配置互换机端口安全

干翻全岛蛙蛙  金牌会员 | 2024-8-24 14:47:30 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 887|帖子 887|积分 2661

1、实验目的

通过本实验可以掌握:

  • 互换机管理地址配置及接口配置。
  • 查看互换机的MAC地址表。
  • 配置静态端口安全、动态端口安全和粘滞端口安全的方法。
2、实验拓扑

配置互换机端口安全的实验拓扑如图所示。

3、实验步骤

(1)互换机基本配置

  1. S1(config)#interface vlan 1
  2. //配置交换机交换虚拟接口,用于交换机远程管理
  3. S1(config-if)#ip address 172.16.1.100 255.255.255.0
  4. S1(config-if)#no shutdown
  5. S1(config-if)#exit
  6. S1(config)#ip default-gateway 172.16.1.1
  7. //配置交换机默认网关
  8. S1(config)#interface fastEthernet 0/11
  9. S1(config-if)#duplex auto            //配置以太网接口双工模式,默认时双工状态是auto
  10. S1(config-if)#speed auto             //配置以太网接口的速率,默认时速率是自适应即auto
  11. S1(config-if)#mdix auto              //配置auito-MDIX
  12. S1(config-if)#exit
  13. S1(config)#interface range f0/5-9,f0/13-24,g0/1,g0/2
  14. S1(config-if-range)#shutdown
  15. //以上2行批量禁用未使用的端口
复制代码
【技术要点】
在以太网接口上使用auto-MDIX(自动介质相关接口交织)功能可以办理直通和交织乡缆的自顺应问题,该功能默认启用,但是接口的速率和双工模式必须是 auto,否则该功能见效
 (2)查看互换机的MAC地址表

        起首在计算机 PC0、PC1和 Serverl上配置正确的IP地址,并且用 ipconfig /all命令查看各台计算机网卡的MAC地址,记下来,然后在计算机PC0上分别ping PC1和 Serverl,进行连通性测试,接下来查看互换机MAC地址表。
  1. S1#show mac-address-table
  2.           Mac Address Table
  3. -------------------------------------------
  5. Vlan    Mac Address       Type        Ports
  6. ----    -----------       --------    -----
  8.    1    0006.2a49.318b    DYNAMIC     Fa0/12 //计算机PC1网卡的MAC地址
  9.    1    0090.2b23.a24b    DYNAMIC     Fa0/10 //计算机PC0网卡的MAC地址
  10.    1    00d0.97db.6750    DYNAMIC     Fa0/11 //计算机Server1网卡的MAC地址
  11. S1#
复制代码
         以上表现了互换机S1上的MAC地址表,此中 vlan字段表现互换机端口地点的VLAN;Mac Address字段表现与端口相连的设备的MAC地址:Type字段表现填充MAC地址记录的类型,DYNAMIC表现MAC记录是互换机动态学习的,STATIC表现MAC记录是静态配置或体系保留的orts字段表现设备毗连的互换机端口。
1、可以通过下面命令查看互换机动态学习的MAC地址表的超时时间或老化时间,默认为300秒。
  1. S1#show mac address-table aging-time
  2. Global Aging Time:  300
  3. Vlan    Aging Time
  4. ----    ----------
  5. S1#
复制代码
 
2、可以通过下面命令修改VLAN 1的 MAC地址表的超时时间为120秒。
  1. S1(config)#mac address-table aging-time 120 vlan 1
复制代码
 
3、可以通过下面命令配置静态填充互换机MAC地址表。 
  1. S1(config)#mac address-table static 0001.c95d.d021 vlan 1 interface fastEthernet 0/11
复制代码
(3)配置互换机静态端口安全

  1. S1(config)#interface fastEthernet 0/11
  2. S1(config-if)#switchport mode access
  3. //端口配置为接入模式,配置端口安全的端口不能是动态协商模式
  4. S1(config-if)#switchport port-security     //打开交换机的端口安全功能
  5. S1(config-if)#switchport port-security maximum 1
  6. //配置端口允许接入设备的MAC地址最大数目,默认是1,即只允许一个设备接入
  7. S1(config-if)#switchport port-security mac-address 0001.c95d.d021
  8. //配置端口允许接入计算机的MAC地址
  9. S1(config-if)#switchport port-security violation shutdown
  10. //配置端口安全违规惩罚模式,这也是默认的惩罚行为
  11. S1(config-if)#exit
  12. S1(config)#errdisable recovery cause psecure-violation
  13. //允许交换机自动恢复因端口安全而关闭的端口
  14. S1(config)#errdisable recovery interval 30
  15. //配置交换机自动恢复端口的周期,时间间隔单位为秒
复制代码
        在互换机S1上配置端口安全,Fa0/10配置动态端口安全;FaO/11配置静态端口安全;Fa0/12配置粘滞端口安全。因为互换机FaO/11端口毗连Serverl服务器,服务器不会轻易更换,适合配置静态端口安全。
此时,从Server1 上 ping互换机的管理地址,可以 ping通。
(4)验证互换机静态端口安全

