Cisco PT模拟实验(7) 交换机的端口安全配置

Cisco PT模拟实验(7) 交换机的端口安全配置

实验目的： 

           掌握交换机的端口安全功能，控制用户的安全接入

实验背景：

           公司网络采用我的固定IP上网方案，为了防止公司内部用户IP地址借用、冒用，私自接入交换机等违规行为，同时防止公同内部的网络***和破坏行为，公司要求对网络进行严格的控制，为此须要在交换机作适当配置。

技术原理：

• 端口安全：可根据MAC地址来对网络流量的控制和管理，好比MAC地址与具体的端口绑定，限制具体端口经过的MAC地址的数量，或者在具体的端口不容许某些MAC地址的帧流量经过。稍微引伸下端口安全，就是能够根据802.1X来控制网络的访问流量。

• Cisco交换机端口默认处于可取模式(指当检测到其余交换机链接时，端口倾向于中继链接)，所以要保证交换机端口安全功能的正常工做，必须先将端口模式修改成接入端口或中继端口(3层交换机上须指定封装类型)。

• 安全地址表项配置：交换机内有mac-address-table表，表示端口与MAC地址的对应关系，当设备接入时，交换机可学习到设备的MAC地址，并加入该表中。

  • 动态MAC地址：交换机主动学习MAC地址，当端口状态改变时，将从新学习并更新MAC地址表

  • 静态MAC地址：人为将”端口与MAC地址“进行绑定，并加入表中，该端口再也不主动学习

  • 粘性MAC地址：首次主动学习MAC地址并绑定，当端口状态再次改变时，该端口再也不主动学习

• 当端口接收到未经容许的MAC地址流量时，交换机会执行如下违规动做：

  • 保护(Protect)：丢弃未容许的MAC地址流量，但不会建立日志消息。

  • 限制(Restrict)：丢弃未容许的MAC地址流量，建立日志消息并发送SNMP Trap消息

  • 关闭(Shutdown)：默认选项，将端口置于err-disabled状态，建立日志消息并发送SNMP Trap消息。若要从新开启该端口，须要"先关闭再打开"端口或使用errdisable recovery命令。后者在模拟器上没法使用。

实验设备：Switch_2960 2台；PC 4台；直通线；交叉线。

实验拓扑：

实验步骤：

        开启交换机的端口安全功能

        配置交换机的最大链接数限制

        查看主机的IP和MAC地址信息

        配置交换机的地址绑定

        查看交换机上端口安全配置

        注意：模拟器上，没法在3层交换机上使用show port-security命令

PC设置
192.168.1.2        //PC0
192.168.1.3        //PC1
192.168.1.4        //PC2
192.168.1.5        //PC3
//子网掩码和网关
255.255.255.0
192.168.1.1

PC(命令提示符CMD下)
ipconfig        //分别查看4台PC的MAC地址

Switch0配置
Switch>en
Switch#conf t
Switch(config)#inter rang f0/1-22
Switch(config-if-range)#switchport mode access        //配置端口为接入类型
Switch(config-if-range)#switchport port-security      //开启端口安全功能
//设置端口最大链接数为1，即启用动态MAC安全地址
Switch(config-if-range)#switchport port-security maximum 1
//若发现违规动做，处理方式为关闭端口
Switch(config-if-range)#switchport port-security violation shutdown 
Switch(config-if-range)#end
Switch#show port-security             //查看端口安全配置

Switch1配置
Switch>en
Switch#conf t
Switch(config)#inter rang f0/1-2
//启用粘性MAC地址，自动绑定接入的MAC地址
Switch(config-if-range)#switchport port-security sticky
//ping测试，结果链路均通
//而后互换PC2和PC3在交换机上的端口，ping测试，结果链路均不通
Switch(config-if-range)#end
Switch#show mac-address-table     //查看端口MAC地址绑定配置
Switch#clear port-security sticky       //清除全部已绑定的粘性MAC地址

---

实验环境： Windows 7 ，Cisco PT 7.0

参考资料：CCNA学习指南（第7版）