配置交换机端口安全实验

实验名称
交换机的端口安全配置

实验目的
掌握交换机的端口安全功能,控制用户的安全接入

实验拓扑
在这里插入图片描述
实验原理

  • 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
  • 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
  • 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可
    以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。
  • 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:
    • protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全
      地址中的任何一个)的包。
    • restrict 当违例产生时,将发送一个Trap通知。
    • shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
    • 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来
      将接口从错误状态中恢复过来

实验步骤

首先给三台PC机配上IP地址和掩码
这里用192.168.0.0/24的网段

二层交换机Switch0

Switch(config)#int f0/1
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport port-security       //开启端口安全,默认是关闭的
Switch(config-if)#switchport port-security maximum 1      //指定最大连接数为 1,默认 128
Switch(config-if)#switchport port-security violation shutdown       //指定违例后端口关闭

实验验证
PC2 ping PC0或PC1的的其中一台是可以 ping 通的,若PC2 ping 过PC0之后再 ping PC1就会发现集线器连接交换机的端口已经down掉了
或者集线器下任意一台PC机 ping 向交换机之后,另一台PC机再 ping 交换机也是会down掉。如图所示
在这里插入图片描述
连接交换机的端口down掉之后PC0和PC1是可以互相 ping 通的,但是两台都不能ping向交换机

注意事项
违例后有三种选项,第一种 restrict 为丢包,不转发该数据包、第二种 protect 为丢包,并返回信息告知、第三种 shutdown 为关闭该端口,可在全局模式下使用 errdisable recovery 命令将其恢复为 UP 状态(模拟器恢复不了)

  • 8
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值