交换机端口安全配置(共8页).doc

《交换机端口安全配置(共8页).doc》由会员分享，可在线阅读，更多相关《交换机端口安全配置(共8页).doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上2.10 交换机端口安全配置1预备知识：网络安全涉及到方方面面，从交换机来说，首选需要保证交换机端口的安全。在不少公司或网络中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到网络中，类似的情况都会给企业的网络安全带来不利的影响。交换机的端口安全特性可以让我们配置交换机端口，使得当网络上具有非法MAC地址的设备接入时，交换机会自动关闭或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置，使非法接入的设备挡在网络最低层，不会影响网络带宽。交换机的端口安全能从限制接入端口的最大连接数

2、和接入MAC地址来达到安全配置。一、 实训目的1、 了解交换机端口安全的作用。2、 能读懂交换机MAC地址表。3、 掌握配置交换机端口安全的方法。二、 应用环境某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况，一些个人电脑中毒后在局域网内发送病毒，影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。三、 实训要求1. 设备要求：1) 两台2950-24二层交换机、四台PC机。2) 一条交叉双绞线、四条直通双绞线。2. 实训拓

3、扑图3. 配置要求：1）PC机配置要求：设备IP地址/子网掩码接口连接PC119216811/24见实训拓扑图PC219216812/24PC319216813/24PC419216814/242）交换机配置要求：在交换机S1上的F0/24上启用端口安全、限制最大连接MAC地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。4. 实训效果：PC1、PC2、PC3之间能互联互通，P1、PC2机PING PC4不通，PC3与PC4互通。四、 实训步骤1、 添加设备并连接部分网络。2、 进入F0/24启用端口安全配置。3、 设置端口最大连接MAC数限制。4、 设置违例处理方式。5、

4、 测试效果。五、 详细步骤1、 按要求添加二台2950-24二层交换机和四台PC机。2、 按实训配置要求设置四台PC机的IP地址信息。3、 按如下拓扑图连接设备，如下图所示。4、 进入交换机S1的命令行配置窗口，在特权用户配置模式下使用show mac-address-table命令查看交换机MAC地址表。Switch#show mac-address-table /显示交换机MAC地址表PC2 MAC地址 Mac Address Table-Vlan Mac Address Type Ports- - - - 1 0005.5e50.9967 DYNAMIC Fa0/2PC1 MAC地址 1

5、 00d0.ba3d.d800 DYNAMIC Fa0/1Switch#注：查看PC机的MAC地址可通过点击PC机后选择“配置-FastEthernet-MAC地址”查看，如下图为PC1的MAC地址。5、 使用交叉双绞线连接S1和S2的F0/24接口，如下图所示。6、 在S1上再次查看交换机的MAC地址表，此时F0/24已学习到F0/24上连接的S2交换机的MAC地址。Switch#show mac-address-table /显示交换机MAC地址表 Mac Address Table-Vlan Mac Address Type Ports- - - -交换机S2的MAC地址表 1 0005

6、.5e50.9967 DYNAMIC Fa0/2 1 00d0.58ec.9a18 DYNAMIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1Switch#7、 使用直通双绞线连接PC3到交换机S2上的F0/1接口。8、 在交换机上S1上再次查看MAC地址表，交换机已学习到PC3的MAC地址。Switch#show mac-address-table /显示交换机MAC地址表 Mac Address Table-Vlan Mac Address Type Ports- - - -PC3 MAC地址 1 0005.5e50.9967 DYNAMIC Fa0/2 1

7、 00d0.58ec.9a18 DYNAMIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 1 00d0.bccb.1725 DYNAMIC Fa0/24Switch#8、进入交换机S1，更改名称并进入F0/24口，启用该接口的安全配置并最大连接MAC地址数为2，发生违例后丢弃数据包信息。Switchen/进入特权用户配置模式Switch#conf t/进入全局配置模式Switch(config)#hostname S1/更改交换机名称S1(config)#int f0/24/进入F0/24接口配置模式S1(config-if)#switchport mode

8、access /设置接口模式为accessS1(config-if)#switchport port-security/启用端口安全配置S1(config-if)#switchport port-security maximum 2/设置端口最大MAC连接数为2S1(config-if)#switchport port-security violation protect/设置端口违例处理方式为protect S1(config-if)#/*违例处理方式有protect、restrict、shutdown三种*/9、再次在交换机S1上查看地址表，发现没有PC4的MAC地址，端口限制已起作用。S

9、1#show mac-address-table /显示交换机MAC地址表 Mac Address Table-Vlan Mac Address Type Ports- - - - 1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 1 00d0.bccb.1725 STATIC Fa0/24S1#10、使用PING命令测试各PC间的连通性，结果如下表所示。PC1PC2PC3PC4PC1-通通不通PC2通不通通不通PC3通通-不通PC4不通不通通-11、可在交换

