交换机和路由器的网络安全命令有哪些 交换机网络安全配置

1、交换机端口安全

【实验目的】

了解交换机端口安全的基本知识，并掌握如何配置交换机端口连接的最大安全地址数以及如何配置交换机端口 绑定指定的 mac 地址

【实验目标】

在交换机上配置端口安全以及违例的处理方式。 在交换机上配置绑定固定的 mac 地址。

【实验步骤】

（1）连接拓扑，配置ip（略）

（2）交换机更改主机名、验证连通性

交换机连接的网络是通畅的

（3）在 SwitchA 中对 F0/1 接口开启交换机端口安全，限制可接入的最大 MAC 数为 1，违例处理为 protect。注意，开启端口安全模式的接口类型必须为 access。

SwitchA(config)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport port-security //开启交换机端口安全功能
SwitchA(config-if)#switchport port-security maximum 1 //设置最大安全地址数
SwitchA(config-if)#switchport port-security violation protect //设置违例处置方式为 protect

查看安全模式是否配置成功

SwitchA#show port-security interface f0/1

配置完成后，再从 PC0 ping PC2

发现是不通的。

因为我们在交换机中配置了total MAC Address 为1，交换机的端口也是有MAC地址的，因此SwitchA只获取了f0/1的MAC地址，获取不到PC-0的MAC地址

（4）交换机端口绑定 MAC 地址。

修改拓扑，重新配置IP

使用 ipconfig /all 查看MAC地址

Name	MAC	IP	子网掩码
PC-3	0005.5E44.B504	192.168.10.1	255.255.255.0
PC-4	0001.C982.22B1	192.168.10.1	255.255.255.0
PC-5	0000.0C72.85D5	192.168.10.2	255.255.255.0

（5）在交换机上开启端口安全模式，绑定 PC3 的 MAC 地址（以在上一步中查看的实际地址为准）

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown //不合法的 MAC 地址连接该端口，端口就会 s
hutdown
Switch(config-if)#switchport port-security mac-address 0005.5E44.B504 //绑定 PC3 的 MAC 地址

查看 MAC 地址有没有绑定正确

Switch#show port-security address

验证 PC3 与 PC5 已连通。

（6）将 PC3 与交换机的链路断开，将 PC4 接入交换机的 F0/1 接口

这时在F0/1 接口上的 PC 机 MAC 地址改变了，在 PC4 上 ping PC5，ping 不通，并且交换机与 PC4 之间的链路会 down 掉。

2、缺省路由配置

【实验目的】

学习缺省路由的配置，理解缺省路由的工作原理，掌握静态路由和缺省路由的不同。

【实验目标】

配置路由器接口地址
配置缺省路由
测试 PC1 与 PC2 能否互通

【实验步骤】

（1）连接拓扑，配置基本ip

（2）验证 PC1 到 R1 互连接口的通信，PC2 到 R3 互连接口的通信，R1 到 R2互连接口的通信，R2 到 R3 互联接口的通信（此步骤很重要，必须验证）

PC1 到 R1

PC2 到 R3。

R1 到 R2。

R2 到 R1 和 R3。

R3 到 R2。

（3）在 R1、R3 上配置缺省路由，R2 上配置静态路由。

R1 上配置：

R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2 //告诉 R1，如果有 IP 包想达到任意网段，那么请将此 IP 包发给 12.1.1.2。

R3 上配置：

R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2 //告诉 R3，如果有 IP 包想达到任意网段，那么请将此 IP 包发给
23.1.1.2

R2 上配置：

R2(config)#ip route 200.1.1.0 255.255.255.0 12.1.1.1 //告诉 R2，如果有 IP 包想达到网段 200.1.1.0/24，则
将此 IP 包发给 12.1.1.1。
R2(config)#ip route 200.1.2.0 255.255.255.0 23.1.1.3 //告诉 R2，如果有 IP 包想达到网段 200.1.2.0/24，则将
此 IP 包发给 23.1.1.3。

（4）查看两台路由器上的路由信息

（5）PC1 与 PC2 互 ping 测试。

PC1

PC2

3、交换机的 VTP 配置

【实验目的】

学习思科私有协议 VTP 的配置方法，观察 VTP 三种工作模式的通信方式

【实验目标】

配置交换机端口为 trunk。
三台交换机上做 VTP 基础配置。
实现利用 vtp 对多台交换机进行集中配置

【实验步骤】

（1）连接拓扑，完成基本配置

先在三台交换机上做配置，将接口全部配置为 trunk 模式

（2）在三台交换机上做 VTP 基础配置。

需要注意的是，所有需要共享 VLAN 信息的服务器必须使用同样的域名，
而且交换机一次只能在一个域中。因此，这意味着如果它们被配置到同一个 VTP 域中，交换机就只能与其他交换
机共享 VTP 域信息。如果在网络中连接了多台交换机，就可以使用 VTP 域，但如果让所有的交换机都只在一个 V
LAN 中，就不需要使用 VTP 了。

Switch0 上：

Sw0(config)#vtp domain test //配置 VTP 域名为 test
Sw0(config)#vtp mode server //配置 vtp 模式为 server
Sw0(config)#vtp password test //配置 vtp 域的密码为 test

Switch1 上：

Sw1(config)#vtp domain test //配置 VTP 域名为 test
Sw1(config)#vtp mode transparent //配置 vtp 模式为 transparent
Sw1(config)#vtp password test //配置 vtp 域的密码为 test

Switch2 上：

Sw2(config)#vtp domain test //配置 VTP 域名为 test
Sw2(config)#vtp mode client //配置 vtp 模式为 client
Sw2(config)#vtp password test //配置 vtp 域的密码为 test

（3）查看各交换机的VLAN信息

由于在之前的配置中并没有做 VLAN 的创建或删除操作，查看三台设备的 VLAN 信息，可以看到依旧为初始
状态。

（4）分别在三台设备上创建 VLAN 10、VLAN 20 和 VLAN 30。

···

（5）再次查看三台设备的 VLAN 配置信息。

S0增加了VLAN10

S1增加了VLAN20

S2上创建的VLAN30没有创建成功，增加了VLAN10

【实验小结】

综上可以发现，在 switch2 即 client 模式上无法创建 VLAN，但是 switch0 即 server 上创建的 VLAN 可以通告给
switch2，但是在 switch1 即 transparent 上不会学习到 switch0 创建的 VLAN，并且它自身创建的 VLAN 不会通告给
其他设备。