Cisco PT模擬實驗(7) 交換機的端口安全配置

Cisco PT模擬實驗(7) 交換機的端口安全配置

實驗目的： 

           掌握交換機的端口安全功能，控制用戶的安全接入

實驗背景：

           公司網絡採用我的固定IP上網方案，爲了防止公司內部用戶IP地址借用、冒用，私自接入交換機等違規行爲，同時防止公同內部的網絡***和破壞行爲，公司要求對網絡進行嚴格的控制，爲此須要在交換機作適當配置。

技術原理：

• 端口安全：可根據MAC地址來對網絡流量的控制和管理，好比MAC地址與具體的端口綁定，限制具體端口經過的MAC地址的數量，或者在具體的端口不容許某些MAC地址的幀流量經過。稍微引伸下端口安全，就是能夠根據802.1X來控制網絡的訪問流量。

• Cisco交換機端口默認處於可取模式(指當檢測到其餘交換機鏈接時，端口傾向於中繼鏈接)，所以要保證交換機端口安全功能的正常工做，必須先將端口模式修改成接入端口或中繼端口(3層交換機上須指定封裝類型)。

• 安全地址表項配置：交換機內有mac-address-table表，表示端口與MAC地址的對應關係，當設備接入時，交換機可學習到設備的MAC地址，並加入該表中。

  • 動態MAC地址：交換機主動學習MAC地址，當端口狀態改變時，將從新學習並更新MAC地址表

  • 靜態MAC地址：人爲將」端口與MAC地址「進行綁定，並加入表中，該端口再也不主動學習

  • 粘性MAC地址：首次主動學習MAC地址並綁定，當端口狀態再次改變時，該端口再也不主動學習

• 當端口接收到未經容許的MAC地址流量時，交換機會執行如下違規動做：

  • 保護(Protect)：丟棄未容許的MAC地址流量，但不會建立日誌消息。

  • 限制(Restrict)：丟棄未容許的MAC地址流量，建立日誌消息併發送SNMP Trap消息

  • 關閉(Shutdown)：默認選項，將端口置於err-disabled狀態，建立日誌消息併發送SNMP Trap消息。若要從新開啓該端口，須要"先關閉再打開"端口或使用errdisable recovery命令。後者在模擬器上沒法使用。

實驗設備：Switch_2960 2臺；PC 4臺；直通線；交叉線。

實驗拓撲：

實驗步驟：

        開啓交換機的端口安全功能

        配置交換機的最大鏈接數限制

        查看主機的IP和MAC地址信息

        配置交換機的地址綁定

        查看交換機上端口安全配置

        注意：模擬器上，沒法在3層交換機上使用show port-security命令

PC設置
192.168.1.2        //PC0
192.168.1.3        //PC1
192.168.1.4        //PC2
192.168.1.5        //PC3
//子網掩碼和網關
255.255.255.0
192.168.1.1

PC(命令提示符CMD下)
ipconfig        //分別查看4臺PC的MAC地址

Switch0配置
Switch>en
Switch#conf t
Switch(config)#inter rang f0/1-22
Switch(config-if-range)#switchport mode access        //配置端口爲接入類型
Switch(config-if-range)#switchport port-security      //開啓端口安全功能
//設置端口最大鏈接數爲1，即啓用動態MAC安全地址
Switch(config-if-range)#switchport port-security maximum 1
//若發現違規動做，處理方式爲關閉端口
Switch(config-if-range)#switchport port-security violation shutdown 
Switch(config-if-range)#end
Switch#show port-security             //查看端口安全配置

Switch1配置
Switch>en
Switch#conf t
Switch(config)#inter rang f0/1-2
//啓用粘性MAC地址，自動綁定接入的MAC地址
Switch(config-if-range)#switchport port-security sticky
//ping測試，結果鏈路均通
//而後互換PC2和PC3在交換機上的端口，ping測試，結果鏈路均不通
Switch(config-if-range)#end
Switch#show mac-address-table     //查看端口MAC地址綁定配置
Switch#clear port-security sticky       //清除全部已綁定的粘性MAC地址

---

實驗環境： Windows 7 ，Cisco PT 7.0

參考資料：CCNA學習指南（第7版）