Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制

通过MAC地址表记录连接到交换机端口的以太网MAC地址（即网卡号），并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。

情境分析

非授权的计算机接入网络造成公司信息管理成本增加，不仅影响公司正常用户的网络使用，并且能造成严重的网络安全问题。在接入交换机上配置端口安全功能，利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题，而且还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

所需设备：

（1）CISCO3560三层交换机1台。

（2）CISCO2960二层交换机1台。

（3）PC机4台。

（4）直通线4条。

（5）交叉线1条。

（6）Console配置线1条。

实训拓扑，如图5-1-1所示。

图5-1-1 交换机端口安全配置

网络设备和PC机的IP地址及端口信息，如表5-1-1所示。

表5-1-1 网络设备和PC机的IP地址及端口信息表

设备

端口成员

IP地址

子网掩码

备注

C3560的Vlan0

192.168.1.254

255.255.255.0

C3560的Vlan20

192.168.2.254

255.255.255.0

C3560

Fa0/1

255.255.255.0

trunk

C2960的Vlan 10

Fa0/1

255.255.255.0

Fa0/2

255.255.255.0

C2960的Vlan 20

Fa0/3

255.255.255.0

Fa0/4

255.255.255.0

C2960

Fa0/24

255.255.255.0

trunk

PC1

192.168.1.1

255.255.255.0

mac: 000B.BE24.625A

PC2

192.168.1.2

255.255.255.0

mac: 0009.7C90.B8B8

PC3

192.168.2.1

255.255.255.0

mac: 00D0.9777.EA8C

PC4

192.168.2.2

255.255.255.0

mac: 0001.43AA.3B92

步骤实现

步骤1：按照如图5-1-1所示，连接网络拓扑结构图。

步骤2：按照如表5-1-1所示，配置计算机的IP地址、子网掩码和网关。

步骤3：配置交换机C2960的主机名称，创建vlan10和vlan20，将fa0/1-2划入vlan10，fa0/3-4划入vlan20，将fa0/24配置成trunk。

Switch>enable

Switch#conf t

Switch(config)#hostname C2960  修改主机名为C2960

C2960(config)#vlan 10  进入vlan

C2960(config-vlan)#exit

C2960(config)#vlan 20

C2960(config-vlan)#exit

C2960(config)#int range f0/1-2  批量进入端口

C2960(config-if-range)#switchport mode access 开启访问模式 

！将端口设置为访问模式后，此端口才能启用port-security功能

C2960(config-if-range)#switchport access vlan 10  把vlan划分到端口里面

C2960(config-if-range)#exit

C2960(config)#int range f0/3-4

C2960(config-if-range)#switchport mode access

C2960(config-if-range)#switchport access vlan 20

C2960(config-if-range)#exit

C2960(config)#int f0/24

C2960(config-if)#switchport mode trunk  开启truck模式，允许所有vlan通过

C2960(config-if)#exit

C2960(config)#

基于中继链路协商的原则，C2960通过配置trunk来向C3560发送DTP(动态中继协议)并与C3560协商中继链路。即只需在C2960设备（或C3560）一端配置trunk就可以实现中继链路协商成功。

步骤4：配置交换机C3560的主机名称，创建Vlan10和vlan20，并Vlan10和vlan20的SVI接口配置IP地址，并启用交换机的路由功能。

Switch>enable

Switch#conf t

Switch(config)#hostname C3560

C3560(config)#vlan 10

C3560(config-vlan)#exit

C3560(config)#vlan 20

C3560(config-vlan)#exit

C3560(config)#int vlan 10

C3560(config-if)#ip address 192.168.1.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config-if)#exit

C3560(config)#int vlan 20

C3560(config-if)#ip address 192.168.2.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config-if)#exit

C3560(config)#ip routing             ！三层交换机须启用路由功能才能实现VLAN间通信

C3560(config)#

步骤5：在交换机C2960上针对不同VLAN的主机配置端口安全。

C2960(config)#int range f0/1-2                           ！进入VLAN10所在端口

C2960(config-if-range)#switchport port-security       ！将f0/1和f0/2端口启用端口安全功能

C2960(config-if-range)#switchport port-security maximum 1  ！设置端口的最大连接数为1

C2960(config-if-range)#switchport port-security violation shutdown

                                                             ！设置违例处理方式为关闭端口

C2960(config-if-range)#switchport port-security mac-address sticky

                                                       ！设置基于粘性的安全MAC地址

C2960(config-if-range)#exit

C2960(config)#int f0/3                                   ！进入f0/3端口

C2960(config-if)#switchport port-security          ！将f0/3端口启用端口安全功能

C2960(config-if)#switchport port-security mac-address 00d0.9777.ea8c

                                                          ！将f0/3端口进行MAC地址绑定

C2960(config-if)#switchport port-security violation shutdown

                                                            ！设置违例处理方式为关闭端口

C2960(config-if)#exit

C2960(config)#int f0/4                                    ！进入f0/4端口

C2960(config-if)#switchport port-security          ！将f0/4端口启用端口安全功能

C2960(config-if)#switchport port-security mac-address 0001.43aa.3b92

                                                          ！将f0/4端口进行MAC地址绑定

C2960(config-if)#switchport port-security violation shutdown

                                                          ！设置违例处理方式为关闭端口

C2960(config-if)#exit

C2960(config)#

基于粘滞的端口安全工作机制是当接口通过自动学习添加了白名单，这时该白名单会以配置的形式保存在交换机上，即便接口关闭后，该接口原有的MAC地址表项删除了，该白名单信息还存在，这样比较安全。

