一、实验名称:交换机的端口安全
二、实验目的:掌握交换机的端口安全功能,控制用户的安全接入。
三、背景描述:你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的 IP 地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。
四、需求分析:针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。
五、实验原理:交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行 MAC 地址、IP 地址的绑定。限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的 ARP 欺骗。交换机端口的地址绑定,可以针对 IP 地址、MAC 地址、IP+MAC 进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP 欺骗、IP、MAC 地址欺骗,IP 地址攻击等。
配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有 3种:
1、 protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
2、 restrict 当违例产生时,将发送一个 Trap 通知。
3、 shutdown 当违例产生时,将关闭端口并发送一个 Trap 通知。
4、 当端口因为违例而被关闭后,在全局配置模式下使用命令 errdisable recovery 来将接口从错误状态中恢复过来。
六、实验步骤:
1、设置连接数限制
(最大连接数设为1)
2、查看端口连接数
3、查看端口1
4.设置端口3MAC地址和IP地址
命令:
conf t
int fa 0/3
sw port-security
sw port-security mac-address mac地址,为xxxx.xxxx.xxxx
ip-address ip地址,为xxx.xxx.xxx.xxx
5.查看
命令:sh port-security address all
6.配置端口2 IP地址
int fa 0/2
sw port-security ip-address 你要连接的ip地址,为xxx.xxx.xxx.xxx
