实验名称
交换机的端口安全配置
实验目的
掌握交换机的端口安全功能,控制用户的安全接入
实验拓扑
实验原理
- 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
- 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
- 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可
以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 - 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:
- protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全
地址中的任何一个)的包。 - restrict 当违例产生时,将发送一个Trap通知。
- shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
- 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来
将接口从错误状态中恢复过来
- protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全