5.配置端口安全

小浩 Lv3

一、背景

某企业的网络管理员发现经常有员工私自将自己的笔记本电脑接入到网络中,而且有一些员工通过使用Hub将多个网络设备接入到交换机端口上,给网路管理和维护增加了难度。对于网络中出现的这种问题,需要防止用户接入非法或未授权的设备,并且限制用户将多个网络设备接入到交换机的端口。交换机的端口安全特性可以满足这个要求,从而提高介入交换设备的安全性。

二、拓扑图

cisco15

三、配置流程

  1. 在交换机上启动端口安全特性

    配置:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    Switch>en

    Switch#configure terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#interface fastEthernet 0/1
    ch(config-if)#switchport mode acc

    Switch(config-if)#switchport mode access

    Switch(config-if)#switchport port-security
  2. 手工配置PC1的mac地址,即保证只有PC1可以连接到Fa0/1端口

    配置:

    cisco16

    1
    Switch(config-if)#switchport port-security mac-address 00ff.ffff.ffff
  3. 配置端口接入数量的限制

    配置:

    1
    Switch(config-if)#switchport port-security maximum 1
  4. 配置当此端口违规时的操作

    1
    2
    3
    Switch(config-if)#switchport port-security violation shutdown 

    Switch(config-if)#exit

    protect :安全违背保护模式,当该端口违反了mac地址安全,则不学习新的mac,并丢弃数据,不发送警告。

    recovery :恢复违背模式,触发端口违背动作后,恢复mac学习功能。

    restrict:安全违背限制模式,触发违背动作后,不关闭端口,不学习新的mac,丢弃数据包,发送snmp trap,同时在syslog日志中记录。

    shutdown :安全违背关闭模式,是安全违背的缺省模式,在这种情况下,端口被立即关闭,发送SNMP trap, 同时在syslog 日志中记录。

  5. 验证测试

    5.1 配置PC1

    ip:192.168.1.1

    MASK:255.255.255.0

    5.2 配置PC2

    ip:192.168.1.2

    MASK:255.255.255.0

    5.3 配置PC3

    ip:192.168.1.3

    MASK:255.255.255.0

    5.4 ping测试

    5.4.1 PC1 ping PC3 ping 192.168.1.3

    cisco17

    5.4.2 PC2 ping PC3 ping 192.168.1.3

    cisco18

    5.5 修改拓扑图以及配置后测试

    修改后的拓扑图:

    cisco19

    PC2 ping PC3 ping 192.168.1.3

    cisco20

    5.6 验证最大端口数

    在S2上配置:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    Switch>en

    Switch#configure terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    Switch(config)#interface fastEthernet 0/1

    Switch(config-if)#switchport mode access

    Switch(config-if)#switchport port-security mac-address 00ff.ffff.ffff

    Found duplicate mac-address 00ff.ffff.ffff.

    Switch(config-if)#switchport port-security violation shutdown

    Switch(config-if)#switchport port-security mac-address 00ff.ffff.fffe

    Total secure mac-addresses on interface FastEthernet0/1 has reached maximum limit.
  • Title: 5.配置端口安全
  • Author: 小浩
  • Created at : 2024-04-09 11:24:21
  • Updated at : 2024-06-08 13:52:13
  • Link: https://blog.xh8.shop/2024/04/09/5-配置端口安全/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments