原标题:交换机端口安全的认识理解与特性,MAC绑定与限制等
大家好,今天我们来学习交流一下交换机端口安全的认识理解与特性,MAC绑定与限制等。
通过本文实验,主要了解为以下几点
1、理解交换机的 MAC 表;
2、理解交换机的端口安全;
3、配置交换机的端口安全特性。
实验参考配置命令
交换机端口安全特性,可以让配置交换机端口,使得非法的MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的 MAC 地址数。这里限制 f0/1 接口只允许R1 接入。如图所示:
(1) 步骤1:检查R1 的g0/0 接口的MAC 地址
R1(config)#int g0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.0.101 255.255.0.0
R1#show int g0/0
GigabitEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0019.5535.b828 (bia 0019.5535.b828)
//这里可以看到g0/0 接口的MAC 地址,记下它
Internet address is 172.16.0.101/16
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
(此处省略)
(2) 步骤2:配置交换机端口安全
S1(config)#int f0/1
S1(config-if)#shutdown
S1(config-if)#switch mode access
//以上命令把端口改为访问模式,即用来接入计算机,在下一章详细介绍该命令的含义。
S1(config-if)#switch port-securitiy
//以上命令是打开交换机的端口安全功能。
S1(config-if)#switch port-securitiy maximum 1
//以上命令只允许该端口下的MAC 条目最大数量为1,即只允许一个设备接入
S1(config-if)#switch port-securitiy violation { protect | shutdown | restrict }
protect:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响。
shutdown:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用"no shutdown"命令重新打开。
restrict:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。
S1(config-if)#switchport port-security mac-address 0019.5535.b828
//允许R1 路由器从f0/1 接口接入
S1(config-if)#no shutdown
S1(config)#int vlan1
S1(config-if)#no shutdown
S1(config-if)#ip address 172.16.0.1 255.255.0.0
//以上配置交换机的管理地址
(3) 步骤3:检查MAC 地址表
S1#show mac-address-table
Mac Address Table
-------------------------------------------
(此处省略)
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
1 0018.ba11.eb91 DYNAMIC Fa0/15
1 0019.5535.b828 STATIC Fa0/1
Total Mac Addresses for this criterion: 24
//R1 的MAC 已经被登记在f0/1 接口,并且表明是静态加入的
(4) 步骤4:模拟非法接入
这时从R1 ping 交换机的管理地址,可以ping 通,如下:
R1#ping 172.16.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
在R1 上修改g0/0 的MAC 地址为另一个地址, 模拟是另外一台设备接入。 如下:
R1(config)#int g0/0
R1(config-if)#mac-address 12.12.12
几秒钟后,则在S1 上,出现:
01:09:39: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting
Fa0/1 inerr-disable state
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272 //以上可以查看端口安全的设置情况。
实验环境
1、Cisco3560 交换机 2台;
2、计算机2 台;
3、Console 电缆 1 条、直通线 3条。
实验拓扑
实验内容
1、设置置交换机端口安全特性,限制交换机Switch A的Fa0/1接口只允许最多2个MAC地址PC机接入,违约模式:shutdown。
2、设置置交换机端口安全特性,限制交换机Switch A的Fa0/2接口只允许最多2个MAC地址PC机接入,违约模式:Protect。
3、设置置交换机端口安全特性,限制交换机Switch A的Fa0/3接口只允许最多2个MAC地址PC机接入,违约模式:Restrcit。
4、将Switch B分别接入以上三个接口进行测试,比较测试结果有何不同。
5、 在端口Fa0/1上手工绑定PC2的MAC地址, Fa0/2和Fa0/3上自动绑定PC2的MAC
地址。
6、将Switch B分别接入以上三个接口进行测试,比较测试结果有何不同。
以上为本文全部内容,如有学习需要可使用Cisco Packet Tracer或者其它模拟软件进行模拟实验。有问题也可留言提问。感谢大家的观看