网络配置9 端口安全

1、网络设备配置与管理9配置交换机端口安全1项目9配置交换机端口安全【职业能力目标】掌握交换机端口安全作用。掌握交换机端口的地址绑定方法。掌握交换机端口连接数限制。掌握交换机风暴控制方法。2任务1配置交换机的端口安全（1）任务情境你是某公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的网络攻击和破坏行为，为每个员工分配了固定的IP地址，并且限制只允许公司内部员工主机可以使用网络，不得随意连接其他主机。3任务分析对于这一工作任务，公司网络接入交换机的所有端口配置最大连接数为“1”，并对公司内部每台主机连接的交换机端口进行MAC地址绑定。模拟网络拓扑图如图所示。任务1配置交换机的端口

2、安全（1）4任务实施1PC机配置主机PC0的IP地址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1；主机PC1的IP地址配置为192.168.1.20，子网掩码为255.255.255.0，网关为192.168.1.1；主机PC2的IP地址配置为192.168.1.30，子网掩码为255.255.255.0，网关为192.168.1.1。任务1配置交换机的端口安全（1）5任务实施2交换机配置第一步：进入全局配置模式SwitchenableSwitch #configure terminal Switch (config)#第二步：配置交换机端

3、口的最大连接数限制Switch (config)#interface range fastEthernet 0/1-23Switch (config-if-range)#switchport port-securitySwitch (config-if-range)#switchport port-security maximum 1Switch (config-if-range)#switchport port-security violation shutdownSwitch (config-if-range)#end任务1配置交换机的端口安全（1）6任务实施2交换机配置第三步：配置交换机

4、端口地址的绑定第四步：验证交换机端口安全功能效果在PC0连接交换机FA 0/1口、PC1连接交换机FA 0/2口、PC2连接交换机FA 0/10口情况下，PC0、PC1、PC2都能够PING通，测试结果如图所示。任务1配置交换机的端口安全（1）7任务实施2交换机配置第三步：配置交换机端口地址的绑定Switch (config)#interface fastEthernet 0/1Switch (config-if)#switchport port-securitySwitch (config-if)#switchport port-security mac-address 0001.6477.

5、091cSwitch (config-if)#exitSwitch(config)#Switch (config)#interface fastEthernet 0/2Switch (config-if)#switchport port-securitySwitch (config-if)#switchport port-security mac-address 0001.c9d3.3cedSwitch (config-if)#exitSwitch(config)#Switch (config)#interface fastEthernet 0/10Switch (config-if)#swi

6、tchport port-securitySwitch (config-if)#switchport port-security mac-address 00d0.5897.8a97Switch (config-if)#exit任务1配置交换机的端口安全（1）8任务实施3交换机配置第四步：验证交换机端口安全功能效果将PC0、PC1、PC2任何一个连接的交换机接口互换，PC0、PC1、PC2都不能够PING通，测试结果如图所示任务1配置交换机的端口安全（1）9相关知识1端口安全概述利用交换机端口安全这个特性，可以实现网络接入安全。具体可以通过限制允许访问交换机上某个端口的MAC以及IP地址来实现

7、严格控制对该端口的接入。当设置安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。（1）使用接口配置模式下的命令switchport port-security mac-address mac-addressip-address ip-address来手工配置端口的所有安全地址。（2）让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。任务1配置交换机的端口安全（1）10相关知识1端口安全概述当违例产生时（超过允许的最大连接数；收到数据包源地址不属于端口上的安全地址），你可以设置下面几种针对违例的处理模式：（1）protect：当安全地址

8、个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。（2）restrict：当违例产生时，丢弃并发送一个Trap通知给管理服务器。（3）shutdown：当违例产生时，将关闭端口并发送一个Trap通知。任务1配置交换机的端口安全（1）11相关知识2端口安全配置（1）默认配置值。交换机端口安全的具体内容有四项，它的默认配置如表所示：内 容默 认 设 置端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护（protect）任务1配置交换机的端口安全（1）12相关知识2端口安全配置（2）端口安全限制。交换机配置端口安全时有如下一些限制。

9、一个安全端口不能是一个aggregate port（聚合端口）。 一个安全端口只能是一个access port。（3）最大连接数配置过程： 从特权模式开始，你可以通过下表所示的步骤来配置一个安全端口和违例处理方式：任务1配置交换机的端口安全（1）13步骤命令含义第1步Configure terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport mode access设置接口为Access模式（默认为动态端口）第4步Switchport port-security打开端口安全功能（默认是关闭的）第5步Switchport por

