2-3交换机端口安全.pptxVIP

岭南师范学院 交换机的端口安全 主讲：吴东 端口安全概述 在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求： 限制交换机每个端口接入主机的数量（MAC地址数量） 限定交换机端口所连接的主机（根据IP或MAC地址进行过滤） 当出现违例的时候能够检测到，并可采取惩罚措施 端口安全概述 端口安全概述 端口安全的依据：安全地址 secure MAC address 安全地址表项可以通过让使用端口动态学习到的MAC（Secure Dynamic），或者是手工在接口下进行配置（Secure Configured），以及sticky MAC address（Secure Sticky） 三种方式进行配置。 配置静态地址的命令： switchport port-security mac-address 0030.A3D5.660E sticky MAC address，指将动态学习到的MAC address变成“静态”地址。 命令： switchport port-security mac-address sticky 当端口up/down后，动态学习到的MAC address丢失，其它两种保留。 如果希望在设备重启之后，这个sticky的安全地址表项仍然存在，那么就需要wr ，将配置写入start-up config文件。 端口安全概述 端口安全概述 激活端口的端口安全 Port-Security 以开启fast ethernet 0/1 的安全功能为例 端口安全概述 激活端口的端口安全 Port-Security 例子 例子 举例2-3 接入设备个数限制 要求：在switchA的F0/1口开启端口安全，限制可接入的最大MAC数为2， 违规处理为shutdown。 举例2-3 过程： 1、给3台机器配置IP地址 2、测试3台机器都是互通的 3、在switchA 的F0/1配置端口安全 4、验证结果 Pc0、pc1 互通 pc0、pc2不通；pc1、pc2不通 5、删除pc1的连线 6、恢复端口 7、验证结果 pc0、pc2互通 举例2-3 在switchA 的F0/1配置端口安全 Switch Switchen Switch#config t Switch(config)#interface fa 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#end 举例2-3 辅助命令： 1、查看0/1口的mac地址列表 Switch#show mac address-table in fa 0/1 2、查看允许的MAC地址列表 Switch#show port-security address 3、查看端口的安全状态 Switch#show port-security in fa 0/1 4、关于被惩罚后进入err-disable的恢复： 如果一个psec端口由于被惩罚进入了err-disable，可以使用如下方法来恢复接口的状态： (1)使用全局配置命令：err-disable recovery psecure-violation (2)手工将特定的端口shutdown再no shutdown 举例2-3 思考 1、如果SwitchA的fa 0/1端口的最大的地址连接数改为1，三台pc机之间都能ping通吗？ 2、SwitchA的fa 0/1端口的最大的地址连接数改为2。用集线器替代SwitchB交换机，三台pc机之间都能ping通吗？ 3、SwitchA的fa 0/1端口的最大的地址连接数改为1。用集线器替代SwitchB交换机，结果如何？ 例子 例子 举例 过程： 1、给3台机器配置IP地址 2、测试PC0、PC2是互通的 3、在switchA 的F0/1配置端口安全 4、验证结果 Pc0、pc2 互通 5、将PC0的线接到pc1 6、恢复端口 7、验证结果 pc1、pc2不通 举例 Switch Switchen Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fa 0/1 Switch(config-if)#switchp