配置交换机端口安全

这篇具有很好参考价值的文章主要介绍了配置交换机端口安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、实验目的

通过本实验可以掌握:

  1. 交换机管理地址配置及接口配置。
  2. 查看交换机的MAC地址表。
  3. 配置静态端口安全、动态端口安全和粘滞端口安全的方法。

2、实验拓扑

配置交换机端口安全的实验拓扑如图所示。

配置交换机端口安全,安全,服务器,网络

3、实验步骤

(1)交换机基本配置

S1(config)#interface vlan 1
//配置交换机交换虚拟接口,用于交换机远程管理
S1(config-if)#ip address 172.16.1.100 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip default-gateway 172.16.1.1
//配置交换机默认网关
S1(config)#interface fastEthernet 0/11
S1(config-if)#duplex auto            //配置以太网接口双工模式,默认时双工状态是auto
S1(config-if)#speed auto             //配置以太网接口的速率,默认时速率是自适应即auto
S1(config-if)#mdix auto              //配置auito-MDIX
S1(config-if)#exit
S1(config)#interface range f0/5-9,f0/13-24,g0/1,g0/2
S1(config-if-range)#shutdown
//以上2行批量禁用未使用的端口

【技术要点】

在以太网接口上使用auto-MDIX(自动介质相关接口交叉)功能可以解决直通和交叉乡缆的自适应问题,该功能默认启用,但是接口的速率和双工模式必须是 auto,否则该功能生效

 (2)查看交换机的MAC地址表

        首先在计算机 PC0、PC1和 Serverl上配置正确的IP地址,并且用 ipconfig /all命令查看各台计算机网卡的MAC地址,记下来,然后在计算机PC0上分别ping PC1和 Serverl,进行连通性测试,接下来查看交换机MAC地址表。

S1#show mac-address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0006.2a49.318b    DYNAMIC     Fa0/12 //计算机PC1网卡的MAC地址
   1    0090.2b23.a24b    DYNAMIC     Fa0/10 //计算机PC0网卡的MAC地址
   1    00d0.97db.6750    DYNAMIC     Fa0/11 //计算机Server1网卡的MAC地址
S1#

         以上显示了交换机S1上的MAC地址表,其中 vlan字段表示交换机端口所在的VLAN;Mac Address字段表示与端口相连的设备的MAC地址:Type字段表示填充MAC地址记录的类型,DYNAMIC表示MAC记录是交换机动态学习的,STATIC表示MAC记录是静态配置或系统保留的:Ports字段表示设备连接的交换机端口。

1、可以通过下面命令查看交换机动态学习的MAC地址表的超时时间或老化时间,默认为300秒。

S1#show mac address-table aging-time 
Global Aging Time:  300
Vlan    Aging Time
----    ----------
S1#

 

2、可以通过下面命令修改VLAN 1的 MAC地址表的超时时间为120秒。

S1(config)#mac address-table aging-time 120 vlan 1

 

3、可以通过下面命令配置静态填充交换机MAC地址表。 

S1(config)#mac address-table static 0001.c95d.d021 vlan 1 interface fastEthernet 0/11

(3)配置交换机静态端口安全

S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access 
//端口配置为接入模式,配置端口安全的端口不能是动态协商模式
S1(config-if)#switchport port-security     //打开交换机的端口安全功能
S1(config-if)#switchport port-security maximum 1
//配置端口允许接入设备的MAC地址最大数目,默认是1,即只允许一个设备接入
S1(config-if)#switchport port-security mac-address 0001.c95d.d021
//配置端口允许接入计算机的MAC地址
S1(config-if)#switchport port-security violation shutdown 
//配置端口安全违规惩罚模式,这也是默认的惩罚行为
S1(config-if)#exit
S1(config)#errdisable recovery cause psecure-violation 
//允许交换机自动恢复因端口安全而关闭的端口
S1(config)#errdisable recovery interval 30
//配置交换机自动恢复端口的周期,时间间隔单位为秒

        在交换机S1上配置端口安全,Fa0/10配置动态端口安全;FaO/11配置静态端口安全;Fa0/12配置粘滞端口安全。因为交换机FaO/11端口连接Serverl服务器,服务器不会轻易更换,适合配置静态端口安全。

此时,从Server1 上 ping交换机的管理地址,可以 ping通。

(4)验证交换机静态端口安全

S1#show  mac-address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0001.c95d.d021    STATIC      Fa0/11 //Server1的网卡MAC地址静态加入MAC地址表
S1#

在S1端口Fa0/11接入另一台计算机,模拟非法服务器接入,交换机显示的信息如下:

*Apr  3 07:43:43.080: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
S1#
*Apr  3 07:43:43.080: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0200 on port Ethernet0/1.
*Apr  3 07:43:44.084: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down
S1#
*Apr  3 07:43:45.080: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down

 

以上输出显示了交换机启用端口安全的端口、允许连接最大MAC地址的数量、目前连接MAC地址的数量、惩罚计数和惩罚模式。

S1#show port-security interface fastEthernet 0/11
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

移除非法设备后,重新连接Serverl到该接口,由于已经配置了端口 errdisable自动恢复所以交换机显示自动恢复的消息如下:

【提示】

如果没有配置由于端口安全惩罚而关闭的端口自动恢复,则需要管理员在交换机的Fa0/11端口下执行 shutdown和 no shutdown命令来重新开启该端口,如果还是非法主机尝试连接,则继续惩罚,端口再次变为err-disable状态。

(5)配置交换机动态端口安全

  很多公司员工使用笔记本电脑办公,而且位置不固定(如会议室),因此适合配置动态端口安全,限制每个端口只能连接1台计算机,避免用户私自连接AP或者其他的交换机而带来安全隐患。交换机 Fa0/10端口连接计算机不固定,适合配置动态端口安全,安全惩罚模式为restrict。