10、机S1上使用“show port-security address”命令查看安全地址。S1#show port-security address /显示端口安全地址Secure Mac Address Table-VlanMac AddressTypePortsRemaining Age(mins)-100D0.58EC.9A18DynamicConfiguredFastEthernet0/24-100D0.BCCB.1725DynamicConfiguredFastEthernet0/24-Total Addresses in System (excluding one mac per po

11、rt) : 1Max Addresses limit in System (excluding one mac per port) : 102412、在交换机S1上使用“show port-security interface f0/24”命令查看F0/24端口安全配置信息。S1#show port-security interface f0/24/查看F0/24端口安全配置信息Port Security : EnabledPort Status : Secure-upViolation Mode : ProtectAging Time : 0 minsAging Type : Absolut

12、eSecureStatic Address Aging : DisabledMaximum MAC Addresses : 2Total MAC Addresses : 2Configured MAC Addresses : 0Sticky MAC Addresses : 0Last Source Address:Vlan : 00D0.58EC.9A18:1Security Violation Count : 0S1#13、在步骤9中，由于交换机S1里的F0/24接口的MAC地址是动态生成的（哪台PC机的信息先通过F0/24就先绑定哪台PC机的MAC），如果交换机重启了，而交换机S2中又已经

13、连接了PC3、PC4，可能会出现PC4能与PC1、PC2通信而PC3不能通信的情况。S1#show mac-address-table /显示交换机MAC地址表 Mac Address Table-PC4的MAC地址Vlan Mac Address Type Ports- - - - 1 0001.9670.b365 STATIC Fa0/24 1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1S1#14、为此，我们可以使用静态MAC地址表的方法，限制S1的F0

14、/24接口只能有二个MAC地址通过，一个为交换机，另一个为PC3,如下所示。S1#conf t/进入全局配置模式S1(config)#int f0/24/进入F0/24接口S1(config-if)#shutdown/关闭接口S1(config-if)#no switchport port-security mac-address 0001.9670.b365/删除“0001.9670.b365”MAC安全地址S1(config-if)#switchport port-security mac-address 00D0.BCCB.1725/配置只有该“00D0.BCCB.1725”MAC地址的

15、设备才能连接，同时该MAC地址的设备在S1交换机上也只能接入到该接口才能连接通信。S1(config-if)# Z/退出到特权用户配置模式S1#write/保存交换机配置15、再次查看MAC地址表，如下所示。S1#show mac-address-table/显示交换机MAC地址表 Mac Address Table-Vlan Mac Address Type Ports- - - -PC3的MAC地址 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.bccb.1725 STATIC Fa0/24S1#六、 相关命令1命令show mac-address-table

16、 dynamic|interfaces|static功能显示交换机MAC地址表参数无参数显示整个交换机的MAC地址表；参数dynamic显示动态的MAC地址表；参数interfaces显示接口MAC地址表；参数static显示静态的MAC地址表。命令模式特权用户配置模式实例显示动态的交换机地址表：Switch#show mac-address-table dynamic2命令switchport port-security mac-address|maximum|violation功能配置交换机接口的安全配置参数无参数开启交换机接口的安全配置；参数mac-address在该接口绑定MAC地址；

17、参数maximum在该接口绑定最大连接数；参数violation在该接口产生违例时的处理方式。命令模式接口配置模式实例配置接口的最大连接数为8:Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 83命令show port-security address| interface功能显示端口安全信息参数无参数显示所有端口安全信息；参数address显示安全地址；参数interface显示指定接口的安全地址信息。命令模式特权用户配置模式实例显示F0/1接口的安全地址

18、信息：Switch#show port-security int f0/1七、 相关知识1、 端口安全违例处理方式有protect、restrict、shutdown三种:Protect方式：当新的计算机接入时，如果该接口的MAC数超过最大数量，则这个新的计算机无法接入，而原有的计算机不受影响。Shutdown方式：当新的计算机接入时，如果该接口的MAC数超过最大数量，则该接口将会被关闭，新的计算机和原有的计算机都无法接入网络，需要使用“no shutdown”重新打开该接口。Restrict：当新的计算机接入时，如果该接口的MAC数超过最大数量，则这个新的计算机可以接入，但交换机将发送警告信

19、息。八、 注意事项1、交换机端口最大连接数指的是该端口下连接最大MAC地址数，如某接口设置最大连接数为2，该接口下连接一台交换机，由于交换机是具有MAC地址的设备，所以最多只能接一台具有MAC地址的终端，如计算机。2、使用端口安全配置时需要在接口下使用“switchport port-security”先开启端口安全配置。3、“switchport port-security maximum X制的最大连接MAC地址数是动态的，也就是说，最早接入的X台计算机数不受限制，X+1台会受到限制，但这X台计算机并不保证每次交换机重启后都是同一批计算机。3、配置交换机端口安全时该接口模式不能为“dynamic”（动态端口），否则不能启用端口安全。九、练习配置交换机SWITCH0的F0/24接口最大连接数为3，如超过最大连接数则关闭该接口。要求：F0/24接口下限制为只能连接交换机switch1和PC2、PC3。提示：交换机的MAC地址可在特权模式下使用“show version”查看。专心-专注-专业