实验要求:
1.在pc0、pc3划分到vlan10,并规划网段192.168.10.0/24;pc1,pc2,pc4划分到vlan20,都属于192.168.20.0/24。ip自行规划,使pc0和pc3能互通,pc1、pc2和pc4之间互通
2.交换机对接pc0的端口安全配置
实现步骤:
1.配置pc和路由器的ip
2.在交换机中创建vlan
3.在交换机中,把vlan分配给各个主机对接的接口
4.更改交换机与交互机间的接口为Trunk模式
5.配置交换机某端口的安全
代码:
(switch左0右1——switch1代码同理,以下仅展示switch0)
1.创建vlan10和vlan20
Switch>en
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#name vlan10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#ex
2.将与各主机对接的端口划分到对应的vlan
Switch(config)#int f0/2
Switch(config-if)#sw ——用tab键自动补全
Switch(config-if)#switchport ac
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int f0/3
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int f0/4
Switch(config-if)#switchport access vlan 20
3.将switch0与switch1对接的端口改为trunk模式
Switch(config)#int f0/1
Switch(config-if)#sw mode trunk
4.先拿到pc0的MAC地址
PC>ipconfig /all
5.端口安全配置
Switch(config)#int f0/2
Switch(config-if)#switchport port-security
Command rejected: FastEthernet0/2 is a dynamic port.
Switch(config-if)#switchport port-security mac-address 0001.C9E0.9190
// mac-address Secure mac address ——静态绑定端口MAC地址
Port-security not enabled on interface FastEthernet0/2.
Switch(config-if)#switchport port-security maximum 1
//maximum Max secure addresses ——允许端口记录MAC地址最大数
Switch(config-if)#switchport port-security violation shutdown
//violation Security violation mode ——设置惩罚,有以下三种
//protect ——忽略非法流量
//restrict ——忽略并警告
//shutdown ——直接关闭端口(进入假死状态)
6.测试pco通信
7.测试pc1通信
交换机的两个接口模式:
1.access模式(接入模式):用于接入PC或服务器,access接口,属于一个具体的vlan
2.trunk模式(主干模式):用于接入交换机或者路由器,trunk接口,不属于任何vlan,但是可以承载任何的vlan流量
VLAN,即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN都是一个广播域,同一个VLAN内的主机间可以二层通信,而不同VLAN间则不能二层互通,在应用上可以把不同功能、部门的主机划分在不同的VLAN中。
交换机端口安全配置:防范MAC地址泛洪攻击