S1(config)#interface fastEthernet 0/10
S1(config-if)#switchport mode access 
S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security maximum 1
S1(config-if)#switchport port-security violation restrict 
S1(config-if)#exit

(6)验证动态端口安全

S1#show port-security interface fastEthernet 0/10
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

(7)配置粘滞端口安全

很多公司员工使用台式电脑办公,位置固定,如果配置静态端口安全,需要网管员到员工的计算机上查看MAC地址,工作量巨大。为了减轻工作量,适合配置粘滞端口安全,限制每个端口只能连接1台计算机,避免其他用户的计算机使用交换机端口而带来安全隐患。交换机Fa0/12端口连接计算机位置固定,适合配置粘滞端口安全,安全惩罚模式为restrict。

S1(config)#interface fastEthernet 0/12
S1(config-if)#switchport mode access 
S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security maximum 1
S1(config-if)#switchport port-security violation restrict 
S1(config-if)#switchport port-security mac-address sticky
//配置交换机端口自动粘滞访问该端口计算机的 MAC地址
S1(config-if)#exit

(8)验证粘滞端口安全

从PC1 上 ping交换机172.16.1.100,然后验证。

S1#show port-security interface fastEthernet 0/12
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0006.2A49.318B:1
Security Violation Count   : 0

 文章来源地址https://www.toymoban.com/news/detail-850649.html

到了这里,关于配置交换机端口安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 思科交换机端口模式配置 端口安全配置 思科模拟器

    首先先将拓扑建立出来 分别为pc0、pc1配置IP地址,并相互ping一下 Ping IP              //ping命令得使用 Switch#show mac-address-table    //查看mac地址表 我们可以在特权模式下查看mac地址表,可以看到每个接口上设备的mac地址 1、access: 主要用来接入终端设备,如PC机、服务器、

    2023年04月10日
    浏览(95)
  • Packet Tracer - 配置交换机端口安全

    Packet Tracer - 配置交换机端口安全 地址分配表 设备 接口 IP 地址 子网掩码 S1 VLAN 1 10.10.10.2 255.255.255.0 PC1 NIC 10.10.10.10 255.255.255.0 PC2 NIC 10.10.10.11 255.255.255.0 非法笔记本电脑 NIC 10.10.10.12 255.255.255.0 目标 第 1 部分:配置端口安全 第 2 部分:验证端口安全 拓扑图   背景信息 在本练

    2024年02月06日
    浏览(48)
  • 配置交换机 SSH 管理和端口安全

    1、实验目的 通过本实验可以掌握: 交换机基本安全配置。 SSH 的工作原理和 SSH服务端和客户端的配置。 2、实验拓扑 交换机基本安全和 SSH管理实验拓扑如图所示。 3、实验步骤 (1)配置交换机S1 (2)从SSH Client通过SSH登录到交换机S1 4、实验调试 (1)使用命令S1#show ip ssh查

    2024年04月14日
    浏览(69)
  • 5.3.2 实验2:配置交换机端口安全

    通过本实验可以掌握: 交换机管理地址配置及接口配置。 查看交换机的MAC地址表。 配置静态端口安全、动态端口安全和粘滞端口安全的方法。 配置交换机端口安全的实验拓扑如图所示。 配置交换机端口安全的实验拓扑 【技术要点】 在以太网接口上使用auto-MDIX(自动介质相

    2024年04月12日
    浏览(45)
  • 5.3.1 配置交换机 SSH 管理和端口安全

    通过本实验可以掌握: 交换机基本安全配置。 SSH 的工作原理和 SSH服务端和客户端的配置。 交换机基本安全和 SSH管理实验拓扑如图所示。 交换机基本安全和 SSH管理实验拓扑 (1)配置交换机S1 (2)从SSH Client通过SSH登录到交换机S1 (1)使用命令S1#show ip ssh查看SSH基本信息

    2024年04月13日
    浏览(81)
  • 5.3.1配置交换机 SSH 管理和端口安全

    1、实验目的 通过本实验可以掌握: 交换机基本安全配置。 SSH 的工作原理和 SSH服务端和客户端的配置。 2、实验​​​​​​拓扑 交换机基本安全和 SSH管理实验拓扑如图所示。 ​                         交换机基本安全和 SSH管理实验拓扑 3、实验步骤 1)配置

    2024年04月12日
    浏览(43)
  • 高级网络安全管理员 - 网络设备和安全配置:交换机端口安全配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年02月03日
    浏览(62)
  • Cisco交换机配置端口安全性的三种方法:静态、动态、粘滞端口安全

    企业网络安全涉及到方方面面。从交换机来说,首选需要保证交换机端口的安全。在不少企业中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到企业的网路中。类似的情况都会给企业的网络安全带来不利的影响。在这篇文章

    2024年02月07日
    浏览(37)
  • 【网络】路由、交换机、集线器、DNS服务器、广域网/局域网、端口、MTU

    前言:网络名词术语解析(自行阅读扫盲), 推荐大家去读户根勤的《网络是怎样连接的》 路由(route):         数据包从源地址到目的地址所经过的路径,由一系列路由节点组成。某个路由节点为数据包选择投递方向的选路过程。 路由器工作原理         路由器(Ro

    2024年02月10日
    浏览(81)
  • 三层交换机DHCP服务器/DHCP中继互联配置详述

    前言: 这个是我最近在做题时遇到的一个问题---三层交换机作为DHCP服务器连接三层交换机DHCP中继向不同网段vlan分发IP地址,而我翻遍了全网没有一篇文章可以解决我的问题,全网各个相关网站都只有DHCP作为服务器或者DHCP作为中继的配置讲解,而把他们整合到一起的文章却

    2024年01月18日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包