1、第4章 交换机安全配置 实训4-1:交换机的端口安全配置(学时),本次课要点,学习目标重点难点,实训目的,掌握交换机的端口绑定功能,控制用户的安全接入,实训背景,某公司要求对网络进行严格控制,防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。公司的网络管理员小陈需要为每一位员工分配固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其它主机。,实训拓扑,实训设备,实训步骤,1.按照实训拓扑将计算机连接到交换机上2.配置计算机3.配置交换机端口的最大连接数限制4.配置交换机端口的地址绑定5.在PC1、PC2上相互ping对方6.在F0/3接口上做MAC地址绑定7.
2、把PC2连接到F0/3接口上8.恢复关闭的端口9.实训完成,1.按照实训拓扑将计算机连接到交换机上,2.配置计算机,2.配置计算机,(1)配置计算机的IP地址(2)在PC1上打开命令窗口,执行ipconfig /all命令,查看PC1的IP和MAC地址信息,如所示。,2.配置计算机,(3)查看PC2的IP和MAC地址信息,如所示。,3.配置交换机端口的最大连接数限制,3.配置交换机端口的最大连接数限制,SW(config)#inter rang f0/1 - 24SW(config-if-range)#switchport port-securitySW(config-if-range)#sw
3、itchport port-security maximum 1SW(config-if-range)#switchport port-security violation shutdownSW(config-if-range)#,4.配置交换机端口的地址绑定,4.配置交换机端口的地址绑定,SW(config)#inter f0/1SW(config-if)#switchport port-security mac-address C80A.A948.5671 ip-address 192.168.1.1SW(config-if)#SW(config)#inter f0/2SW(config-
4、if)#switchport port-security mac-address 000C.29FE.6CE5 ip-address 192.168.1.2SW(config-if)#endSW#show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -,4.配置交换机端口的地址绑定,1 C80A.A948.5671 192.168.1.1 Configured FastEthernet 0/1 - 1 000C.29FE.6CE5 192.168.1.2 Conf
5、igured FastEthernet 0/2 -,5.在PC1、PC2上相互ping对方,5.在PC1、PC2上相互ping对方,6.在F0/3接口上做MAC地址绑定,6.在F0/3接口上做MAC地址绑定,SW(config)#inter f0/3SW(config-if)#switchport port-security mac-address 0015.a66e.e5d7SW(config-if)#,7.把PC2连接到F0/3接口上,7.把PC2连接到F0/3接口上,SW#Apr 23 18:03:24 %LINK-5-CHANGED: Interface FastEthernet 0/
6、2, changed state to downApr 23 18:03:24 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/2, changed state to downApr 23 18:03:28 %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.977e.fdef on port FastEthernet 0/3.SW#show inter f0/3Index(dec):3
7、 (hex):3FastEthernet 0/3 is DOWN , line protocol is DOWNHardware is marvell FastEthernet,7.把PC2连接到F0/3接口上,Interface address is: no ip address,8.恢复关闭的端口,8.恢复关闭的端口,SW#conf tEnter configuration commands, one per line. End with CNTL/Z.SW(config)#inter f0/3SW(config-if)#no shutdownPort in violation! Use
8、errdisable recovery command to up the port!SW(config-if)#exitSW(config)#errdisable recoverySW(config)#Apr 23 15:11:33 %PORT_SECURITY-4-ERR_RECOVER: Interface FastEthernet 0/3 recover from an error.SW(config),8.恢复关闭的端口,#Apr 23 18:12:35 %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.977e.fdef on port FastEthernet 0/3.,9.实训完成,9.实训完成,【注意事项】交换机端口安全功能只能在ACCESS接口进行配置,不能对于trunk接口进行配置。交换机最大连接数限制取值范围是1128,默认是128。交换机最大连接数限制默认的处理方式是protect。,Thank You !,
