实验19 交换机端口安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验十九交换机端口安全
一、实验目的和要求
•了解交换机端口安全的基本知识
•掌握如何配置交换机端口连接的最大安全地址数
•掌握如何配置交换机端口绑定指定的mac地址
二、实验设备
模拟软件:Cisco PacketTracer53_setup_no_tutorials
设备:交换机两台,PC机若干,直连线,交叉线若干。
三、实验内容
1.在交换机上配置端口安全,以及违例的处理方式。
2.两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum,验证端口mac地址数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。
3.在主交换机上配置绑定固定的mac地址,验证当更换工作组PC机时,链路不通,以指定的违例处理方式处理。
四、实验拓扑
图1交换机端口连接最大安全地址数(交换机)
图2交换机端口连接最大安全地址数(集线器)
图3交换机端口绑定指定mac地址
五、背景描述
一是未经授权的用户主机随意连接到企业的网络中。
某公司员工从自己家里拿来一台电脑,可以在不经管理员同意的情况下,拔下某台主机的网线,插在自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。
二是未经批准采用集线器等设备。
公司一些员工为了增加网络终端的数量,会在未经授权的情况下,将集线器、交换机等设备插入到办公室的网络接口上。如此的话,会导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。在企业网络日常管理中,这也是经常遇到的一种危险的行为。
六、相关知识
锐捷网络的交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,它主要有以下几个功能:
•只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。
•限制端口接入的设备数量,防止用户将过多的设备接入到网络中。
当一个端口被配置成为一个安全端口(启用了端口安全特性)后,交换机将检查从此端口接收到的帧
的源mac地址,并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值,交换机会检查安全地址列表,若此帧的源mac地址没有被包含在安全地址表中,那么交换机将自动学习此mac地址,并将它加入到安全地址表中,标记为安全地址,进行后续转发;若此帧的源mac地址已经存在于安全地址表中,那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习,也可以手工配置。
配置安全端口安全存在以下限制。
•一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。
•一个安全端口不能是一个聚合端口(Aggregate Port)。
•一个安全端口不能是SPAN的目的端口。
七、实验步骤
【第一部分】:交换机端口连接最大安全地址数
步骤1.画出实验拓扑结构图。
步骤2.按实验拓扑图1连接设备。并对三台PC机进行IP设置。
步骤3.交换机更改主机名。
主交换机改名为SwitchA,次交换机改名为SwitchB。
步骤4.验证PC0,PC1与PC2三者之间都能ping通,说明交换机连接的网络是ok的。
步骤5.在SwitchA中对F0/1接口开启交换机端口安全,限制可接入的最大MAC数为1,违例处理为protect。注意,开启端口安全模式的接口必须为access
SwitchA(config)#interface fastEthernet0/1
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport port-security!开启交换机端口安全功能
SwitchA(config-if)#switchport port-security maximum1!设置最大安全地址数
SwitchA(config-if)#switchport port-security violation protect!设置违例处置方式为protect
步骤6.查看安全模式是否配置成功
步骤7.配置完成后,再从PC0ping PC2,发现是不通的,因为switchA的fa0/1接口上,接了一台交换机(即次交换机),交换机的接口是有mac地址的,从图上蓝色标记我们可以看到,Total MAC Addresses 一开始就已经为1,这个1就是指的交换机端口的mac地址,此时,主交换机已经从f0/1口“得知”接入的设备,并改写了这一选项。当我们从PC0PING PC2时,主交换机又从f0/1口学习到了PC0的mac地址,因此F0/1端口的MAC地址数超过了端口可接的最大地址数1,自然就ping不通了。
PC0>ping192.168.10.3
Pinging192.168.10.3with32bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for192.168.10.3:
Packets:Sent=4,Received=0,Lost=4(100%loss)
【分析】这里我们可以进行抓包,实现查看主交换机上查看到设备接入的全过程: