一、實驗名稱:交換機的端口安全
二、實驗目的:掌握交換機的端口安全功能,控制用戶的安全接入。
三、背景描述:你是一個公司的網絡管理員,公司要求對網絡進行嚴格控制。爲了防止公司內部用戶的IP 地址衝突,防止公司內部的網絡***和破壞行爲。爲每一位員工分配了固定的 IP 地址,並且限制只允許公司員工主機可以使用網絡,不得隨意連接其他主機。
四、需求分析:針對交換機的所有端口,配置最大連接數爲1,針對PC1主機的接口進行IP+MAC地址綁定。
五、實驗原理:交換機端口安全功能,是指針對交換機的端口進行安全屬性的配置,從而控制用戶的安全接入。交換機端口安全主要有兩種類項:一是限制交換機端口的最大連接數,二是針對交換機端口進行 MAC 地址、IP 地址的綁定。限制交換機端口的最大連接數可以控制交換機端口下連的主機數,並防止用戶進行惡意的 ARP 欺騙。交換機端口的地址綁定,可以針對 IP 地址、MAC 地址、IP+MAC 進行靈活的綁定。可以實現對用戶進行嚴格的控制。保證用戶的安全接入和防止常見的內網的網絡***。如ARP 欺騙、IP、MAC 地址欺騙,IP 地址***等。
配置了交換機的端口安全功能後,當實際應用超出配置的要求,將產生一個安全違例,產生安全違例的處理方式有 3種:
1、 protect 當安全地址個數滿後,安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包。
2、 restrict 當違例產生時,將發送一個 Trap 通知。
3、 shutdown 當違例產生時,將關閉端口併發送一個 Trap 通知。
4、 當端口因爲違例而被關閉後,在全局配置模式下使用命令 errdisable recovery 來將接口從錯誤狀態中恢復過來。
六、實驗步驟:
1、設置連接數限制
(最大連接數設爲1)
2、查看端口連接數
3、查看端口1
4.設置端口3MAC地址和IP地址
命令:
conf t
int fa 0/3
sw port-security
sw port-security mac-address mac地址,爲xxxx.xxxx.xxxx
ip-address ip地址,爲xxx.xxx.xxx.xxx
5.查看
命令:sh port-security address all
6.配置端口2 IP地址
int fa 0/2
sw port-security ip-address 你要連接的ip地址,爲xxx.xxx.xxx.xxx