1、交换机端口安全的配置刘道刚 主 编项18目路由交换技术与实践Routing and Switching工业和信息化“十三五”高职高专人才培养规划教材目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.1 用户需求某学校办公网络的部分网络拓扑图如图18-1所示,为了提高网络的安全性,不允许接入交换机的不合法用户访问网络。怎样实现这样的功能?目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.2.1 端口安全端口安全限制端口上所允许的有效MAC地址的数量,可以为安全端口分配安全MAC地址,当数据包的源地址不是已定义的安全地
2、址时,端口不会转发。如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口,而且连接该端口的工作站将确保获得端口的全部带宽。如果交换机端口的安全MAC地址的数量已达到最大值,当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,会发生安全违规。18.2.2 安全MAC地址类型静态安全MAC地址动态安全MAC地址粘滞安全MAC地址18.2.3 安全违规模式1保护保护违规模式下,当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除地址使安全MAC地址的数量在允许的范
3、围内,或者增加允许的最大地址数。保护违规模式不会发送安全违规的通知。2限制限制违规模式下,当安全MAC地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除地址使安全MAC地址的数量在允许的范围内,或者增加允许的最大地址数。3关闭关闭违规模式下,端口安全违规将造成端口立即变为错误禁用(error-disabled)状态,并关闭端口LED。18.2.3 安全违规模式(1)地址表中添加了最大数量的安全MAC地址,有工作站试图访问端口,而且该工作站的MAC地址未出现在该地址表中。(2)在一个安全端口上学习或配置的地址出现在同一个VLAN中的另一个安全端口上。1启用端口安全和设置端口
4、的违规模式2设置端口允许通过的最大MAC地址数量3设置静态安全MAC地址Switch(config-if)#switchport port-security violation protect|restrict|shutdownSwitch(config-if)#switchport port-security maximum valueSwitch(config-if)#switchport port-security mac-address mac-address18.2.5 配置命令18.2.5 配置命令4设置粘滞安全MAC地址Switch(config-if)#switchport p
5、ort-security mac-address sticky mac-address5显示交换机或指定端口的端口安全设置6显示所有交换机端口或某个指定端口上配置的所有安全MAC地址Switch#show port-security interface interface-id Switch#show port-security interface interface-id address目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.3 方案设计在如图18-1所示的网络拓扑图中,若要实现不允许接入交换机的不合法用户访问网络,可以启用端口安全(启用端口
6、安全后,不合法的设备无法访问网络),可以采用静态端口安全、动态端口安全或粘滞端口安全,端口的违规模式可以配置为保护、限制或关闭。目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.4.1 静态端口安全的配置步骤1:在交换机S1的全局配置模式下输入以下代码,启用端口安全。S1(config)#interface range f0/2-3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2:在交换机S1的全局配置模式下输入以下代码,配置f0/2端口的静态安全地
7、址。S1(config)#interface f0/2S1(config-if)#switchport port-security mac-address 54be.f74e.2456步骤3:在交换机S1的全局配置模式下输入以下代码,配置f0/3端口的静态安全地址。S1(config)#interface f0/3S1(config-if)#switchport port-security mac-address 54be.f74e.250218.4.1 静态端口安全的配置步骤4:在交换机S1的特权执行模式下,输入show port-security address命令查看安全MAC地址,如图
8、18-2所示。步骤5:在交换机S1的特权执行模式下,输入show port-security interface f0/2命令查看端口安全设置(interface可以简写为int),如图18-3所示。18.4.1 静态端口安全的配置步骤6:在交换机S1的特权执行模式下,输入show port-security interface f0/3命令查看端口安全设置,如图18-4所示。步骤7:在交换机S1的特权执行模式下,输入show run interface f0/2命令查看交换机S1运行配置文件中f0/2端口的配置,如图18-5所示。18.4.1 静态端口安全的配置步骤8:在交换机S1的特权执行
9、模式下,输入show run interface f0/3命令查看交换机S1运行配置文件f0/3端口的配置,如图18-6所示。步骤9:在计算机PC1的命令行界面输入ping 192.168.1.2命令检验连通性,如图18-7所示。18.4.1 静态端口安全的配置步骤10:将连接计算机PC1和PC2的两个交换机端口互换,交换机会提示如图18-8所示的消息。步骤11:在交换机S1的特权执行模式下,查看交换机S1的f0/2端口状态,如图18-9所示。18.4.1 静态端口安全的配置步骤12:在交换机S1的特权执行模式下,查看交换机S1的f0/2端口安全设置,如图18-10所示。步骤13:在交换机S1
