项目4-1端口安全m课件讲解

项目4配置交换机端口安全与端口聚合任务1配置交换机的端口安全湖南铁道职业技术学院言海燕《网络设备配置与管理》之交换机篇任务描述新知探索

任务实施任务拓展考核评价课后拓展你是某公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的网络攻击和破坏行为，为每个员工分配了固定的IP地址，并且限制只允许公司内部员工主机可以使用网络，不得随意连接其他主机。1．端口安全概述利用交换机端口安全这个特性，可以实现网络接入安全，具体可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现严格控制对该端口的输入。当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。（1）使用接口配置模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]来手工配置端口的所有安全地址。（2）让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。任务描述新知探索

任务实施任务拓展考核评价课后拓展1．端口安全概述当违例产生时，你可以设置下面几种针对违例的处理模式。（1）protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。（2）restrict：当违例产生时，将发送一个Trap通知。（3）shutdown：当违例产生时，将关闭端口并发送一个Trap通知。任务描述新知探索

任务实施任务拓展考核评价课后拓展2．端口安全配置（1）默认配置值。交换机端口安全的具体内容有四项，它的默认配置如表所示。内

容默认设置端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护（protect）任务描述新知探索

任务实施任务拓展考核评价课后拓展2．端口安全配置（2）端口安全限制。交换机配置端口安全时有如下一些限制。①一个安全端口不能是一个aggregateport。②一个安全端口只能是一个accessport。（3）配置方法。从特权模式开始，你可以通过表所示的步骤来配置一个安全端口和违例处理方式。步骤命令含义第1步Configureterminal进入全局配置模式第2步Interfaceinterface-id进入接口配置模式第3步Switchportmodeaccess设置接口为Access模式第4步Switchportport-security打开端口安全功能第5步Switchportport-securitymaximumvalue设置端口上安全地址的最大个数，范围1～128，默认128第6步Switchportport-securityviolation{protect|restrict|shutdown}设置违例处理方式Protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。restrict：当违例产生时，将发送一个Trap通知。shutdown：当违例产生时，将关闭端口并发送一个Trap通知。当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisablerecovery来将接口从错误状态恢复过来。第7步End回到特权模式第8步Showport-securityinterface[interface-id]验证配置第9步Copyrunning-configstartup-config保存配置任务描述新知探索

任务实施任务拓展考核评价课后拓展2．端口安全配置（4）IP地址及MAC地址绑定。从特权模式开始，你可以通过表所示步骤来手工配置一个安全端口上的安全地址。步

骤命

令含

义第1步Configureterminal进入全局配置模式第2步Interfaceinterface-id进入接口配置模式第3步Switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口安全地址第4步end回到特权模式第5步Showport-securityaddress验证配置第6步Copyrunning-configstartup-config保存配置任务描述新知探索

任务实施任务拓展考核评价课后拓展1．PC机配置主机PC0的IP地址配置为192.168.1.10，子网掩码为255.255.255.0，网关为192.168.1.1；主机PC1的IP地址配置为192.168.1.20，子网掩码为255.255.255.0，网关为192.168.1.1；主机PC2的IP地址配置为192.168.1.30，子网掩码为255.255.255.0，网关为192.168.1.1。任务描述新知探索

任务实施任务拓展考核评价课后拓展2．交换机配置步骤1：进入全局配置模式Switch>enableSwitch#configureterminalSwitch(config)#步骤2：配置交换机端口的最大连接数限制Switch(config)#interfacerangefastEthernet0/1-23Switch(config-if-range)#switchportport-securitySwitch(config-if-range)#switchportport-securitymaximum1Switch(config-if-range)#switchportport-securityviolationshutdownSwitch(config-if-range)#end任务描述新知探索

任务实施任务拓展考核评价课后拓展2．交换机配置步骤3：配置交换机端口地址的绑定步骤4：验证交换机端口安全功能效果在PC0连接交换机FA0/1口、PC1连接交换机FA0/2口、PC2连接交换机FA0/10口情况下，PC0、PC1、PC2都能够PING通，测试结果如图所示。任务描述新知探索

任务实施任务拓展考核评价课后拓展2．交换机配置步骤5：配置交换机端口地址的绑定Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address0001.6477.091cSwitch(config-if)#exit任务描述新知探索

任务实施任务拓展考核评价课后拓展Switch(config)#Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address0001.c9d3.3cedSwitch(config-if)#exitSwitch(config)#Switch(config)#interfacefastEthernet0/10Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.5897.8a97Switch(config-if)#exit任务描述新知探索

任务实施任务拓展考核评价课后拓展3．交换机配置步骤6：验证交换机端口安全功能效果将PC0、PC1、PC2任何一个连接的交换机接口互换，PC0、PC1、PC2都不能够PING通，测试结果如图所示任务描述新知探索

任务实施任务拓展考核评价课后拓展你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4.该主机连接在1台2126G上边。任务描述新知探索任务实施任务拓展考核评价课后拓展任务描述新知探索任务实施任务拓展考核评价课后拓展测一测任务描述新知探索任务实施任务拓展考核评价课后拓展1.当打开交换机的端口安全功能后，只要端口连接了计算机，则端口获得了MAC地址为静态，则无法进行switchport