《计算机网络技术》-项目六 交换机端口安全

项目背景某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况，一些个人电脑中毒后在局域网内发送病毒，影响了公司的正常上网。你是这个公司的网络管理员，公司要求对网络进行严格控制。禁止非法主机接入交换机，并且为某些员工分配了固定的IP地址。PC机IP地址配置

测试效果

查看交换机MAC地址表

进入F0/24启用端口安全配置

本章主要内容设置端口最大连接MAC数限制及违例处理方式

配置交换机端口的绑定地址

【知识拓展】验证测试：查看地址安全绑定配置

思科网络交换机具有端口安全功能，利用端口安全这个特性，可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性，它主要有以下几个功能：只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。当一个端口被配置成为一个安全端口（启用了端口安全特性）后，交换机将检查从此端口接收到的帧的源mac地址，并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值，交换机会检查安全地址列表，若此帧的源mac地址没有被包含在安全地址表中，那么交换机将自动学习此mac地址，并将它加入到安全地址表中，标记为安全地址，进行后续转发；若此帧的源mac地址已经存在于安全地址表中，那么交换机将直接对帧进行转发。安全端口的地址表既可通过交换机自动学习，也可以手工配置。知识准备配置安全端口安全存在以下限制。一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口（AggregatePort）。一个安全端口不能是SPAN的目的端口。知识准备

拓扑结构步骤1：在“网上邻居”点右键选“属性”，出现网络连接窗口。如图所示：PC机IP地址配置步骤2：在“本地连接”上点右键选“属性”，出现本地连接属性对话框。步骤3：在“此连接使用下列项目”中选“Internet协议TCP/IP”属性。如图所示。PC机IP地址配置步骤4：配置PC1的IP地址和子网掩码。如图所示。PC机IP地址配置同理设置其他PC。如表所示。PC机IP地址配置设备IP地址/子网掩码PC1192．168．1．1/24PC2192．168．1．2/24PC3192．168．1．3/24PC4192．168．1．4/24步骤1：按如下拓扑图连接设备，如图所示。查看交换机步骤2：进入交换机S1的命令行配置窗口，查看交换机MAC地址表。注：0005.5e50.9967为PC2MAC地址；00d0.ba3d.d800为PC1MAC地址。查看交换机Switch#showmac-address-table //显示交换机MAC地址表

MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10005.5e50.9967DYNAMICFa0/2100d0.ba3d.d800DYNAMICFa0/1Switch#步骤3：使用交叉双绞线连接S1和S2的F0/24接口，如图所示。查看交换机步骤4：在S1上再次查看交换机的MAC地址表，此时F0/24已学习到F0/24上连接的S2交换机的MAC地址。注：00d0.58ec.9a18为交换机S2的MAC地址。查看交换机Switch#showmac-address-table //显示交换机MAC地址表

MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10005.5e50.9967DYNAMICFa0/2100d0.58ec.9a18DYNAMICFa0/24100d0.ba3d.d800DYNAMICFa0/1Switch#步骤5：使用直通双绞线连接PC3到交换机S2上的F0/1接口。如图所示。查看交换机步骤6：在交换机上S1上再次查看MAC地址表，交换机已学习到PC3的MAC地址。注：00d0.bccb.1725为PC3MAC地址。查看交换机Switch#showmac-address-table //显示交换机MAC地址表

MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10005.5e50.9967DYNAMICFa0/2100d0.58ec.9a18DYNAMICFa0/24100d0.ba3d.d800DYNAMICFa0/1100d0.bccb.1725DYNAMICFa0/24Switch#步骤1：进入交换机S1，更改名称。启用端口安全配置Switch>en //进入特权用户配置模式Switch#conft //进入全局配置模式Switch(config)#hostnameS1 //更改交换机名称步骤2：进入F0/24口，设置接口模式为access。启用端口安全配置S1(config)#intf0/24 //进入F0/24接口配置模式S1(config-if)#switchportmodeaccess //设置接口模式为access步骤3：启用该接口的安全配置。启用端口安全配置S1(config-if)#switchportport-security //启用端口安全配置步骤1：设置端口最大MAC连接数为2端口最大连接数限制S1(config-if)#switchportport-securitymaximum2步骤2：设置端口违例处理方式为protect违例处理方式S1(config-if)#switchportport-securityviolationprotect【注意事项】当违例产生时，你可以设置下面几种针对违例的处理模式:

1.protect:当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。2.restrict:当违例产生时，将发送一个通知Trap。3.shutdown:当违例产生时，将关闭端口并发送一个通知。违例处理方式步骤1：在交换机S1上查看地址表，发现没有PC4的MAC地址，端口限制已起作用。测试效果S1#showmac-address-table //显示交换机MAC地址表

MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10005.5e50.9967DYNAMICFa0/2100d0.58ec.9a18STATICFa0/24100d0.ba3d.d800DYNAMICFa0/1100d0.bccb.1725STATICFa0/24S1#步骤2：使用PING命令测试各PC间的连通性，结果如表所示。测试效果PC1PC2PC3PC4PC1-通通不通PC2通不通通不通PC3通通-不通PC4不通不通通-步骤3：在交换机S1上查看F0/24端口安全配置信息。测试效果S1#showport-securityinterfacef0/24 //查看F0/24端口安全配置信息PortSecurity:EnabledPortStatus:Secure-upViolationMode:ProtectAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:2TotalMACAddresses:2ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:Vlan:00D0.58EC.9A18:1SecurityViolationCount:0S1#【注意事项】由于交换机S1里的F0/24接口的MAC地址是动态生成的（哪台PC机的信息先通过F0/24就先绑定哪台PC机的MAC），如果交换机重启了，而交换机S2中又已经连接了PC3、PC4，可能会出现PC4能与PC1、PC2通信而PC3不能通信的情况。测试效果步骤1：关闭F0/24接口。配置端口的绑定地址S1>enS1#conft //进入全局配置模式S1(config)#intf0/24 //进入F0/24接口S1(config-if)#shutdown //关闭接口步骤2：删除已连入的MAC安全地址。配置端口的绑定地址S1(config-if)#noswitchportport-securitymac-address0001.9670.b365 //删除“0001.9670.b365”MAC安全地址步骤3：配置交换机端口的绑定地址。配置端口的绑定地址S1(config-if)#switchportport-securitymac-address00D0.BCCB.1725 //配置只有该“00D0.BCCB.1725”MAC地址的设备才能连接，同时该MAC地址的设备在S1交换机上也只能接入到该接口才能连接通信。S1(config-if)#^Z //退出到特权用户配置模式验证接入的MAC地址是否为PC3的地址注：00d0.bccb.1725为PC3的MAC地址。查看地址安全绑定配置S1#showmac-address-table //显示交换机MAC地址表

MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------100d0.58ec.9a18STATICFa0/24100d0.bccb.1725STATICFa0/24S1#（1）port-security该命令在端口启用或者关闭端口安全功能。如表所示。port-security{enable|disable}【缺省情况】disable知识拓展语法描述enable启用端口安全disable关闭端口安全（2）port-securitypermit|denymac-address该命令配置端口的MAC绑定规则，相关的no命令删除该规则。如表所示。port-security{permit|denymac-addressmac-address}no

port-security{permit|denymac-addressmac-address}注：对于permit规则系统将其配置MAC地址和端口配置的默认VID一起写入二层转发表(MACAddress表)。语法描述permit规则执行动作为允许deny规则执行动作为拒绝mac-address规则应用的mac地址（3）port-securitypermit|denymac-addressmac-address

vlanId该命令设置端口的MAC+VLAN绑定规则，相关的no命令删除该规则。如表所示。port-security{permit|denymac-addressmac-addressvlan-idvlanId}noport-security{permit|denymac-addressmac-addressvlan-idvlanId}注：permit规则系统将其配置MAC地址和VID一起写入二层转发表(MACAddress表)。语法描述permit规则执行动作为允许deny规则执行动作为拒绝mac-address规则应用的mac地址vlan-id与mac地址绑定的vlan号（4）port-securitypermit|denymac-addressmac-addressip-address该命令配置端口的MAC+IP绑定规则，相关的no命令删除该规则。如表所示。port-security{permit|denymac-addressmac-addressip-addressip-address}noport-security{permit|denymac-addressmac-addressip-addressip-address}注：对于permit规则系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文。语法描述permit规则执行动作为允许deny规则执行动作为拒绝mac-address规则应用的mac地址ip-address与mac地址绑定的IP地址（5）port-securitypermint|denyip-address该命令配置端口的IP规则，相关的no命令删除该规则。port-security{permint|denyip-addressstart-ip-address[toend-ip-address]}noport-security{permint|denyip-addressstart-ip-address[toend-ip-address]}如果只增加某一个IP地址规则，可以不使用[toend-ip-address]部分注：对于permit规则和IP地址为单地址时系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文语法描述permit规则执行动作为允许deny规则执行动作为拒绝start-ip-address规则应用的起始IP地址end-ip-address规则应用的结束IP地址（6）port-securitymaximum该命令配置端口的MAX规则，相关的no命令删除该规则。如表6-8所示。port-securitymaximum{0-4000}noport-securitymaximum语法描述0-4000MAX规则的地址数（7）port-securityagingtime该命令配置端口的地址老化时间（分钟），相关的no命令将该配置设置为1分钟。如表所示。port-securityagingtime{0-1440}noport-securityagingtime【缺省情况】1注：默认情况下只有通过MAX规则学习到的MAC地址才被老化，通过MAC和IP规则配置的MAC地址不会被老化。语法描述0-1440老化时间，0表示不进行老化。（8）po