Cisco PT模擬實驗(7) 交換機的端口安全配置
Cisco PT模擬實驗(7) 交換機的端口安全配置
實驗目的:
掌握交換機的端口安全功能,控制用戶的安全接入
實驗背景:
公司網絡采用個人固定IP上網方案,為了防止公司內部用戶IP地址借用、冒用,私自接入交換機等違規行為,同時防止公同內部的網絡攻擊和破壞行為,公司要求對網絡進行嚴格的控制,為此需要在交換機做適當配置。
技術原理:
端口安全:可根據MAC地址來對網絡流量的控制和管理,比如MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數量,或者在具體的端口不允許某些MAC地址的幀流量通過。稍微引申下端口安全,就是可以根據802.1X來控制網絡的訪問流量。
Cisco交換機端口默認處於可取模式(指當檢測到其他交換機連接時,端口傾向於中繼連接),因此要保證交換機端口安全功能的正常工作,必須先將端口模式修改為接入端口或中繼端口(3層交換機上須指定封裝類型)。
安全地址表項配置:交換機內有mac-address-table表,表示端口與MAC地址的對應關系,當設備接入時,交換機可學習到設備的MAC地址,並加入該表中。
動態MAC地址:交換機主動學習MAC地址,當端口狀態改變時,將重新學習並更新MAC地址表
靜態MAC地址:人為將”端口與MAC地址“進行綁定,並加入表中,該端口不再主動學習
粘性MAC地址:首次主動學習MAC地址並綁定,當端口狀態再次改變時,該端口不再主動學習
當端口接收到未經允許的MAC地址流量時,交換機會執行以下違規動作:
保護(Protect):丟棄未允許的MAC地址流量,但不會創建日誌消息。
限制(Restrict):丟棄未允許的MAC地址流量,創建日誌消息並發送SNMP Trap消息
關閉(Shutdown):默認選項,將端口置於err-disabled狀態,創建日誌消息並發送SNMP Trap消息。若要重新開啟該端口,需要"先關閉再打開"端口或使用errdisable recovery命令。後者在模擬器上無法使用。
實驗設備:Switch_2960 2臺;PC 4臺;直通線;交叉線。
實驗拓撲:
實驗步驟:
開啟交換機的端口安全功能
配置交換機的最大連接數限制
查看主機的IP和MAC地址信息
配置交換機的地址綁定
查看交換機上端口安全配置
註意:模擬器上,無法在3層交換機上使用show port-security命令
PC設置 192.168.1.2 //PC0 192.168.1.3 //PC1 192.168.1.4 //PC2 192.168.1.5 //PC3 //子網掩碼和網關 255.255.255.0 192.168.1.1
PC(命令提示符CMD下) ipconfig //分別查看4臺PC的MAC地址
Switch0配置 Switch>en Switch#conf t Switch(config)#inter rang f0/1-22 Switch(config-if-range)#switchport mode access //配置端口為接入類型 Switch(config-if-range)#switchport port-security //開啟端口安全功能 //設置端口最大連接數為1,即啟用動態MAC安全地址 Switch(config-if-range)#switchport port-security maximum 1 //若發現違規動作,處理方式為關閉端口 Switch(config-if-range)#switchport port-security violation shutdown Switch(config-if-range)#end Switch#show port-security //查看端口安全配置
Switch1配置 Switch>en Switch#conf t Switch(config)#inter rang f0/1-2 //啟用粘性MAC地址,自動綁定接入的MAC地址 Switch(config-if-range)#switchport port-security sticky //ping測試,結果鏈路均通 //然後互換PC2和PC3在交換機上的端口,ping測試,結果鏈路均不通 Switch(config-if-range)#end Switch#show mac-address-table //查看端口MAC地址綁定配置 Switch#clear port-security sticky //清除所有已綁定的粘性MAC地址
實驗環境: Windows 7 ,Cisco PT 7.0
參考資料:CCNA學習指南(第7版)
Cisco PT模擬實驗(7) 交換機的端口安全配置