路由交换技术与实践项目十八课件.pptx

1、交换机端口安全的配置刘道刚 主 编项18目路由交换技术与实践Routing and Switching工业和信息化“十三五”高职高专人才培养规划教材目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.1 用户需求某学校办公网络的部分网络拓扑图如图18-1所示，为了提高网络的安全性，不允许接入交换机的不合法用户访问网络。怎样实现这样的功能？目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.2.1 端口安全端口安全限制端口上所允许的有效MAC地址的数量，可以为安全端口分配安全MAC地址，当数据包的源地址不是已定义的安全地

2、址时，端口不会转发。如果将安全MAC地址的数量限制为一个，并为该端口只分配一个安全MAC地址，只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口，而且连接该端口的工作站将确保获得端口的全部带宽。如果交换机端口的安全MAC地址的数量已达到最大值，当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时，会发生安全违规。18.2.2 安全MAC地址类型静态安全MAC地址动态安全MAC地址粘滞安全MAC地址18.2.3 安全违规模式1保护保护违规模式下，当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，直至移除地址使安全MAC地址的数量在允许的范

3、围内，或者增加允许的最大地址数。保护违规模式不会发送安全违规的通知。2限制限制违规模式下，当安全MAC地址的数量达到端口允许的限制时，带有未知源地址的数据包将被丢弃，直至移除地址使安全MAC地址的数量在允许的范围内，或者增加允许的最大地址数。3关闭关闭违规模式下，端口安全违规将造成端口立即变为错误禁用（error-disabled）状态，并关闭端口LED。18.2.3 安全违规模式（1）地址表中添加了最大数量的安全MAC地址，有工作站试图访问端口，而且该工作站的MAC地址未出现在该地址表中。（2）在一个安全端口上学习或配置的地址出现在同一个VLAN中的另一个安全端口上。1启用端口安全和设置端口

4、的违规模式2设置端口允许通过的最大MAC地址数量3设置静态安全MAC地址Switch(config-if)#switchport port-security violation protect|restrict|shutdownSwitch(config-if)#switchport port-security maximum valueSwitch(config-if)#switchport port-security mac-address mac-address18.2.5 配置命令18.2.5 配置命令4设置粘滞安全MAC地址Switch(config-if)#switchport p

5、ort-security mac-address sticky mac-address5显示交换机或指定端口的端口安全设置6显示所有交换机端口或某个指定端口上配置的所有安全MAC地址Switch#show port-security interface interface-id Switch#show port-security interface interface-id address目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.3 方案设计在如图18-1所示的网络拓扑图中，若要实现不允许接入交换机的不合法用户访问网络，可以启用端口安全（启用端口

6、安全后，不合法的设备无法访问网络），可以采用静态端口安全、动态端口安全或粘滞端口安全，端口的违规模式可以配置为保护、限制或关闭。目录CONTENTS18.1用户需求18.2知识梳理18.3方案设计18.4项目实施18.4.1 静态端口安全的配置步骤1：在交换机S1的全局配置模式下输入以下代码，启用端口安全。S1(config)#interface range f0/2-3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2：在交换机S1的全局配置模式下输入以下代码，配置f0/2端口的静态安全地

7、址。S1(config)#interface f0/2S1(config-if)#switchport port-security mac-address 54be.f74e.2456步骤3：在交换机S1的全局配置模式下输入以下代码，配置f0/3端口的静态安全地址。S1(config)#interface f0/3S1(config-if)#switchport port-security mac-address 54be.f74e.250218.4.1 静态端口安全的配置步骤4：在交换机S1的特权执行模式下，输入show port-security address命令查看安全MAC地址，如图

8、18-2所示。步骤5：在交换机S1的特权执行模式下，输入show port-security interface f0/2命令查看端口安全设置（interface可以简写为int），如图18-3所示。18.4.1 静态端口安全的配置步骤6：在交换机S1的特权执行模式下，输入show port-security interface f0/3命令查看端口安全设置，如图18-4所示。步骤7：在交换机S1的特权执行模式下，输入show run interface f0/2命令查看交换机S1运行配置文件中f0/2端口的配置，如图18-5所示。18.4.1 静态端口安全的配置步骤8：在交换机S1的特权执行

9、模式下，输入show run interface f0/3命令查看交换机S1运行配置文件f0/3端口的配置，如图18-6所示。步骤9：在计算机PC1的命令行界面输入ping 192.168.1.2命令检验连通性，如图18-7所示。18.4.1 静态端口安全的配置步骤10：将连接计算机PC1和PC2的两个交换机端口互换，交换机会提示如图18-8所示的消息。步骤11：在交换机S1的特权执行模式下，查看交换机S1的f0/2端口状态，如图18-9所示。18.4.1 静态端口安全的配置步骤12：在交换机S1的特权执行模式下，查看交换机S1的f0/2端口安全设置，如图18-10所示。步骤13：在交换机S1

