1、实验目的
通过本实验可以掌握:
- 交换机管理地址配置及接口配置。
- 查看交换机的MAC地址表。
- 配置静态端口安全、动态端口安全和粘滞端口安全的方法。
2、实验拓扑
配置交换机端口安全的实验拓扑如图所示。
3、实验步骤
(1)交换机基本配置
【技术要点】
在以太网接口上使用auto-MDIX(自动介质相关接口交叉)功能可以解决直通和交叉乡缆的自适应问题,该功能默认启用,但是接口的速率和双工模式必须是 auto,否则该功能生效
2)查看交换机的MAC地址表
首先在计算机 PCI、PC2和 Serverl上配置正确的IP地址,并且用 ipconfig /all命令查看各台计算机网卡的MAC地址,记下来,然后在计算机PCl上分别ping PC2和 Serverl,进行连通性测试,接下来查看交换机MAC地址表。
以上显示了交换机S1上的MAC地址表,其中 vlan字段表示交换机端口所在的VLAN;Mac Address字段表示与端口相连的设备的MAC地址:Type字段表示填充MAC地址记录的类型,DYNAMIC表示MAC记录是交换机动态学习的,STATIC表示MAC记录是静态配置或系统保留的:Ports字段表示设备连接的交换机端口。
1、可以通过下面命令查看交换机动态学习的MAC地址表的超时时间或老化时间,默认为300秒。
2、可以通过下面命令修改VLAN 1的 MAC地址表的超时时间为120秒。
3、可以通过下面命令配置静态填充交换机MAC地址表。
(3)配置交换机静态端口安全
在交换机S1上配置端口安全,Fa0/10配置动态端口安全;FaO/11配置静态端口安全;FaO/12配置粘滞端口安全。因为交换机FaO/11端口连接Serverl服务器,服务器不会轻易更换,适合配置静态端口安全。
此时,从Server1 上 ping交换机的管理地址,可以 ping通。
在S1端口Fa0/11接入另一台计算机,模拟非法服务器接入,交换机显示的信息如下:
以上输出显示了交换机启用端口安全的端口、允许连接最大MAC地址的数量、目前连接MAC地址的数量、惩罚计数和惩罚模式。
移除非法设备后,重新连接Serverl到该接口,由于已经配置了端口 errdisable自动恢复所以交换机显示自动恢复的消息如下:
【提示】
如果没有配置由于端口安全惩罚而关闭的端口自动恢复,则需要管理员在交换机的Fa0/11端口下执行 shutdown和 no shutdown命令来重新开启该端口,如果还是非法主机尝试连接,则继续惩罚,端口再次变为err-disable状态。
(5)配置交换机动态端口安全
很多公司员工使用笔记本电脑办公,而且位置不固定(如会议室),因此适合配置动态端口安全,限制每个端口只能连接1台计算机,避免用户私自连接AP或者其他的交换机而带来安全隐患。交换机 Fa0/10端口连接计算机不固定,适合配置动态端口安全,安全惩罚模式为restrict。
(6)验证动态端口安全
(7)配置粘滞端口安全
很多公司员工使用台式电脑办公,位置固定,如果配置静态端口安全,需要网管员到员工的计算机上查看MAC地址,工作量巨大。为了减轻工作量,适合配置粘滞端口安全,限制每个端口只能连接Ⅰ台计算机,避免其他用户的计算机使用交换机端口而带来安全隐患。交换机FaO/12端口连接计算机位置固定,适合配置粘滞端口安全,安全惩罚模式为restrict。
(8)验证粘滞端口安全
从PC2 上 ping交换机172.16.1.100,然后验证。
版权归原作者 新一代彭 所有, 如有侵权,请联系我们删除。