10、的特权执行模式下,查看交换机S1的f0/3端口状态,如图18-11所示。18.4.1 静态端口安全的配置步骤14:在交换机S1的特权执行模式下,查看交换机S1的f0/3端口安全设置,如图18-12所示。步骤15:在计算机PC1的命令行界面输入ping 192.168.1.2命令检验连通性,如图18-13所示。18.4.1 静态端口安全的配置步骤16:将违规的计算机从交换机端口移除,然后发出shutdown/no shutdown命令重新启用端口。S1(config)#interface range f0/2-3S1(config-if-range)#shutdown S1(config-if-
11、range)#no shutdown重启端口后,交换机收到图18-14所示的提示信息,说明交换的端口正常启动了。18.4.2 动态端口安全的配置步骤1:在交换机S1的全局配置模式下输入以下代码,启用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2:在交换机S1的全局配置模式下输入以下代码,配置端口合法地址数量。S1(config-if)#switchport port-security maximum 2步骤3:在交换机S1的全局
12、配置模式下输入以下代码,配置端口的违规模式。S1(config-if)#switchport port-security violation protect18.4.2 动态端口安全的配置步骤4:将一台集线器接入交换机S1的f0/3端口,并在集线器上接入两台计算机,网络拓扑图如图18-15所示。18.4.2 动态端口安全的配置步骤5:在交换机S1的特权执行模式下,输入show port-security address命令查看安全MAC地址,如图18-16所示。步骤6:在交换机S1的特权执行模式下,输入show port-security interface f0/3命令查看端口安全设置,如图
13、18-17所示。18.4.2 动态端口安全的配置步骤7:在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-18所示。步骤8:在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-19所示。18.4.2 动态端口安全的配置步骤9:在集线器上接入第三台计算机PC4,网络拓扑图如图18-20所示。18.4.2 动态端口安全的配置步骤10:在交换机S1的特权执行模式下,查看交换机S1的f0/3端口状态,如图18-21所示。步骤11:在交换机S1的特权执行模式下,输入show port-security interface
14、f0/3命令查看端口安全设置,如图18-22所示。18.4.2 动态端口安全的配置步骤12:在交换机S1的特权执行模式下,输入show port-security address命令查看安全MAC地址,如图18-23所示。步骤13:在计算机PC4的命令行界面输入ping 192.168.1.2命令检验连通性,如图18-24所示。18.4.2 动态端口安全的配置步骤14:在计算机PC4的命令行界面输入ping 192.168.1.3命令检验连通性,如图18-25所示。步骤15:在计算机PC4的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-26所示。18.4.2 动态
15、端口安全的配置步骤16:在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-27所示。18.4.3 粘滞端口安全的配置步骤1:在交换机S1的全局配置模式下输入以下代码,启用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2:在交换机S1的全局配置模式下输入以下代码,配置粘滞端口安全。S1(config-if)#switchport port-security mac-address stick
16、y步骤3:在交换机S1的全局配置模式下输入以下代码,配置端口的违规模式。S1(config-if)#switchport port-security violation restrict18.4.3 粘滞端口安全的配置步骤4:在交换机S1的特权执行模式下,输入show port-security address命令,查看交换机S1的安全MAC地址,如图18-28所示。步骤5:在交换机S1的特权执行模式下,输入show port-security interface f0/3命令查看交换机S1的f0/3端口安全设置,如图18-29所示。18.4.3 粘滞端口安全的配置步骤6:在交换机S1的特权执
17、行模式下,输入show run interface f0/3命令查看交换机S1运行配置文件中f0/3端口的配置,如图18-30所示。步骤7:在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-31所示。18.4.3 粘滞端口安全的配置步骤8:将一台集线器接入交换机S1的f0/3端口,在集线器上连接计算机PC2和PC3,网络拓扑图如图18-32所示。当用集线器将计算机PC3接入交换机S1的f0/3端口时,交换机提示如图18-33所示的消息。18.4.3 粘滞端口安全的配置步骤9:在交换机S1的特权执行模式下,查看交换机S1的f0/3端口状态,如图18-34
18、所示。步骤10:在交换机S1的特权执行模式下,输入show port-security address命令查看安全MAC地址,如图18-35所示。18.4.3 粘滞端口安全的配置步骤11:在交换机S1的特权执行模式下,输入show port-security interface f0/3命令查看端口安全设置,如图18-36所示。步骤12:在计算机PC3的命令行界面输入ping 192.168.1.2命令检验连通性,如图18-37所示。18.4.3 粘滞端口安全的配置步骤13:在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-38所示。步骤14:在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性,如图18-39所示。学进习路由交换技术与实践Routing and Switching工业和信息化“十三五”高职高专人才培养规划教材步
