路由交換技術(shù)與實踐項目十八課件_第1頁
路由交換技術(shù)與實踐項目十八課件_第2頁
路由交換技術(shù)與實踐項目十八課件_第3頁
路由交換技術(shù)與實踐項目十八課件_第4頁
路由交換技術(shù)與實踐項目十八課件_第5頁
已閱讀5頁,還剩33頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、交換機端口安全的配置劉道剛 主 編項18目路由交換技術(shù)與實踐Routing and Switching工業(yè)和信息化“十三五”高職高專人才培養(yǎng)規(guī)劃教材目錄CONTENTS18.1用戶需求18.2知識梳理18.3方案設(shè)計18.4項目實施18.1 用戶需求某學(xué)校辦公網(wǎng)絡(luò)的部分網(wǎng)絡(luò)拓撲圖如圖18-1所示,為了提高網(wǎng)絡(luò)的安全性,不允許接入交換機的不合法用戶訪問網(wǎng)絡(luò)。怎樣實現(xiàn)這樣的功能?目錄CONTENTS18.1用戶需求18.2知識梳理18.3方案設(shè)計18.4項目實施18.2.1 端口安全端口安全限制端口上所允許的有效MAC地址的數(shù)量,可以為安全端口分配安全MAC地址,當(dāng)數(shù)據(jù)包的源地址不是已定義的安全地

2、址時,端口不會轉(zhuǎn)發(fā)。如果將安全MAC地址的數(shù)量限制為一個,并為該端口只分配一個安全MAC地址,只有地址為該特定安全MAC地址的工作站才能成功連接到該交換機端口,而且連接該端口的工作站將確保獲得端口的全部帶寬。如果交換機端口的安全MAC地址的數(shù)量已達到最大值,當(dāng)嘗試訪問該端口的工作站的MAC地址不同于任何已確定的安全MAC地址時,會發(fā)生安全違規(guī)。18.2.2 安全MAC地址類型010203靜態(tài)安全MAC地址動態(tài)安全MAC地址粘滯安全MAC地址18.2.3 安全違規(guī)模式1保護保護違規(guī)模式下,當(dāng)安全MAC地址的數(shù)量達到端口允許的限制時,帶有未知源地址的數(shù)據(jù)包將被丟棄,直至移除地址使安全MAC地址的數(shù)

3、量在允許的范圍內(nèi),或者增加允許的最大地址數(shù)。保護違規(guī)模式不會發(fā)送安全違規(guī)的通知。2限制限制違規(guī)模式下,當(dāng)安全MAC地址的數(shù)量達到端口允許的限制時,帶有未知源地址的數(shù)據(jù)包將被丟棄,直至移除地址使安全MAC地址的數(shù)量在允許的范圍內(nèi),或者增加允許的最大地址數(shù)。3關(guān)閉關(guān)閉違規(guī)模式下,端口安全違規(guī)將造成端口立即變?yōu)殄e誤禁用(error-disabled)狀態(tài),并關(guān)閉端口LED。18.2.3 安全違規(guī)模式(1)地址表中添加了最大數(shù)量的安全MAC地址,有工作站試圖訪問端口,而且該工作站的MAC地址未出現(xiàn)在該地址表中。(2)在一個安全端口上學(xué)習(xí)或配置的地址出現(xiàn)在同一個VLAN中的另一個安全端口上。1啟用端口安

4、全和設(shè)置端口的違規(guī)模式2設(shè)置端口允許通過的最大MAC地址數(shù)量3設(shè)置靜態(tài)安全MAC地址Switch(config-if)#switchport port-security violation protect | restrict |shutdownSwitch(config-if)#switchport port-security maximum valueSwitch(config-if)#switchport port-security mac-address mac-address18.2.5 配置命令18.2.5 配置命令4設(shè)置粘滯安全MAC地址Switch(config-if)#swi

