交换机的端口安全配置2.doc

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】交换机的端口安全配置。【实验目的】掌握交换机的端口安全功能，控制用户的安全接入。【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G上边。【技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：?( ? ? ? protect??当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。? ? ? ?( restrict??当违例产生时，将发送一个Trap通知。? ? ? ?( shutdown??当违例产生时，将关闭端口并发送一个Trap通知。当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。【实现功能】针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】S2126G交换机（1台），PC（1台）、直连网线（1条）【实验拓扑】 无标题.jpg (7.45 KB) 2008-11-14 13:46 图 26【实验步骤】步骤1.? ? ? ? 配置交换机端口的最大连接数限制。Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23? ?! 进行一组端口的配置模式Switch(config-if-range)#switchport port-security? ?!开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1? ?! 配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown? ?!配置安全违例的处理方式为shutdown验证测试：查看交换机的端口安全配置。Switch#show port-securitySecure Port??MaxSecureAddr(count) CurrentAddr(count) Security Action------------------------------------------------------------------Fa0/1? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/2? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/3? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/4? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/5? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/6? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/7? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/8? ?? ???1? ?? ?? ?? ?? ?? ???0? ?? ?? ?? ?? ?? ?ShutdownFa0/9? ?? ???1? ?? ?? ?? ?? ?? ?