任务3.2-局域网端口安全技术应用_副本.pptVIP

任务3.2-局域网端口安全技术 应用 任务目标： 掌握预防交换机端口安全之MAC地址洪泛攻击的配置方法。 实训内容： 在交换机上对fastethernet 0/1配置MAC地址绑定，当出现不符合情况时，关闭端口并上报网管平台。 在交换机上对fastethernet 0/1配置MAC地址绑定，当出现不符合情况时，不转发数据并上报网管平台。 在交换机上进行配置，使得交换机可以动态学习到第一台通过某端口发送数据包的那台主机的MAC地址，并与端口进行绑定。 实训网络拓扑： 实训指导： 配置S2960-24TT： Switchenable //进入到特权模式 Switch#configure terminal //进入到全局模式 Switch(config)#hostname S2960-24TT //更改设备名 S2960-24TT(config)#end //直接退到特权模式 S2960-24TT#show mac-address-table //查看交换机上MAC地址表信息 执行PCa ping PCb、PCc后，再次查看交换机上MAC地址表信息。 在交换机上对fastethernet 0/1配置MAC地址绑定。 S2960-24TT#configure terminal //进入到全局模式 S2960-24TT(config)#interface fastethernet 0/1 //进入到fa 0/1端口下 S2960-24TT(config-if)#switchport mode access //当端口连接是主机时，接入链路 S2960-24TT(config-if)#switchport port-security //启动端口安全 S2960-24TT(config-if)#switchport port-security mac-address 0003.E47B.7CBA //绑定一个MAC地址，默认只能绑定一个MAC地址，红色部分为PCa的MAC地址 S2960-24TT(config-if)#switchport port-security violation shutdown //当出现不符合情况时，关闭端口并上报网管平台 执行上述配置后，再次查看交换机上MAC地址表信息，fa 0/1的Type由Dynamic变为Static。 添加一台主机PCd，将其IP设为192.168.0.2，并连接至S2960-24TT的fa 0/1端口上，发现当PCd没有发送数据包时链路正常。 当PCd发送数据包时，由于交换机发现PCd的MAC地址不是当初指定的MAC地址(PCa的MAC地址)，所以就执行将此端口shutdown(此时，PCd无法ping通PCb、PCc)。 将PCa连至fa 0/1，重启交换机，恢复到初始配置状态。 S2960-24TT(config-if)#end //直接退到特权模式 S2960-24TT#reload //重新启动交换机 Switch //用户模式 Switchenable //进入特权模式 Switch#configure terminal //进入全局模式 Switch(config)#hostname S2960-24TT //更改设备名 S2960-24TT(config)#interface fastethernet 0/1 //进入到fa 0/1端口下 S2960-24TT(config-if)#switchport mode access //当端口连接是主机时，接入链路 S2960-24TT(config-if)#switchport port-security //启动端口安全 S2960-24TT(config-if)#switchport port-security mac-address 0003.E47B.7CBA //绑定一个MAC地址，默认只能绑定一个MAC地址，红色部分为PCa的MAC地址 S2960-24TT(config-if)#switchport port-security violation restrict //当出现不符合情况时，不转发数据并上报网管平台 再次将PCd连至fa 0/1，当PCd不发送数据包时，链路状态正常；当PCd发送数据包时，虽然交换机发现PCd的MAC地址不是当初指定的MAC地址(PCa的MAC地址)，但并不会将端口shutdown，只是不转发数据包 (此时，PCd无法ping通PCb、PCc) 。 再次查看交换机上MAC地址表信息。 在交换机