口保护机制之一。
它通过限制交换机上每个端口的MAC地址数量、VLAN数量或IP地址数量来保护网络安全。
交换机通常会有一个默认的端口安全阈值,当这个阈值被超过时,交换机将会采取措施,如关闭该端口或发送警报消息。
端口安全可以防止潜在的网络攻击,如ARP欺骗和MAC泛洪。
端口瓶颈检测是另一种常见的交换机端口保护机制。
它通过监测交换机上每个端口的交通流量,以便检测到潜在的网络瓶颈。
当交换机上的某个端口的流量达到设定的阈值时,交换机可以采取相应的措施,如关闭该端口或重新路由该流量。
端口瓶颈检测可以帮助网络管理员实时监测交换机的负载情况,以便及时调整网络配置和优化网络性能。
入侵检测是交换机端口保护机制的另一项重要功能。
它可以通过扫描和监测网络流量中的异常行为来检测潜在的入侵或攻击。
这些异常行为可能包括网络扫描、未经授权的访问尝试、数据包嗅探和端口扫描等。
当交换机检测到这些异常行为时,它可以发送警报并采取相应的措施,如关闭相应的端口或隔离有问题的设备。
除了这些基本的交换机端口保护机制之外,还有一些其他的技术和配置选项可以增强网络的安全性。
例如,网络管理员可以使用MAC地址过滤来限制允许访问交换机的设备。
他们还可以使用虚拟专用网络(VPN)来保护敏感数据的传输和访问。
此外,访问控制列表(ACL)可以用于限制通过交换机的特定端口的流量。
实验环境搭建和交换机端口安全配置
实验环境搭建:
1. 准备两台计算机,一台作为服务器,另一台作为客户端。
2. 在服务器上安装操作系统(如Windows Server 2016或Linux)。
3. 在客户端上安装操作系统(如Windows 10或Linux)。
4. 在服务器和客户端之间建立网络连接,可以使用网线或无线网络。
5. 配置IP地址、子网掩码、网关等网络参数,确保两台计算机可以互相访问。
交换机端口安全配置:
1. 登录交换机管理界面,进入端口安全配置页面。
2. 选择需要配置的端口,设置安全模式(如静态安全、动态安全等)。
3. 设置最大连接数,限制同一端口上的设备数量。
4. 启用MAC地址过滤,只允许指定的MAC地址通过该端口。
5. 设置端口速率限制,防止恶意设备占用大量带宽。
6. 启用802.1X认证,要求用户输入用户名和密码才能访问网络。
7. 保存配置并重启交换机,使配置生效。
交换机端口隔离安全实验报告
交换机端口隔离安全实验报告实验目的:本实验旨在通过交换机端口隔离技术,提高网络的安全性和隔离性,并验证隔离效果。
实验环境:本实验使用了一台拥有多个可配置端口的交换机,并连接了多台主机设备。
实验步骤:1. 配置交换机端口隔离功能:首先,登录交换机管理界面,在交换机配置页面上找到端口隔离选项。
根据实际需求,选择需要隔离的端口,并启用隔离功能。
2. 设置隔离规则:在交换机端口隔离配置页面上,为每个需要隔离的端口设置隔离规则。
可以根据IP地址、MAC地址等进行隔离规则的设定。
3. 验证隔离效果:连接不同的主机设备至交换机的不同端口,并在各个主机之间进行通信测试。
检查是否存在跨端口通信,验证隔离效果的可行性。
实验结果:通过交换机端口隔离功能的配置,我们成功实现了端口之间的隔离。
在测试过程中,我们发现无法实现跨端口的通信,证明了隔离的效果。
实验总结:交换机端口隔离技术在网络安全中发挥了重要作用。
通过该技术,可以有效隔离不同端口之间的通信,增强网络的安全性和隔离性。
在实验中,我们成功配置了交换机端口隔离功能,并验证了其有效性。
然而,需要注意的是,在实际应用中,还需要综合考虑业务需求和网络拓扑结构,合理配置端口隔离规则,以达到最佳的网络安全效果。
实验局限性:本实验仅仅针对交换机端口隔离功能的验证,未对其他相关安全功能进行测试。
在实际应用中,需要综合考虑其他网络设备和安全机制,搭建完整的网络安全体系。
未来展望:随着网络安全威胁的不断演变和升级,交换机端口隔离技术也需要不断更新和改进。
未来,我们希望通过进一步的研究和实践,提高交换机端口隔离技术的性能和可靠性,更好地应对网络安全挑战。
参考文献:[1] 张三, 李四. 交换机端口隔离技术及其应用[J]. 计算机科学, 20XX, XX(X): XX-XX.[2] 王五, 赵六. 网络安全技术概论[M]. 北京:XX出版社, 20XX.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验交换机端口安全
一、实验目的和要求
• 了解交换机的端口安全性的基本知识
• 掌握如何配置交换机连接的最大安全地址数
• 掌握如何配置交换机绑定指定的mac地址
二、实验设备
模拟软件:Cisco PacketTracer53_setup_no_tutorials
设备:交换机两台,PC机若干,直连线,交叉线若干。
三、实验内容
1.在交换机上配置端口安全,以及违例的处理方式。
2.两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路。
次交换机下连接两台PC机。
在主交换机上配置最大安全地址数maximum,验证工作组PC数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。
3.在主交换机上配置绑定固定的mac地址,验证当更换工作组pc机时,链路不通,以指定的违例处理方式处理。
四、实验拓扑
图1 交换机端口连接最大安全地址数
图2 交换机端口绑定指定mac地址
五、背景描述
1.某公司在内部的交换机上配置每个端口可连接的最大安全地址数,可以防止外来用户盗用公司内部网络。
2.公司的主交换机上绑定公司内部主机的mac地址之后,能防止公司外部带有病毒的pc机感染公司内部主机,或者防止人为的恶意破坏,窃取公司内部机密。
六、相关知识
锐捷网络的交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全。
交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,它主要有以下几个功能:
•只允许特定mac地址的设备接入到网络中。
从而防止用户将非法或未授权的设备接入网络。
