【实验名称】

交换机的端口安全配置

【实验目的】

掌握交换机的端口安全功能,控制用户的安全接入

【背景描述】

你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的

IP 地址冲突,防止公司内部的网络***和破坏行为。为每一位员工分配了固定的 IP 地址,

并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的

IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4,该主机连接在1台2126G

上边。

【需求分析】

针对交换机的所有端口,配置最大连接数为 1,针对 PC1 主机的接口进行 IP+MAC 地

址绑定。


【实验拓扑】

wKiom1g9Nw_gjg7lAAEpwbWRKOY641.png-wh_50


【预备知识】

路由器基本配置知识、端口安全知识

【实验设备】

交换机 1 台

PC 1 台

直连网线 1 条

【实验原理】

交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安

全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交

换机端口进行 MAC 地址、IP 地址的绑定。

限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意

的 ARP 欺骗。

交换机端口的地址绑定,可以针对 IP 地址、MAC 地址、IP+MAC 进行灵活的绑定。

可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络***。如

ARP 欺骗、IP、MAC 地址欺骗,IP 地址***等。

配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,

产生安全违例的处理方式有 3 种:

1、protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全

地址中的任何一个)的包。

2、restrict 当违例产生时,将发送一个 Trap 通知。

3、shutdown 当违例产生时,将关闭端口并发送一个 Trap 通知。

    当端口因为违例而被关闭后,在全局配置模式下使用命令 errdisable recovery 来将

接口从错误状态中恢复过来。

【实验步骤】


步骤1 配置交换机端口的最大连接数限制

wKioL1g7pTrSRh4uAAAYGIawrTw718.png-wh_50

步骤2 验证交换机端口的最大连接数限制

wKiom1g7pTrg9XJSAABGPiLfNbI823.png-wh_50

wKioL1g7pTuAGoTGAAAdekFJzHs587.png-wh_50

步骤3 配置交换机端口的MAC与IP地址绑定

wKiom1g7pTui6XsmAABRy4ctIjQ855.png-wh_50

配置交换机端口的地址绑定。

wKiom1g7pTyCxA4tAAARxZ2W6Vs192.png-wh_50

步骤4 查看地址安全绑定配置

wKioL1g7pTzxCB9BAAAgGDdf7pQ036.png-wh_50

步骤5 配置交换机端口的IP地址绑定。

wKioL1g7pTyxdwntAAAn_2m1pz4518.png-wh_50