cisco交换机的端口安全配置.pdf

【官方提供】 【实验文档】 【实验 0021】 【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用 户的 IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固 定的IP地址，并且限制只允许公司员工主机可以使用网络00-06-1B-DE-13-B4。该 主机连接在1台2126G上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户 的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数， 二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行 恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。 可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻 击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违 例，产生安全违例的处理方式有3种： protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安 全地址中的任何一个）的包。 restrict 当违例产生时，将发送一个 Trap 通知。 shutdown 当违例产生时，将关闭端口并发送一个 Trap 通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令 errdisable recovery 来 将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为 1，针对 PC1 主机的接口进行 IP＋MAC 地址绑定。 【实验设备】 S2126G 交换机（1 台），PC （1 台）、直连网线（1 条） 【实验拓扑】 图 26 【实验步骤】 步骤 1. 配置交换机端口的最大连接数限制。 Switch#configure terminal Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的 配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能 Switch(config-if-range)#switchport port-secruity maximum 1 ! 配置端口的最大连接数为 1 Switch(config-if-range)#switchport port-secruity violation shutdow !配置安全违例的处理方式为 shutdow 验证测试：查看交换机的端口安全配置。 Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Actio Fa0/1 1 0 Shutdow Fa0/2 1 0 Shutdow Fa0/3 1 0 Shutdow Fa0/4 1 0 Shutdow Fa0/5 1 0 Shutdow Fa0/6 1 0 Shutdown Fa0/7