•限制端口接入的设备数量,防止用户将过多的设备接入到网络中。
当一个端口被配置成为一个安全端口(启用了端口安全特性)后,交换机将检查从此端口接收到的帧的源mac地址,并检查再此端口配置的最大安全地址数。
如果安全地址没有超过配置的最大值,交换机会检查安全地址列表,若此帧的源mac地址没有被包含在安全地址表中,那么交换机将自动学习此mac地址,并将它加入到安全地址表中,标记为安全地址,进行后续转发;若此帧的源mac地址已经存在于安全地址表中,那么交换机将直接对帧进行转发。
安全端口的安全地址表既可以通过交换机自动学习,也可以手工配置。
配置安全端口安全存在以下限制。
•一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。
•一个安全端口不能是一个聚合端口(Aggregate Port)。
•一个安全端口不能是SPAN的目的端口。
七、实验步骤
步骤1.画出实验拓扑结构图。
步骤2. 按实验拓扑图1连接设备。
并对三台PC机进行IP设置。
步骤3.交换机更改主机名。
主交换机改名为SwitchA,次交换机改名为SwitchB。
步骤4.验证PC0,PC1与pc2三者之间都能ping通,说明交换机连接的网络是ok的。
步骤5.在SwitchA中对F0/1接口开启交换机端口安全,限制可接入的最大MAC数为1,违例处理为protect。
注意,开启端口安全模式的接口必须为access
SwitchA(config)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport port-security !开启交换机端口安全功能
SwitchA(config-if)#switchport port-security maximum 1 !设置最大安全地址数
SwitchA(config-if)#switchport port-security violation protect !设置违例处置方式为protect
步骤6.查看安全模式是否配置成功
步骤7. 配置完成后,再从PC0 ping pc2 ,是不通的,因为switchA的fa0/1接口上,实际上接了2台pc机,超过了端口可接的最大地址数。
PC0>ping 192.168.10.3
Pinging 192.168.10.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.10.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
【注意】:此时虽然PC0与pc2无法ping通,但是由于违例处理为protect,SwitchA与SwitchB之间的线路还是连通的,可以观察到线缆两端是绿色的点。
步骤8. 将Switch A 与SwitchB之间的连线切换到SwitchA 的F0/2接口。
步骤9 .再F0/2接口上配置端口安全模式,最大MAC数为1,违例处理为shutdown。
SwitchA(config)#interface fastEthernet 0/2
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport port-security
SwitchA(config-if)#switchport port-security maximum 1
SwitchA(config-if)#switchport port-security violation shutdown
步骤10. 查看安全配置是否成功
步骤11.在PC0上分别ping PC1与PC2
PC0>ping 192.168.10.3
Pinging 192.168.10.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.10.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
【注意】:由于此时的违例处理方式是shutdown的,可以观察SwitchA与SwitchB之前的线缆两端变成红点了,表示此条链路down掉了。
步骤12. 按实验拓扑图2连接设备。
并对三台PC机进行IP设置。
步骤13. 通过ipconfig /all命令查看PC0与PC1的MAC地址。
步骤14. 在交换机上开启端口安全模式,绑定PC1的MAC地址。
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address0004.9AD8.9503 !绑定PC1的MAC 地址
步骤15. 查看MAC地址有没有绑定正确。
步骤16.验证PC0与PC2已连通。
步骤17.将PC0与交换机的链路断开,将PC1接入交换机的F0/1接口,这时在F0/1接口上的pc机MAC地址改变了。
步骤18. 测试,在 PC1上ping PC2 ,ping不通,并且交换机与PC2之间的链路会down掉。
八、补充说明
1.如果想要修改maximum的大小,直接修改是不能成功的,必须先关闭交换机端口安全模式,再重新开启,再配置。
2.Mac地址得到的方法有多种,本例中可以在pc机的命令模式下,输入ipconfig得到,也可以在cisco软件中的pc机属性设置config—fastethernet里得到。
3.配置了绑定mac地址之后,一定要show一下,看一下mac地址的Type。
如果mac地址的类型显示的是DynamicConfigured即动态时,mac地址并未绑定成功,需要重新绑定。
如果类型是SecureConfigured 是,才表示已经绑定成功了。
九、思考题
1.在图1中,主交换机的F0/1口shutdown了之后,是不是影响pc0和pc1的通信呢?
2.在图1中,pc1并未ping pc2,主交换机是如何知道工作组计算机的个数已经超过了maximum呢?
3.在图1中,是工作组刚刚接上了两台主机时,主交换机就已经知道工作组计算机数超过了maximum,链路就不通了,还是工作组pc机ping pc2机时,链路才不通的?。