网络构建实验二 交换机端口隔离及端口安全

1、计算机网络构建实验报告实验组号： 课程： 班级： 实验名称：实验二 交换机端口隔离及端口安全 姓 名_ 实 验 日 期： 学 号_ 实验报告日期： 同组人姓名_ 报 告 退 发： ( 订正 、 重做 )同组人学号_ _ 教 师 审 批 签 字：通过 不通过 实验二 交换机端口隔离及端口安全背景描述：假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。一、:实验名称:交换机端口隔离二、实验目的:1. 熟练掌握网络互联设备-交换机的基本配置方法2. 理解和掌握Port

2、Vlan的配置方法三、实验设备：每一实验小组提供如下实验设备 1、 实验台设备：计算机两台PC1和PC2（或者PC4和PC5）2、 实验机柜设备： S2126(或者S3550)交换机一台3、 实验工具及附件：网线测试仪一台 跳线若干 四、实验原理及要求：1、Vlan(virual laocal area network,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN内的主机可以相互直接访问，不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发，广播包

3、只可以在本VLAN内进行传播，不能传输到其他VLAN中。2、PORT VLAN 是实现VLAN的方式之一，PORT VLAN是利用交换机的端口进行VLAN的划分，一个普通端口只能属于一个VLAN。3、交换机端口安全的基本概念§ 利用交换机的端口安全功能实现Ø 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。§ 交换机端口安全的基本功能Ø 限制交换机端口的最大连接数Ø 端口的安全地址绑定Ø 端口防ARP欺骗§ 安全违例产生于以下情况：Ø 如果一个端口被配置为

4、一个安全端口，当其安全地址的数目已经达到允许的最大个数Ø 如果该端口收到一个源地址不属于端口上的安全地址的包§ 当安全违例产生时，你可以选择多种方式来处理违例：Ø Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包Ø Restrict：当违例产生时，将发送一个Trap通知Ø Shutdown：当违例产生时，将关闭端口并发送一个Trap通知五、实验注意事项及要求： 1、 实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。2、 以电子文档形式提交实验报告。3、 本次实验结果保留：

5、是 否 4、 将交换机的配置文档、验证计算机的TCP/IP配置信息保存。5、 将交换机的配置信息以图片的形式保存到实验报告中。六、实验用拓扑图S2126(A)F0/1集成网卡（IP:192.168.10.1/24）Vlan 10Vlan 10S3550(B）F0/4F0/4F0/1PC1PC2集成网卡（IP:192.168.10.2/24）注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口七、实验具体步骤及实验结果记录：步骤1、实现两台主机的互联，确保在未划分VLAN 前两台PC是可以通讯的（即F0/1和F0/2间是可以通讯的）。【实验结果记录】要求将PC1和pc2的IP设置和连

6、通性测试的结果记录下来。步骤2、创建VLAN，隔离端口，实现同一VLAN内主机的相互通讯。两台交换机同时配置，操作相同。1）、启用“本地连接”网卡，打开设备配置界面，完成以下命令行操作：Ø SWITCHenable 14！进入特权模式Ø SWITCH # configure terminal !进入全局配置模式Ø SWITCH (config)#vlan 10 !创建vlan 10Ø SWITCH (config-vlan)#exit !退回到上一级操作模式Ø SWITCH (config)#vlan 20 !创建vlan 20Ø S

7、WITCH (config-vlan)#end !直接退回到特权模式Ø SWITCH #2）、验证测试：Ø SWITCH #show vlan !查看已配置的VLAN信息注意：默认情况下，所有的接口都属于VLAN 13） 将接口F0/1和F0/2分别分配到VLAN10和VLAN20。（注：该步骤两个同学都要操作）Ø SWITCHenable 14！进入特权模式Ø SWITCH# configure terminal!进入全局配置模式Ø SWITCH（config）#interface fastethernet 0/1 !进入F0/1配置模式&#

8、216; SWITCH（config-if）#switchport access vlan 10 !将接口划入vlan10Ø SWITCH（config-if）#exit !退回全局配置模式Ø SWITCH（config）#interface fastethernet 0/2 !进入F0/2配置模式Ø SWITCH（config-if）#switchport access vlan 20 !将接口划入vlan10Ø SWITCH（config-if）#exit!退回全局配置模式ØØ4） 把交换机相连的端口(F0/4端口)定义为tag

