一、实验目的
- 了解交换机的工作原理
- 掌握交换机的端口安全配置
二、实验任务
实验要求如下:
- 设置好交换机 S1的管理地址,设置交换机S1的 Fa0/1~ Fa0/12 端口为动态安全NAC地址,设置MAC条目的最大数量为10,设置安全违规模式为关闭;
- 将PC1接到Fa0/1;
- 设置 Fa0/24端口,使其采用静态安全MAC地址,设置 MAC条目的最大数量为1,设置安全违规模式为限制,并将 PC3的MAC地址绑定到Fa0/24;
- 其他未使用端口禁用。
- 尝试将 PC1 接到 Fa0/24端口,将PC3接到Fa0/1端口,查看交换机会出现什么提示和情况,并解释为什么出现这样的情况。
- 然后将PC1和PC3都接到Fa0/2和Fa0/3端口,查看是否出现错误提示;
- 保存交换机S的运行配置;
- 然后启用 Fa0/13~Fa0/23端口,并采用粘滞安全MAC地址,设置MAC条目的最大数量为1,设置安全模式为保护;
- 再将运行配置保存为启动配置;
- 然后将 PC2接到 Fa0/16;
- 此时如果将 PC3改接到 Fa0/16端口,将PC3接到Fa0/24 端口,查看会出现什么情况。
三、实验原理介绍
- 交换机的安全配置模式
- 静态安全MAC地址配置:使用swi port-security mac-addr mac-addr命令手动配置,配置的MAC地址将存储在MAC地址表中。同时也添加到交换机的配置文件中,重启时仍然生效。
- 动态安全MAC地址配置:MAC地址是动态获取的,并且仅存储存在当前MAC地址表中,获取到的安全MAC地址在交换机重新启动的时候将被清除。
- 粘滞安全MAC地址配置:可将配置端口为动态获得安全MAC地址,然后将所获得的MAC地址保存到运行配置,重启后仍然生效。
- 安全模式命令:switch port-security violation { protect | shutdown | restrict }
说明:“Switch port-security violation {protect | shutdown | restrict}”的含义如下。
protect:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,且原有的计算机不受影响。
shudown:当新的计算机接入时,如果被接口的 MAC条目超过最大数量,则该接口将会被关闭。这个新的计算机和原有的计算机都无法接入,需要管理员使用no shutdown 命令重新打开。
restrict:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机可以接入,交换机将发送警告信息。
四、设计代码(或原理图)、仿真波形及分析
PC1的MAC地址和IP地址:
PC2的MAC地址和IP地址:
PC3的MAC地址和IP地址:
PC1接到F0/1,PC3接到F0/24时的网络拓扑结构:
测试PC1与PC3互ping:
PC1接到F0/24,PC3接到F0/1时的网络拓扑结构:
测试PC1与PC3互ping:
交换机显示的结果:
PC1接到F0/2,PC3接到F0/3时的网络拓扑结构:
测试PC1与PC3互ping:
PC1接到F0/2,PC3接到F0/3,PC2接到F0/16时的网络拓扑结构:
测试PC1与PC3与PC2互ping:
PC1接到F0/2,PC3接到F0/16,PC2接到F0/24时的网络拓扑结构:
测试PC1与PC3与PC2互ping:
交换机总体配置如下:
五、实验结论与心得
补充粘滞安全MAC地址的配置代码:
Switch>en
Switch#conf t
Switch(config)#int rang fa0/13-23
Switch(config-range-if)#no shutdown
Switch(config-range-if)#swi mode acc
Switch(config-range-if)#swi port-security
Switch(config-range-if)#swi port-security maximum 1
Switch(config-range-if)#swi port-security mac sticky
Switch(config-range-if)#end
Switch#sh port-security
1077
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
