实验目的: 掌握交换机的端口安全功能,控制用户的安全接入
实验背景: 公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用、冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,公司要求对网络进行严格的控制,为此需要在交换机做适当配置
安全技术实现方式:
1:Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定
2:Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定
技术原理:
1: 端口安全:可根据MAC地址来对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量
2:Cisco交换机端口默认处于可取模式(指当检测到其他交换机连接时,端口倾向于中继连接),因此要保证交换机端口安全功能的正常工作,必须先将端口模式修改为接入端口或中继端口(3层交换机上须指定封装类型)
3:安全地址表项配置:交换机内有mac-address-table表,表示端口与MAC地址的对应关系,当设备接入时,交换机可学习到设备的MAC地址,并加入该表中
动态MAC地址 |
交换机主动学习MAC地址,当端口状态改变时,将重新学习并更新MAC地址表 |
静态MAC地址 |
人为将”端口与MAC地址“进行绑定,并加入表中,该端口不再主动学习 |