路由交换技术与实践项目18-交换机端口安全的配置课件

1、路由交换技术与实践工业和信息化“十三五”高职高专人才培养规划教材项目18交换机端口安全的配置人民邮电出版社知识梳理用户需求方案设计项目实施拓展训练一、用户需求 某学校办公网络部分网络拓扑图如图所示，为了提高网络的安全性，不允许接入交换机的不合法用户访问网络。怎样实现这样的功能？二、知识梳理端口安全 端口安全限制端口上所允许的有效MAC地址的数量，可以为安全端口分配安全MAC地址，当数据包的源地址不是已定义的安全地址时，端口不会转发。二、知识梳理安全MAC地址类型静态安全MAC地址 静态安全MAC地址是使用命令手动配置的交换机端口的安全MAC地址，存储在地址表中，并添加到交换机的运行配置中。动态

2、安全MAC地址 动态安全MAC地址是动态学习到的，并且仅存储在地址表中。动态安全MAC地址在交换机重新启动时将被移除。粘滞安全MAC地址 当在端口上启用安全MAC地址粘滞学习时，端口会将所有动态安全MAC地址（包括那些在启用粘滞获取之前动态获得的MAC地址）转换为粘滞安全MAC地址，并将所有粘滞安全MAC地址添加到运行配置中。二、知识梳理安全违规模式保护 保护违规模式下，当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，保护安全违规模式不会发送安全违规的通知。限制 限制违规模式下，当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，该模式会发送

3、SNMP Trap消息，记录系统日志，并增加违规计数器的计数。关闭 关闭违规模式下，端口安全违规将造成端口立即变为错误禁用（err-disabled ）状态，并关闭端口LED。该模式还会发送SNMP Trap消息、记录系统日志并增加违规计数器的计数。二、知识梳理配置命令启用端口安全和设置端口的违规模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 设置端口允许通过的最大MAC地址数量 Switch(config-if)#switchport port-security max

4、imum value设置静态安全MAC地址 Switch(config-if)#switchport port-security mac-address mac-address设置粘滞安全MAC地址 Switch(config-if)#switchport port-security mac-address sticky mac-address 显示交换机或指定端口的端口安全设置 Switch# show port-security interface interface-id显示所有交换机端口或某个指定端口上配置的所有安全MAC地址 Switch# show port-security in

5、terface interface-id address三、方案设计 网络拓扑图中，若要实现不允许接入交换机的不合法用户访问网络，可以启用端口安全（启用端口安全后，不合法的设备无法访问网络），可以采用静态端口安全、动态端口安全或粘滞端口安全，端口的违规模式可以配置为保护、限制或关闭。四、项目实施静态端口安全的配置 网络拓扑图如图所示，计算机PC1的MAC地址为54be.f74e.2456，计算机PC2的MAC地址为54be.f74e.2502。为了防止不合法用户访问网络，要求配置静态端口安全，使交换机的f0/2端口只允许计算机PC1接入，交换机f0/3端口只允许PC2接入，一旦两个端口有非法计

6、算机接入，将进入关闭模式。四、项目实施动态端口安全的配置 网络拓扑图如图所示，为了防止不合法用户访问网络，要求配置动态端口安全，使交换机S1的f0/3端口只允许两台计算机接入，一旦交换机端口有不合法计算机接入，端口将进入保护违规模式。四、项目实施粘滞端口安全的配置 网络拓扑图如图所示，为了防止不合法用户访问网络，要求配置粘滞端口安全，使交换机S1的f0/3端口只允许1台计算机接入，一旦有非法计算机接入，端口将进入限制安全违规模式。五、拓展训练网络拓扑图如图所示 ，要求完成如下配置。完成静态端口安全的配置，使交换机S1的f0/1端口仅允许计算机PC1接入。当有其他计算机接入时，端口将进入保护安全违规模式。完成动态端口安全的配置，使交换机S1的f0/2端口仅允许两台计算机接入。