  1. S1#show  mac-address-table
  2.           Mac Address Table
  3. -------------------------------------------
  5. Vlan    Mac Address       Type        Ports
  6. ----    -----------       --------    -----
  8.    1    0001.c95d.d021    STATIC      Fa0/11 //Server1的网卡MAC地址静态加入MAC地址表
  9. S1#
复制代码
在S1端口Fa0/11接入另一台计算机,模拟非法服务器接入,互换机表现的信息如下:
  1. *Apr  3 07:43:43.080: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
  2. S1#
  3. *Apr  3 07:43:43.080: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0200 on port Ethernet0/1.
  4. *Apr  3 07:43:44.084: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down
  5. S1#
  6. *Apr  3 07:43:45.080: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down
复制代码
 
以上输出表现了互换机启用端口安全的端口、允许毗连最大MAC地址的数目、目前毗连MAC地址的数目、惩罚计数和惩罚模式。
  1. S1#show port-security interface fastEthernet 0/11
  2. Port Security              : Disabled
  3. Port Status                : Secure-down
  4. Violation Mode             : Shutdown
  5. Aging Time                 : 0 mins
  6. Aging Type                 : Absolute
  7. SecureStatic Address Aging : Disabled
  8. Maximum MAC Addresses      : 1
  9. Total MAC Addresses        : 1
  10. Configured MAC Addresses   : 1
  11. Sticky MAC Addresses       : 0
  12. Last Source Address:Vlan   : 0000.0000.0000:0
  13. Security Violation Count   : 0
复制代码
移除非法设备后,重新毗连Serverl到该接口,由于已经配置了端口 errdisable自动规复所以互换机表现自动规复的消息如下:
【提示】
假如没有配置由于端口安全惩罚而关闭的端口自动规复,则需要管理员在互换机的Fa0/11端口下执行 shutdown和 no shutdown命令来重新开启该端口,假如还是非法主机实验毗连,则继续惩罚,端口再次变为err-disable状态。
(5)配置互换机动态端口安全

  很多公司员工使用笔记本电脑办公,而且位置不固定(如会议室),因此适合配置动态端口安全,限制每个端口只能毗连1台计算机,避免用户私自毗连AP或者其他的互换机而带来安全隐患。互换机 Fa0/10端口毗连计算机不固定,适合配置动态端口安全,安全惩罚模式为restrict。
  1. S1(config)#interface fastEthernet 0/10
  2. S1(config-if)#switchport mode access
  3. S1(config-if)#switchport port-security
  4. S1(config-if)#switchport port-security maximum 1
  5. S1(config-if)#switchport port-security violation restrict
  6. S1(config-if)#exit
复制代码
(6)验证动态端口安全

  1. S1#show port-security interface fastEthernet 0/10
  2. Port Security              : Enabled
  3. Port Status                : Secure-up
  4. Violation Mode             : Restrict
  5. Aging Time                 : 0 mins
  6. Aging Type                 : Absolute
  7. SecureStatic Address Aging : Disabled
  8. Maximum MAC Addresses      : 1
  9. Total MAC Addresses        : 0
  10. Configured MAC Addresses   : 0
  11. Sticky MAC Addresses       : 0
  12. Last Source Address:Vlan   : 0000.0000.0000:0
  13. Security Violation Count   : 0
复制代码
(7)配置粘滞端口安全

很多公司员工使用台式电脑办公,位置固定,假如配置静态端口安全,需要网管员到员工的计算机上查看MAC地址,工作量巨大。为了减轻工作量,适合配置粘滞端口安全,限制每个端口只能毗连1台计算机,避免其他用户的计算机使用互换机端口而带来安全隐患。互换机Fa0/12端口毗连计算机位置固定,适合配置粘滞端口安全,安全惩罚模式为restrict。
  1. S1(config)#interface fastEthernet 0/12
  2. S1(config-if)#switchport mode access
  3. S1(config-if)#switchport port-security
  4. S1(config-if)#switchport port-security maximum 1
  5. S1(config-if)#switchport port-security violation restrict
  6. S1(config-if)#switchport port-security mac-address sticky
  7. //配置交换机端口自动粘滞访问该端口计算机的 MAC地址
  8. S1(config-if)#exit
复制代码
(8)验证粘滞端口安全

从PC1 上 ping互换机172.16.1.100,然后验证。
  1. S1#show port-security interface fastEthernet 0/12
  2. Port Security              : Enabled
  3. Port Status                : Secure-up
  4. Violation Mode             : Restrict
  5. Aging Time                 : 0 mins
  6. Aging Type                 : Absolute
  7. SecureStatic Address Aging : Disabled
  8. Maximum MAC Addresses      : 1
  9. Total MAC Addresses        : 1
  10. Configured MAC Addresses   : 0
  11. Sticky MAC Addresses       : 1
  12. Last Source Address:Vlan   : 0006.2A49.318B:1
  13. Security Violation Count   : 0
复制代码


 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

干翻全岛蛙蛙

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表