交换机的端口安全

实验名称：交换机的端口安全

实验目的：掌握交换机的端口安全功能，控制用户的安全接入。

背景描述：你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的

IP 地址冲突，防止公司内部的网络***和破坏行为。为每一位员工分配了固定的 IP 地址，

并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的

IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4，该主机连接在1台2126G上边。

需求分析：针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP+MAC地址绑

实验原理：交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安

全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交

换机端口进行 MAC 地址、IP 地址的绑定。

限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意

的 ARP 欺骗。

交换机端口的地址绑定，可以针对 IP 地址、MAC 地址、IP＋MAC 进行灵活的绑定。

可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络***。如

ARP 欺骗、IP、MAC 地址欺骗，IP 地址***等。

配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，

产生安全违例的处理方式有 3 种：

?  protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全

地址中的任何一个）的包。

?  restrict 当违例产生时，将发送一个 Trap 通知。

?  shutdown 当违例产生时，将关闭端口并发送一个 Trap 通知。

?  当端口因为违例而被关闭后，在全局配置模式下使用命令 errdisable recovery 来将

接口从错误状态中恢复过来。

实验代码：

1. 设置连接数限制

   （最大连接数设为1）

   

   

2. 查看端口连接数

   

   

   

   

3.查看端口1

4.设置端口3MAC地址和IP地址

  命令：

conf t

int fa 0/3

sw port-security

sw port-security mac-address 【你所要连接的mac地址，格式为xxxx.xxxx.xxxx】ip-address 【你所要连接的ip地址，格式为xxx.xxx.xxx.xxx】

5.查看

  命令：sh port-security address all

6.配置端口2IP地址

  int fa 0/2

sw port-security ip-address 【你所要连接的ip地址，格式为xxx.xxx.xxx.xxx】

转载于:https://blog.51cto.com/1406404002/1877776