5、tchport port-security mac-address sticky mac-address5顯示交換機或指定端口的端口安全設(shè)置6顯示所有交換機端口或某個指定端口上配置的所有安全MAC地址Switch# show port-security interface interface-id Switch# show port-security interface interface-id address目錄CONTENTS18.1用戶需求18.2知識梳理18.3方案設(shè)計18.4項目實施18.3 方案設(shè)計在如圖18-1所示的網(wǎng)絡(luò)拓撲圖中,若要實現(xiàn)不允許接入交換機的不合法用戶訪問網(wǎng)絡(luò),可以

6、啟用端口安全(啟用端口安全后,不合法的設(shè)備無法訪問網(wǎng)絡(luò)),可以采用靜態(tài)端口安全、動態(tài)端口安全或粘滯端口安全,端口的違規(guī)模式可以配置為保護、限制或關(guān)閉。目錄CONTENTS18.1用戶需求18.2知識梳理18.3方案設(shè)計18.4項目實施18.4.1 靜態(tài)端口安全的配置步驟1:在交換機S1的全局配置模式下輸入以下代碼,啟用端口安全。S1(config)#interface range f0/2-3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步驟2:在交換機S1的全局配置模式下輸入以下代碼,配置f

7、0/2端口的靜態(tài)安全地址。S1(config)#interface f0/2S1(config-if)#switchport port-security mac-address 54be.f74e.2456步驟3:在交換機S1的全局配置模式下輸入以下代碼,配置f0/3端口的靜態(tài)安全地址。S1(config)#interface f0/3S1(config-if)#switchport port-security mac-address 54be.f74e.250218.4.1 靜態(tài)端口安全的配置步驟4:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security address命令查

8、看安全MAC地址,如圖18-2所示。步驟5:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security interface f0/2命令查看端口安全設(shè)置(interface可以簡寫為int),如圖18-3所示。18.4.1 靜態(tài)端口安全的配置步驟6:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security interface f0/3命令查看端口安全設(shè)置,如圖18-4所示。步驟7:在交換機S1的特權(quán)執(zhí)行模式下,輸入show run interface f0/2命令查看交換機S1運行配置文件中f0/2端口的配置,如圖18-5所示。18.4.1 靜態(tài)端口安全的配置步驟8:

9、在交換機S1的特權(quán)執(zhí)行模式下,輸入show run interface f0/3命令查看交換機S1運行配置文件f0/3端口的配置,如圖18-6所示。步驟9:在計算機PC1的命令行界面輸入ping 192.168.1.2命令檢驗連通性,如圖18-7所示。18.4.1 靜態(tài)端口安全的配置步驟10:將連接計算機PC1和PC2的兩個交換機端口互換,交換機會提示如圖18-8所示的消息。步驟11:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/2端口狀態(tài),如圖18-9所示。18.4.1 靜態(tài)端口安全的配置步驟12:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/2端口安全設(shè)置,如圖18-10所示。

10、步驟13:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/3端口狀態(tài),如圖18-11所示。18.4.1 靜態(tài)端口安全的配置步驟14:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/3端口安全設(shè)置,如圖18-12所示。步驟15:在計算機PC1的命令行界面輸入ping 192.168.1.2命令檢驗連通性,如圖18-13所示。18.4.1 靜態(tài)端口安全的配置步驟16:將違規(guī)的計算機從交換機端口移除,然后發(fā)出shutdown/no shutdown命令重新啟用端口。S1(config)#interface range f0/2-3S1(config-if-range)#shutdown S1

11、(config-if-range)#no shutdown重啟端口后,交換機收到圖18-14所示的提示信息,說明交換的端口正常啟動了。18.4.2 動態(tài)端口安全的配置步驟1:在交換機S1的全局配置模式下輸入以下代碼,啟用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步驟2:在交換機S1的全局配置模式下輸入以下代碼,配置端口合法地址數(shù)量。S1(config-if)#switchport port-security maximum 2步驟