9、vlan 模式。（注：该步骤两个同学都要操作）Ø switch(config)#interface fastethernet 0/4 ！进入接口配置模式Ø switch(config-if)#switchport mode trunk ！将f0/4端口设为tag vlan模式。Ø switch(config-if)#end5） 验证配置并记录实验结果：Ø SWITCH #show vlan !查看已配置的VLAN信息【实验结果记录】 6） 测试验证，两台主机现在可以相互通讯，并记录实验结果。【实验结果记录】步骤3、看交换机端口fastEthernet 0

10、/1的配置信息。Ø s2126-7-1#show interfaces fastEthernet 0/1 switchport参考信息Interface Switchport Mode Access Native Protected VLAN lists- - - - - - -Fa0/1 Enabled Access 10 1 Disabled All【实验结果记录】 步骤4、配置交换机连接计算机的F0/1端口，开启端口安全功能，绑定MAC及IP地址。§ 下面的例子是配置接口fastethernet0/1上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.

11、073c(注：实验中用交换机F0/1接口所连接计算机的MAC地址配置)，IP为192.168.10.1Ø SWITCH#configure terminalØ SWITCH (config)#interface fastethernet 0/1Ø SWITCH (config-if)#switchport mode accessØ SWITCH (config-if)#switchport port-security ！打开该接口的端口安全功能Ø SWITCH(config-if)#switchport port-security maximu

12、m 1！设置接口上安全地址的最大个数，范围是1128，缺省值为128ØØ SWITCH(config-if)#switchportport-securitymac-address 00d0.f800.073c ip-address 192.168.10.1（或者：192.168.10.2） Ø S2126G-1-1 (config-if)# end【特别提醒】端口地址绑定配置中，MAC地址要使用集成网卡的地址，不要使用独立网卡的地址，如果已经绑定了其他的地址，可以先修改安全地址的最大数超过1个，再次绑定集成网卡的MAC地址，或者删除绑定错误的MAC地址，重新配置M

13、AC地址的绑定。另外要注意MAC地址的使用格式，不要出错。SWITCH# show port-security address【参考信息】Vlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -10 0016.76d6.d832 192.168.10.1 Configured Fa0/1 【实验结果记录】 § 查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Ø SWITCH#show port-security 【参考信息】Secure Port MaxSecur

14、eAddr(count) CurrentAddr(count) Security Action- - - -Fa0/1 1 1 Protect【实验结果记录】步骤5、测试计算机的连通性，两台交换机的端口地址绑定都正确的情况下，并不会影响网络的连通性。【实验结果记录】步骤6、将两台计算机的连接位置改变，PC1接S3550的F0/1接口，IP改为192.168.10.2/24，PC2接S2126的F0/1接口，IP地址改为：192.168.10.1/24,此时，交换机安全端口上连接的设备的MAC地址发生了改变，但IP地址没有变，在这种情况下再测试两台计算机的连通性，应该是不通的。【实验结果记录1】

15、PC1和PC2的MAC地址及IP地址【实验结果记录2】连通性测试结果步骤7、再将两台计算机接回原来的位置，此时，交换机安全端口上连接的计算机的物理地址与绑定的地址是一致的，但主机IP地址与绑定的IP是不同的，再测试两台计算机还是不通的。【实验结果记录1】PC1和PC2的MAC地址及IP地址【实验结果记录2】连通性测试结果步骤8、只有将两台计算机的IP地址再改回原来值，即PC1:192.168.10.1/24 PC2:192.168.10.2/24,再测试两台计算机的连通性，发现现在可以联通了。【实验结果记录】步骤9、查看验证交换机正在运行的配置 switchA#show running-con

16、fig【参考信息】System software version : 1.66(3) Build Sep 7 2006 RelBuilding configuration.Current configuration : 578 bytesversion 1.0hostname s2126-8-1vlan 1!vlan 10!vlan 20!enable secret level 1 5 'T>H.Y*T3UC,tZV4D+S(W54G1X)svenable secret level 14 5 'Ttj9=G13U7R:>H.4u_;C,t54U0<D+Sena

17、ble secret level 15 5 &x;C,tZur<D+S(wx=G1X)sp:>H.Y*T!interface fastEthernet 0/1 switchport access vlan 10 switchport port-security switchport port-security maximum 1 switchport port-security mac-address 0016.76d6.d832 ip-address 192.168.10.1!interface fastEthernet 0/2 switchport access vlan 20!interface fastEthernet 0/4 switchport mode trunk!end【实验结果记录】 【注意事项】1、 交换机所有端口在默认情况下属于ACCESS端口，可直接将端口加入某一VLAN，利用SWITCHPORT MODE ACCESS/TRUNK命令可以更改端口的VL