步骤6：验证

C2960#show mac-address-table   查看设备MAC地址表

C2960#show port-security   查看端口安全配置
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown               ！端口安全已经配置
Fa0/2 1 1 0 Shutdown               ！端口安全已经配置
Fa0/3 1 1 0 Shutdown               ！端口安全已经配置
Fa0/4 1 1 0 Shutdown               ！端口安全已经配置
----------------------------------------------------------------------
C2960#

C2960#show port-security interface fa0/1  查看fa0/1的端口配置是否生效
Port Security : Enabled                  ！已开启
Port Status : Secure-up                  ！已生效
Violation Mode : Shutdown                ！违例就关闭

当端口因违例而被关闭后，要恢复端口状态有两种方法：

（1）在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。（模拟器不支持）

（2）先将已关闭端口配置shutdown之后再配置no shutdown即可。

安全的MAC地址类型有三种：

（1）静态安全的MAC地址:手工配置，存储在MAC地址表内并加入到交换机的配置文件中(running-config)。

（2）动态安全的MAC地址:动态学习，只存储在MAC地址表中，交换机重启之后丢失。

（3）粘性(sticky)安全的MAC地址:可以动态学习，也可以手工配置，存储在MAC地址表内并加入到交换机的配置文件中(running-config)，如果配置被保存，即使交换机重启也无需重新配置。

当安全违例产生时，处理方式有3种：

（1）protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。

（2）restrict：当违例产生时，将发送一个trap通知。

（3）shutdown：当违例产生时，将关闭端口并发送一个trap通知。

2.MAC地址绑定

Mac地址是一台交换机发送给一台主机的信息，是定向回复的，一般都是静态端口类型

（静态端口类型情况下，发送的信息只有自己知道，别人无法改变）

二、交换机的风暴控制

（1）概述

端口接收到过量的广播、未知名多播或未知名单播包时，数据包的广播风暴就产生，导致报文传输延时增大和网络变慢。

可以分别针对广播、未知名多播或未知名单播数据流进行风暴控制。当接口接收到的广播、未知名多播或未知名单播包的速率超过所设定的阀值时，设备将只允许通过所设定阀值带宽的报文，超出阀值部分的报文将被丢弃，直到数据流恢复正常，从而避免过量的泛洪报文进入局域网形成风暴。

（2）配置风暴控制

缺省情况下，针对广播、多播和未知名单播的风暴控制功能均被关闭。

在接口配置模式下配置风暴控制：

Switch(config)#
Switch(config)#in f0/1  进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 
 打开交换机风暴控制功能，允许通过的带宽为20%

课堂训练

（1）在交换机上的端口fastethernet 0/1上应用端口安全功能，设置最大地址个数为2，设置违例方式为shutdown。

（2）为交换机上的端口fastethernet 0/10上应用端口安全功能，并配置一个安全地址：1d01.1f0c.017a。

学习小结：

交换机端口安全模式配置：
Switch(config)#in f 0/1
Switch(config-if)#sw mo a
Switch(config-if)#sw mo t

Switch(config-if)#switchport port-security  开启交换机的端口安全模式

Switch(config-if)#switchport port-security maximum 1  设置端口最大连接数为1  
 PS:maximum value    value  安全地址的最大值，范围为1—128

Switch(config-if)#sw port-security violation ?  违规处理方式

  protect   Security violation protect mode   当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。
  restrict  Security violation restrict mode  发送通知
  shutdown  Security violation shutdown mode  发送通知并关闭端口
Switch(config-if)#sw port-security violation shutdown  设置违规处理方式为关闭端口

Switch(config-if)#sw port-security mac-address sticky  设置基于粘性的mac地址

Switch(config-if)#sw port-security mac-address 00d0.9777.ea8c  将端口进行mac地址绑定

（2）配置保护端口

switch(config-if)# switchport protected

（3）查看保护端口

switch# show interfaces switchport

交换机风暴控制：
Switch(config)#
Switch(config)#in f0/1  进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 
 打开交换机风暴控制功能，允许通过的带宽为20%

每日一言：

一年中和一生中的秋天，时光很短暂，但是更加晴朗而缺少变化。