12、3:在交換機S1的全局配置模式下輸入以下代碼,配置端口的違規(guī)模式。S1(config-if)#switchport port-security violation protect18.4.2 動態(tài)端口安全的配置步驟4:將一臺集線器接入交換機S1的f0/3端口,并在集線器上接入兩臺計算機,網(wǎng)絡(luò)拓撲圖如圖18-15所示。18.4.2 動態(tài)端口安全的配置步驟5:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security address命令查看安全MAC地址,如圖18-16所示。步驟6:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security interface f0/3命令

13、查看端口安全設(shè)置,如圖18-17所示。18.4.2 動態(tài)端口安全的配置步驟7:在計算機PC2的命令行界面輸入ping 192.168.1.254命令檢驗連通性,如圖18-18所示。步驟8:在計算機PC3的命令行界面輸入ping 192.168.1.254命令檢驗連通性,如圖18-19所示。18.4.2 動態(tài)端口安全的配置步驟9:在集線器上接入第三臺計算機PC4,網(wǎng)絡(luò)拓撲圖如圖18-20所示。18.4.2 動態(tài)端口安全的配置步驟10:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/3端口狀態(tài),如圖18-21所示。步驟11:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security

14、 interface f0/3命令查看端口安全設(shè)置,如圖18-22所示。18.4.2 動態(tài)端口安全的配置步驟12:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security address命令查看安全MAC地址,如圖18-23所示。步驟13:在計算機PC4的命令行界面輸入ping 192.168.1.2命令檢驗連通性,如圖18-24所示。18.4.2 動態(tài)端口安全的配置步驟14:在計算機PC4的命令行界面輸入ping 192.168.1.3命令檢驗連通性,如圖18-25所示。步驟15:在計算機PC4的命令行界面輸入ping 192.168.1.254命令檢驗連通性,如圖18-26所

15、示。18.4.2 動態(tài)端口安全的配置步驟16:在計算機PC3的命令行界面輸入ping 192.168.1.254命令檢驗連通性,如圖18-27所示。18.4.3 粘滯端口安全的配置步驟1:在交換機S1的全局配置模式下輸入以下代碼,啟用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步驟2:在交換機S1的全局配置模式下輸入以下代碼,配置粘滯端口安全。S1(config-if)#switchport port-security mac-ad

16、dress sticky步驟3:在交換機S1的全局配置模式下輸入以下代碼,配置端口的違規(guī)模式。S1(config-if)#switchport port-security violation restrict18.4.3 粘滯端口安全的配置步驟4:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security address命令,查看交換機S1的安全MAC地址,如圖18-28所示。步驟5:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security interface f0/3命令查看交換機S1的f0/3端口安全設(shè)置,如圖18-29所示。18.4.3 粘滯端口安全的配置步驟6

17、:在交換機S1的特權(quán)執(zhí)行模式下,輸入show run interface f0/3命令查看交換機S1運行配置文件中f0/3端口的配置,如圖18-30所示。步驟7:在計算機PC2的命令行界面輸入ping 192.168.1.254命令檢驗連通性,如圖18-31所示。18.4.3 粘滯端口安全的配置步驟8:將一臺集線器接入交換機S1的f0/3端口,在集線器上連接計算機PC2和PC3,網(wǎng)絡(luò)拓撲圖如圖18-32所示。當(dāng)用集線器將計算機PC3接入交換機S1的f0/3端口時,交換機提示如圖18-33所示的消息。18.4.3 粘滯端口安全的配置步驟9:在交換機S1的特權(quán)執(zhí)行模式下,查看交換機S1的f0/3端口狀態(tài),如圖18-34所示。步驟10:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security address命令查看安全MAC地址,如圖18-35所示。18.4.3 粘滯端口安全的配置步驟11:在交換機S1的特權(quán)執(zhí)行模式下,輸入show port-security

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論