华为交换机MAC端口安全配置实验

  • 一、实验拓扑图:

                     

  • 二、实验要求:

1.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。
2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?
3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
4.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
5.从PC2 PING PC3,能否PING通?WHY?(NO)
6.20秒内分别从PC1 PING PC2 ,PC3 PING PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
7.20秒内分别从PC1 PING PC2 ,PC3 PING PC2,能否PING通?WHY?(3 to 2, NO)
8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)
9.从PC5 PING PC1 ,PC3 PING PC1,能否PING通?WHY?(3 to 1, NO)
10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否PING通。(YES)
11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 PING PC1,查看效果。
12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。
13.从PC5 PING PC1、2、3、4,查看通信情况。

  • 三、配置命令与原因分析:

1.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。

2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?

S1命令:mac-address aging-time 20
S2命令:mac-address aging-time 20

发现:20秒过后S1和S2交换机的mac地址表已经清空了,只有S3的mac地址表的动态mac地址的老化时间还没结束,所以mac地址表中依然存在该表项。

3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。

S1命令:
interface Ethernet0/0/1
port-security enable
port-security mac-address sticky

4.从PC1 PING PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。

5.从PC2 PING PC3,能否PING通?WHY?(NO)

原因:S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能,但是没有配置动态安全mac地址学习限制数量,因为默认情况下动态安全mac地址学习限制数量为1,所以pc2 ping pc3的数据帧就被丢弃掉了,因此不能够ping通。

6.20秒内分别从PC1 PING PC2 ,PC3 PING PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。

20秒前:

20秒后:

S2交换机mac地址表为空,这里就不截图了。

对比后发现出现差别的原因:因为S1和S2都配置了mac地址老化时间为20秒,而S3是默认300秒,所以20秒前所有交换机都能看到该有的表项。然后,S1配置了sticky mac地址,所以20秒后S1的mac地址表中还存在sticky mac地址表项,动态mac地址表项就消失了,而S2交换机上全都是动态mac地址表项,所以20秒后就全消失了,S3默认配置,所以还没老化,也就还有所有mac表项。

7.20秒内分别从PC1 PING PC2 ,PC3 PING PC2,能否PING通?WHY?(3 to 2, NO)

原因:PC3 ping PC2不通的原因跟第5题一样,这里就不在赘述。

8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)​​​​​​​

S1命令:
#
interface Ethernet0/0/2
 port-security enable
 port-security mac-address sticky
port-security mac-address sticky 5489-98EF-4055 vlan 1
#

9.从PC5 PING PC1 ,PC3 PING PC1,能否PING通?WHY?(3 to 1, NO)

原因:PC3ping PC1不通的原因也是只配置了e0/0/2接口的sticky Mac功能,没有配置动态安全mac地址学习限制数量,因为默认情况下动态安全mac地址学习限制数量为1,所以pc3 ping pc1的数据帧就被丢弃掉了,因此不能够ping通。

10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否PING通。(YES)

S1命令:
#
interface Ethernet0/0/2
port-security max-mac-num 2
#

配置S1交换机的E0/0/2端口安全MAC地址数量为2后都能ping通了,证明前面分析是对的。

11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 PING PC1,查看效果。​​​​​​​

S1命令:
#
interface Ethernet0/0/2
port-security protect-action shutdown
#

效果如下:PC4 ping不通PC1并且S1交换机的2端口down掉了

12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。

S1命令:
#
interface Ethernet0/0/1
port-security max-mac-num 2
#
interface Ethernet0/0/2
port-security max-mac-num 3
#

13.从PC5 PING PC1、2、3、4,查看通信情况。​​​​​​​

全部能ping通,因为第12题将交换机的两个接口的安全MAC地址数量调整为与PC个数一致,所以都能实现通信,此后,如果在Mac地址老化时间之内有别的PC接入,那么接入的这台PC所发送的数据帧将被丢弃,并且执行相应的保护动作。

相关推荐
©️2020 CSDN 皮肤主题: 1024 设计师:白松林 返回首页