10、t-security maximumvalue设置端口上安全地址的最大个数，范围1128，默认128第6步Switchport port-security violationprotect|restrict|shutdown设置违例处理方式；Protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包；restrict：当违例产生时，丢弃并发送一个Trap通知给管理服务器；shutdown：当违例产生时，将关闭端口并发送一个Trap通知。当端口因为违例而被关闭后，可以在全局配置模式下使用命令errdisable recovery来将接口从错

11、误状态恢复过来。第7步End回到特权模式第8步Show port-security interfaceinterface-id显示配置情况第9步Copy running-config startup-config保存配置14相关知识2端口安全配置（4）IP地址及MAC地址绑定配置从特权模式开始，你可以通过表所示步骤来手工配置一个安全端口上的安全地址：（模拟器暂不支持IP绑定）步 骤命 令含 义第1步Configure terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport port-security mac-address

12、mac-addressip-address ip-address手工配置接口安全地址第4步end回到特权模式第5步Show port-security address验证配置第6步Copy running-config startup-config保存配置任务1配置交换机的端口安全（1）15相关知识2端口安全配置（5）安全地址的老化时间配置。可以为一个端口上所有安全地址配置老化时间。具体步骤如表所示：（模拟器暂不支持）步 骤命 令含 义第1步Configure terminal进入全局配置模式第2步Interface interface-id进入接口配置模式第3步Switchport port

13、-security agingstatic|time timeStatic：表示老化时间将同时应用于手工配置的安全地址和学习的地址，否则只应用于自动学习的地址Time：表示这个端口上安全地址的老化时间，范围是01440分钟。如果设置为0，相当于老化功能被关闭。老化时间按照绝对的方式计时，也就是一个地址成为一个端口的安全地址后，经过time指定的时间后，这个地址就将被自动删除。Time默认值为0第4步end回到特权模式第5步Show port-security interface interface-id验证配置第6步Copy running-config startup-config保存配置任

14、务1配置交换机的端口安全（1）16相关知识2端口安全配置（6）查看交换机端口安全信息。在特权模式开始，可以通过表9.5所示命令来查看端口安全信息。步 骤命 令含 义第1步Show port-security interface interface-id查看端口的安全配置信息第2步Show port-security address查看安全地址信息第3步Show port-security interface-id address显示某个接口上的安全地址信息第4步Show port-security显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数及违例处理方式等任务1配置交换机的端

15、口安全（1）17例子：配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# s

16、witchport port-security violation protect Switch(config-if)# end18例子：配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwit

17、ch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)# end19查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect查看安全地址信息Switch# show port-security add

18、ress Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 120拓展知识1.交换机风暴控制（模拟器暂只支持broadcast参数）（1）概述。当交换机VLAN中存在过量的广播、多播或未知的单播包时，就会导致网络变慢和报文传输超时的几率大大增加。这种情况称为LAN风暴。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。（2）配置风暴控制。在接口配置模式下，使用如下命令配置风暴控制。Switch(c

19、onfig-if)#storm-control broadcast|multicast|unicastlevel percent|pps packets|rate-bps 广播|多播/组播 |未知单播 带宽百分比|数据包数量|比特速率（3）查看风暴控制状态，使用如下命令。Switch#show storm-controlinterface-id任务1配置交换机的端口安全（1）21拓展知识2.交换机端口保护（Protected Port）（模拟器暂不支持）（1）概述。有些应用环境下，要求一台设备上的的有些端口之间不能通信。在这种环境下，这些端口之间不论是广播帧、多播帧或单播帧，都只有通过三层设备

20、才能通信。您可以通过将某些端口设置为保护口（Protected Port），这样，保护口之间无法通信，保护口和非保护口之间可以正常通信。（2）配置保护口。配置保护口使用如下命令。Switch(config-if)#switchport protected通过no switchport protected命令将一个端口重新设置为非保护口。（3）显示保护端口使用如下命令。Switch#show interface switchport任务1配置交换机的端口安全（1）22任务2配置交换机端口安全（2）任务情境你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防

21、止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0090.210E.55A0。23任务分析交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：（1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包；（2）restrict当违例产生时，丢弃未知地址的包并发送一个trap

22、通知；（3）shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。网络拓扑图如图所示。任务2配置交换机端口安全（2）24任务实施第1步：配置交换机端口的最大连接数限制Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23 ！打开交换机1-23端口 Switch(config-if-range)# switchport mode accessSwitch(config-if-range)#switchport port-security ！开启1-23安全端口功能Switch(config-if-range)#switchport port-security maximum 1 ！开启端口的最大连接数为1任务2配置交换机端口安全（2）25任务实施第2步：配置安全违例的处理方式Switch(config-i