实验目的:
掌握交换机端口安全的基本配置
实验步骤:
1. 配置S1的G0/0/1口的端口安全
2. 使用PC1、PC2访问PC4,查看S1的mac地址表
3. 在S2设备上接入一台非法设备,尝试访问PC4
4. 配置S1的G0/0/2口为安全静态mac
5. 配置S1的G0/0/3口为sticky mac
-
基本原理:端口安全通过记录连接到交换机端口的MAC地址,并只允许特定的MAC地址通过本端口通信来实现安全控制。当其他MAC地址尝试通过该端口时,会被阻止,从而防止非法设备的接入和数据包的传输。
-
主要功能:端口安全能够限制特定端口上可以学习和接受的MAC地址数量,超过这个数量后,新的MAC地址将无法通过该端口进行通信。当检测到非法MAC地址或未授权的设备试图通过端口时,端口安全机制会采取一系列保护措施,如丢弃非法报文、发送警告消息等。
-
应用场景:端口安全技术广泛应用于各种需要严格网络安全控制的场合,如企业网络、数据中心、教育机构等。在无线网络环境中,端口安全同样发挥着重要作用,通过与802.1X认证、MAC地址过滤等技术结合,确保无线网络的安全性。
-
配置方式:管理员可以通过静态绑定的方式,手动指定允许通过特定端口的MAC地址,这种方式适用于固定不变的网络环境。对于动态变化的网络环境,可以采用动态学习的方式,让交换机自动学习并记录通过端口的MAC地址。
-
违规动作:当端口接收到未经允许的MAC地址流量时,交换机会根据预先设置的策略执行相应的违规动作,如关闭端口、发送警告消息等。
-
安全优势:端口安全能够有效防止未经授权的设备接入网络,减少潜在的安全风险。通过对端口上的MAC地址进行严格控制,可以有效防止MAC地址泛洪攻击,保护网络的稳定性和可用性。
-
安全挑战:随着网络环境的不断变化和发展,端口安全策略可能需要不断调整和优化,以应对新的安全威胁和挑战。虽然端口安全能够提供一定程度的安全保障,但仍需与其他安全技术和管理措施相结合,形成多层次、全方位的安全防护体系。
1. 配置S1的G0/0/1口的端口安全
[s1]int g0/0/1
[s1-GigabitEthernet0/0/1]port-security enable
[s1-GigabitEthernet0/0/1]port-security max-mac-num 2
[s1-GigabitEthernet0/0/1]port-security protect-action restrict
[s1-GigabitEthernet0/0/1]q
2. 使用PC1、PC2访问PC4,查看S1的mac地址表
[s1]display mac-address security vlan 1
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9803-6228 1 - - GE0/0/1 security -
5489-982b-2f53 1 - - GE0/0/1 security -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2
. 在S2设备上接入一台非法设备,尝试访问PC4
[S2]mac-address blackhole 5489-981E-27D7 vlan 1
配置S1的G0/0/2口为安全静态mac
[s1]int g0/0/2
[s1-GigabitEthernet0/0/2]port-security enable
[s1-GigabitEthernet0/0/2]port-security max-mac-num 1
[s1-GigabitEthernet0/0/2]port-security mac-address sticky
[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1
[s1-GigabitEthernet0/0/2]q
5. 配置S1的G0/0/3口为sticky mac
[s1]int g0/0/3
[s1-GigabitEthernet0/0/3]port-security enable
[s1-GigabitEthernet0/0/3]port-security max-mac-num 1
[s1-GigabitEthernet0/0/3]port-security mac-address sticky
[s1-GigabitEthernet0/0/3]q
总结:端口安全是网络安全中的一个重要组成部分,它通过限制和控制网络设备上的端口访问来提高网络的安全性。然而,随着网络环境的不断变化和发展,端口安全策略也需要不断调整和优化以应对新的安全威胁和挑战。