项目4-1端口安全m课件讲解.pptx

项目4配置交换机端口安全与端口聚合任务1配置交换机的端口安全湖南铁道职业技术学院言海燕《网络设备配置与管理》之交换机篇

任务描述新知探索任务实施任务拓展考核评价课后拓展你是某公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的网络攻击和破坏行为，为每个员工分配了固定的IP地址，并且限制只允许公司内部员工主机可以使用网络，不得随意连接其他主机。

1．端口安全概述利用交换机端口安全这个特性，可以实现网络接入安全，具体可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现严格控制对该端口的输入。当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。（1）使用接口配置模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]来手工配置端口的所有安全地址。（2）让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。任务描述新知探索任务实施任务拓展考核评价课后拓展

1．端口安全概述当违例产生时，你可以设置下面几种针对违例的处理模式。（1）protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。（2）restrict：当违例产生时，将发送一个Trap通知。（3）shutdown：当违例产生时，将关闭端口并发送一个Trap通知。任务描述新知探索任务实施任务拓展考核评价课后拓展

2．端口安全配置（1）默认配置值。交换机端口安全的具体内容有四项，它的默认配置如表所示。内容默认设置端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护（protect）任务描述新知探索任务实施任务拓展考核评价课后拓展

2．端口安全配置（2）端口安全限制。交换机配置端口安全时有如下一些限制。①一个安全端口不能是一个aggregateport。②一个安全端口只能是一个accessport。（3）配置方法。从特权模式开始，你可以通过表所示的步骤来配置一个安全端口和违例处理方式。步骤命令含义第1步Configureterminal进入全局配置模式第2步Interfaceinterface-id进入接口配置模式第3步Switchportmodeaccess设置接口为Access模式第4步Switchportport-security打开端口安全功能第5步Switchportport-securitymaximumvalue设置端口上安全地址的最大个数，范围1～128，默认128第6步Switchportport-securityviolation{protect|restrict|shutdown}设置违例处理方式Protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。restrict：当违例产生时，将发送一个Trap通知。shutdown：当违例产生时，将关闭端口并发送一个Trap通知。当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisablerecovery来将接口从错误状态恢复过来。第7步End回到特权模式第8步Showport-securityinterface[interface-id]验证配置第9步Copyrunning-configstartup-config保存配置任务描述新知探索任务实施任务拓展考核评价课后拓展

2．端口安全配置（4）IP地址及MAC地址绑定。从特权模式开始，你可以通过表所示步骤来手工配置一个安全端口上的安全地址。步骤命令含义第1步Configureterminal进入全局配置模式第2步Interfaceinterface-id进入接口配置模式第3步Switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口安全地址第4步end回到特权模式第5步Showport-securityaddress验证配置第6步Copyrunning-