第5讲端口安全配置

回顾1.什么情况下可以应用TRUNK技术？2.动态协商desirable可以和哪几种模式协商成中继链路？任务五

端口安全配置教学目标知识目标：

◎了解端口安全作用；◎掌握端口安全配置命令。能力目标：

◎能配置端口安全；◎能正确端口安全。素质目标：◎培养团队协作能力、领悟能力、工作协调能力。

拓扑结构及说明交换机Ａ通过f0/1端口与交换机Ｂ的f0/1端口相连。任务要求：◎在交换机Ｂ上的f0/1端口上配置端口安全最大地址数

为３，并且该接口下只能接交换机Ａ、PC1和PC2，

违例处理方式为shutdown；◎在交换机Ａ上的f0/3上绑定pc1的mac地址，在交换机

Ａ上的f0/2上绑定pc2的mac地址，违例处理方式

为protect。

验证与测试：◎交换机B上，使用命令showport-securityinterfacef0/1

查看f0/1接口安全配置信息；◎交换机B上，使用命令showport-security

address查

看安全地址数；pc1,pc2pingpc3是否能通信；◎交换机A上添加一台PC4，pc4pingpc3是否能通信,再

测试pc1,pc2◎pingpc3是否能通信，并在交换机B上使用命令show

interfacef0/1查看接口状态；◎交换机A上的

PC1换成另一台PC5，pc5pingpc2是否

能通信。相关知识：◎端口安全作用;◎端口安全配置;重点：◎端口安全配置;难点：◎端口安全配置;相关知识---

端口安全概述端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1X（二层协议）认证和MAC地址认证的扩充。

（1）端口安全作用●防止非授权设备访问连接网络；●控制接口合法接入设备数量；●对非法的MAC地址和不符合接入数量的设备可以自动进行处理。

相关知识---端口安全SASA设置端口安全，F0/1接口只允MAC00:00:00:00:00:01的主机接入。MAC:00:00:00:00:00:01F0/1MAC:00:00:00:00:00:02相关知识---端口安全SASA设置端口安全，F0/1接口只允2个合法地址接入。F0/1PC1PC2相关知识---端口安全配置（1）配置步骤

①进入接口模式②设置接口为ACCESS③开启端口安全功能④设置安全地址或最大数量⑤设置违例方式相关知识---端口安全配置（2）配置命令

①开启端口安全功能

Switchportport-security例如：打开端口安全功能SA(config)#interfacef0/1SA(config-if)#switchportmodeaccessSA(config-if)#Switchportport-security

相关知识---端口安全配置

②设置端口授权访问的最大MAC地址数

Switchportport-securitymaximumvaluevalue：表示参数，如：1—128，1-132

例如：设置端口授权访问的最大MAC地址数为4。SA(config-if)#Switchportport-securitymaximum4例如：设置端口授权访问的最大MAC地址数为８。

请大家完成。

相关知识---端口安全配置③指定授权访问的主机MAC地址

Switchportport-securitymac-address

mac-address|sticky

Mac-address:静态MAC地址Sticky:配置动态黏性地址

例如：设置授权访问的主机MAC地址为：00:00:00:00:00:01Switchportport-securitymac-address0000:0000:0001

例如：设置授权访问的主机MAC地址为动态黏性请大家完成。

相关知识---端口安全配置④设置端口安全违例处理方式

Switchportport-securityviolationprotect|restrict|shutdown

Protect:表示保护模式，对违规数据直接丢弃，不发出

警告。Restrict:表示限制模式，丢弃违规数据，并发送trap给

管理主机。Shutdown:表示端口禁用模式，使端口关闭，并发送trap

给管理主机。

相关知识---端口安全配置例如：设置端口安全违例处理方式为shutdownSwitchportport-securityviolationshutdown例如：设置端口安全违例处理方式为ProtectSwitchportport-securityviolationProtect相关知识---端口安全配置⑤显示系统中的所有安全地址

showport-securityaddress

相关知识---端口安全配置⑥显示的是安全端口的统计信息

配置实例在交换机SA的F0/1端口上配置端口安全，要求最大安全数为1，并只允许PC1接入，设置违例方式为shutdown。SAf0/1MAC:1111.1111.1111PC1SA(config)#interfacef0/1SA(config-if)#switchportmodeaccessSA(config-if)#Switchportport-securitySA(config-if)#Switchportport-securitymaximum1SA(config-if)#Switchportport-securitymac-address1111:1111:1111SA(config-if)#Switchportport-securityviolation

shutdown补充：交换机telnet配置配置步骤：1.设置管理IP2.设置特权密码3.配置telnet密码配置命令：1.设置管理IP

SA(config)#interfacevlan1SA(config-if)#ipaddress192.168.1.1255.255.255.0SA(config-if)#noshutdown2.设置特权密码SA(config)#enablepassword123

3.设置远程登录密码SA(config)#linevty04