10、的特权执行模式下，查看交换机S1的f0/3端口状态，如图18-11所示。18.4.1 静态端口安全的配置步骤14：在交换机S1的特权执行模式下，查看交换机S1的f0/3端口安全设置，如图18-12所示。步骤15：在计算机PC1的命令行界面输入ping 192.168.1.2命令检验连通性，如图18-13所示。18.4.1 静态端口安全的配置步骤16：将违规的计算机从交换机端口移除，然后发出shutdown/no shutdown命令重新启用端口。S1(config)#interface range f0/2-3S1(config-if-range)#shutdown S1(config-if-

11、range)#no shutdown重启端口后，交换机收到图18-14所示的提示信息，说明交换的端口正常启动了。18.4.2 动态端口安全的配置步骤1：在交换机S1的全局配置模式下输入以下代码，启用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2：在交换机S1的全局配置模式下输入以下代码，配置端口合法地址数量。S1(config-if)#switchport port-security maximum 2步骤3：在交换机S1的全局

12、配置模式下输入以下代码，配置端口的违规模式。S1(config-if)#switchport port-security violation protect18.4.2 动态端口安全的配置步骤4：将一台集线器接入交换机S1的f0/3端口，并在集线器上接入两台计算机，网络拓扑图如图18-15所示。18.4.2 动态端口安全的配置步骤5：在交换机S1的特权执行模式下，输入show port-security address命令查看安全MAC地址，如图18-16所示。步骤6：在交换机S1的特权执行模式下，输入show port-security interface f0/3命令查看端口安全设置，如图

13、18-17所示。18.4.2 动态端口安全的配置步骤7：在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-18所示。步骤8：在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-19所示。18.4.2 动态端口安全的配置步骤9：在集线器上接入第三台计算机PC4，网络拓扑图如图18-20所示。18.4.2 动态端口安全的配置步骤10：在交换机S1的特权执行模式下，查看交换机S1的f0/3端口状态，如图18-21所示。步骤11：在交换机S1的特权执行模式下，输入show port-security interface

14、f0/3命令查看端口安全设置，如图18-22所示。18.4.2 动态端口安全的配置步骤12：在交换机S1的特权执行模式下，输入show port-security address命令查看安全MAC地址，如图18-23所示。步骤13：在计算机PC4的命令行界面输入ping 192.168.1.2命令检验连通性，如图18-24所示。18.4.2 动态端口安全的配置步骤14：在计算机PC4的命令行界面输入ping 192.168.1.3命令检验连通性，如图18-25所示。步骤15：在计算机PC4的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-26所示。18.4.2 动态

15、端口安全的配置步骤16：在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-27所示。18.4.3 粘滞端口安全的配置步骤1：在交换机S1的全局配置模式下输入以下代码，启用端口安全。S1(config)#interface f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport port-security步骤2：在交换机S1的全局配置模式下输入以下代码，配置粘滞端口安全。S1(config-if)#switchport port-security mac-address stick

16、y步骤3：在交换机S1的全局配置模式下输入以下代码，配置端口的违规模式。S1(config-if)#switchport port-security violation restrict18.4.3 粘滞端口安全的配置步骤4：在交换机S1的特权执行模式下，输入show port-security address命令，查看交换机S1的安全MAC地址，如图18-28所示。步骤5：在交换机S1的特权执行模式下，输入show port-security interface f0/3命令查看交换机S1的f0/3端口安全设置，如图18-29所示。18.4.3 粘滞端口安全的配置步骤6：在交换机S1的特权执

17、行模式下，输入show run interface f0/3命令查看交换机S1运行配置文件中f0/3端口的配置，如图18-30所示。步骤7：在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-31所示。18.4.3 粘滞端口安全的配置步骤8：将一台集线器接入交换机S1的f0/3端口，在集线器上连接计算机PC2和PC3，网络拓扑图如图18-32所示。当用集线器将计算机PC3接入交换机S1的f0/3端口时，交换机提示如图18-33所示的消息。18.4.3 粘滞端口安全的配置步骤9：在交换机S1的特权执行模式下，查看交换机S1的f0/3端口状态，如图18-34

18、所示。步骤10：在交换机S1的特权执行模式下，输入show port-security address命令查看安全MAC地址，如图18-35所示。18.4.3 粘滞端口安全的配置步骤11：在交换机S1的特权执行模式下，输入show port-security interface f0/3命令查看端口安全设置，如图18-36所示。步骤12：在计算机PC3的命令行界面输入ping 192.168.1.2命令检验连通性，如图18-37所示。18.4.3 粘滞端口安全的配置步骤13：在计算机PC3的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-38所示。步骤14：在计算机PC2的命令行界面输入ping 192.168.1.254命令检验连通性，如图18-39所示。学进习路由交换技术与实践Routing and Switching工业和信息化“十三五”高职高专人才培养规划教材步