登录站点

用户名

密码

交换机端口安全实验

1已有 1736 次阅读  2012-10-08 15:39   标签交换机  实验目的  端口  安全 

一、实验目的和要求

    了解交换机的端口安全性的基本知识

    如何配置交换机连接的最大安全地址数

    掌握如何配置交换机绑定指定的mac地址

 

二、实验设备

模拟软件:Cisco PacketTracer53_setup_no_tutorials

设备:交换机两台,PC机若干,直连线,交叉线若干。

 

三、实验内容

1.在交换机上配置端口安全,以及违例的处理方式。

2.两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路 。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum,验证工作组PC数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。

3.在主交换机上配置绑定固定的mac地址,验证当更换工作组pc机时,链路不通,以指定的违例处理方式处理。

 

四、实验拓扑

    1  交换机端口连接最大安全地址数

                           2 交换机端口绑定指定mac地址

 

五、背景描述

1.某公司在内部的交换机上配置每个端口可连接的最大安全地址数,可以防止外来用户盗用公司内部网络。

2.公司的主交换机上绑定公司内部主机的mac地址之后,能防止公司外部带有病毒的pc机感染公司内部主机,或者防止人为的恶意破坏,窃取公司内部机密。

 

六、相关知识

锐捷网络的交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,它主要有以下几个功能:

只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。

• 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。

当一个端口被配置成为一个安全端口(启用了端口安全特性)后,交换机将检查从此端口接收到的帧的源mac地址,并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值,交换机会检查安全地址列表,若此帧的源mac地址没有被包含在安全地址表中,那么交换机将自动学习此mac地址,并将它加入到安全地址表中,标记为安全地址,进行后续转发;若此帧的源mac地址已经存在于安全地址表中,那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习,也可以手工配置。

配置安全端口安全存在以下限制。

• 一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。

• 一个安全端口不能是一个聚合端口(Aggregate Port)。

• 一个安全端口不能是SPAN的目的端口。

 

七、实验步骤

步骤1画出实验拓扑结构图。

 

步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。

 

步骤3交换机更改主机名。

主交换机改名为SwitchA,次交换机改名为SwitchB

 

步骤4验证PC0PC1pc2三者之间都能ping通,说明交换机连接的网络是ok的。

 

步骤5SwitchA中对F0/1接口开启交换机端口安全,限制可接入的最大MAC数为1,违例处理为protect。注意,开启端口安全模式的接口必须为access

SwitchA(config)#interface fastEthernet 0/1

SwitchA(config-if)#switchport mode access  

SwitchA(config-if)#switchport port-security  !开启交换机端口安全功能

SwitchA(config-if)#switchport port-security maximum 1    !设置最大安全地址数

SwitchA(config-if)#switchport port-security  violation protect  !设置违例处置方式为protect

 

 步骤6查看安全模式是否配置成功

 

步骤7. 配置完成后,再从PC0  ping  pc2 ,是不通的,因为switchAfa0/1接口上,实际上接了2pc机,超过了端口可接的最大地址数。

PC0>ping 192.168.10.3

Pinging 192.168.10.3 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.10.3:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

【注意】:此时虽然PC0pc2无法ping通,但是由于违例处理为protectSwitchASwitchB之间的线路还是连通的,可以观察到线缆两端是绿色的点。

 

步骤8. Switch A SwitchB之间的连线切换到SwitchA F0/2接口。

 

步骤9 . F0/2接口上配置端口安全模式,最大MAC数为1,违例处理为shutdown

SwitchA(config)#interface fastEthernet 0/2

SwitchA(config-if)#switchport mode access

SwitchA(config-if)#switchport port-security

SwitchA(config-if)#switchport port-security maximum 1

SwitchA(config-if)#switchport port-security violation shutdown

 

步骤10. 查看安全配置是否成功

 

步骤11.PC0上分别ping PC1PC2

PC0>ping 192.168.10.3

Pinging 192.168.10.3 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.10.3:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

【注意】:由于此时的违例处理方式是shutdown的,可以观察SwitchASwitchB之前的线缆两端变成红点了,表示此条链路down掉了。

 

步骤12. 按实验拓扑图2连接设备。并对三台PC机进行IP设置。

 

步骤13. 通过ipconfig /all命令查看PC0PC1MAC地址。

 

步骤14. 在交换机上开启端口安全模式,绑定PC1MAC地址。

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security mac-address 0004.9AD8.9503    !绑定PC1MAC地址

 

步骤15. 查看MAC地址有没有绑定正确。

 

步骤16.验证PC0PC2已连通。

 

步骤17.PC0与交换机的链路断开,将PC1接入交换机的F0/1接口,这时在F0/1接口上的pcMAC地址改变了。

 

步骤18. 测试, PC1ping PC2 ping不通,并且交换机与PC2之间的链路会down掉。

 

 

补充说明

1.如果想要修改maximum的大小,直接修改是不能成功的,必须先关闭交换机端口安全模式,再重新开启,再配置。

2Mac地址得到的方法有多种,本例中可以在pc机的命令模式下,输入ipconfig得到,也可以在cisco软件中的pc机属性设置config—fastethernet里得到。

3.配置了绑定mac地址之后,一定要show一下,看一下mac地址的Type。如果mac地址的类型显示的是DynamicConfigured即动态时,mac地址并未绑定成功,需要重新绑定。如果类型是SecureConfigured是,才表示已经绑定成功了。

 

分享 举报