交换机路由器配置与管理任务教程第三章课件

1、23 七月 2022网络设备配置与管理1第3章 交换机端口安全 23 七月 2022网络设备配置与管理2学习目标 知识目标掌握交换机交换的基本原理掌握端口安全在网络中的应用技能目标掌握交换机端口的安全配置的步骤与方法熟练掌握思科交换机MAC地址表的管理命令素养目标建立基本的网络信息安全意识了解企业常规的端口安全解决方案23 七月 2022网络设备配置与管理3基本原理连接在交换机端口上的主机通过地址解析协议ARP相互查询对方网卡的物理地址(又称 MAC地址，即Media AccessC ontrol地址)，以便进行相互间的数据帧的传输。由于交换机在数据传递过程中不用检查第三层(网络层)的包头信息

2、，而是直接由第二层帧结构中的MAC地址来决定数据的转发目标，因此，数据的交换过程几乎没有软件的参与，从而大大提高了交换进程的速率。23 七月 2022网络设备配置与管理4基本原理在交换式网络中，各主机的MAC地址是存储在交换机的MAC地址表(也称MAC地址数据库)中的。交换机在工作过程中，会向MAC地址表不断写入新学到的MAC地址。一旦交换机掉电或重新上电后，其内部的MAC地址表会被自动清空或清空后又重新建立。23 七月 2022网络设备配置与管理5MAC地址MAC地址是固化在网卡内部用于唯一确定网卡身份的标识，是网卡在生产时被永久写入芯片的固定值。全球的网卡生产厂商按照买得的MAC地址范围制

3、造网卡，因此不会有两块相同MAC地址的网卡。这样，MAC地址就可用做唯一标识设备的地址。第二层交换过程通过使用MAC地址在低层实现通信寻的，即是说，网络中的数据包最终是通过MAC地址找到目标的。23 七月 2022网络设备配置与管理6局域网的三种帧交换方式局域网交换机在传送数据时，采用帧交换(Frame Switching)，该技术包括三种主要的交换方式，即：存储转发(Store and Forward)伺机通过(Cut Through)自由分段(FragmentFree)。23 七月 2022网络设备配置与管理7存储转发LAN switch复制整个帧到它的缓冲区里。然后计算CRC。帧的长短可

4、能不一样,所以延时根据帧的长短而变化。如果CRC不正确,帧将被丢弃;如果正确， LAN switch查找硬件目标地址然后转发它们。交换机需要解读数据帧的目的地址与源地址，并在MAC地址列表中进行适当的过滤。23 七月 2022网络设备配置与管理8存储转发如果所接收到的数据帧存在错误、太短(小于64B)或太长(大于l 518B)，最终都会被抛弃。采用这种转发方式的交换机在接收数据帧时延迟较大，且越大的数据帧延迟时间越长。23 七月 2022网络设备配置与管理9伺机通过Cisco称这种模式叫cut-through,fastforward或者real time模式,使用这种模式的时候，LAN swi

5、tch只读取到帧的目标地址为止,减少延时,但是不适合于高偏向错误率的网络。在减少传输延迟的同时也削减了对数据帧的错误检测能力。23 七月 2022网络设备配置与管理10自由分段fragmentfree(modified cut-through):和cut-through类似，但在转发数据之前，过滤有包错误的冲突分段(长度为64B)。这是因为通常认为数据帧的错误总是发生在刚开始的64B内。该方式的错误检测级别要高于伺机通过交换方式。是Catalyst 1900的默认模式。23 七月 2022网络设备配置与管理11学习情境 23 七月 2022网络设备配置与管理12端口安全配置任务计划与设计 设计

6、局域网中的计算机配置192.168.1.0/30网段的地址。图3-2标出了每台计算机的具体IP地址。交换机的名称为switch1。设计交换机的Fa0/1端口只允许PC1通过。23 七月 2022网络设备配置与管理13任务实施与验证 23 七月 2022网络设备配置与管理1423 七月 2022网络设备配置与管理1523 七月 2022网络设备配置与管理16配置交换机端口安全 Switch1enaSwitch1#conf tSwitch1(config)#int f0/1Switch1(config-if)#shutdown Switch1(config-if)#switchport mode

7、access Switch1(config-if)#switchport port-security Switch1(config-if)#switchport port-security maximum 1Switch1(config-if)#switchport port-security violation shutdown Switch1(config-if)#switchport port-security mac-address 00D0.BC49.D378！设定PC1的安全MAC地址。Switch1(config-if)#no shut 23 七月 2022网络设备配置与管理17查看交换机端口安全信息 Switch1#show mac-address-table Mac Address Table-Vlan Mac Address Type Ports- - - - 1 0001.64eb.d81b DYNAMIC Fa0/2 1 00d0.bc49.d378 STATIC Fa0/1 拓展学习端口安全设置一般有三种方式，一是静态配置一个端口允许访问的主机,二是建立基于 MAC 访问控制列表，三是 IP