实验四 交换机端口安全技术

第 1 页 共 6 页
计算机网络实验
交换机端口隔离和端口安全
一、实验内容
通过划分port vlan 实现本交换端口隔离
二、实验设备与网络拓扑结构
三、实验目的及要求
目的：理解port vlan 的配置与端口安全的配置
四、实验步骤与结果
开始可以互相ping 通：
建立vlan
将端口0/5划分到vlan10：
查看vlan：
互相ping不通：
第3 页共6 页
配置交换机安全管理策略：
因为交换机在前面步骤学习到了另一台pc的mac地址，所以配置最大连接数时需要配置为2.
查看本机IP与MAC地址：
交换机端口地址绑定：
查看交换机的端口安全配置信息：
F0/1：
F0/5：
第5 页共6 页
查看安全地址信息：
……五、分析与讨论
1、
2、
3、。

实验一实验名称：交换机的端口安全配置。

实验目的：掌握交换机的端口安全功能。

技术原理：利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。

如MAC 地址攻击、ARP 攻击、IP/MAC 地址欺骗等。

交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能：查看交换机的各项参数。

实验设备： S2126G 一台，主机一台，直连网线一根。

实验拓朴：实验步骤：1.配置交换机端口最大连接数限制。

Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置。

Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。

Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。

Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。

Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown S2126C o n s o l eF 0/5 c o m 1N I CFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 ShutdownFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2．配置交换机端口的地址绑定。

交换机端口的安全管理技术1 端口管理的现状端口管理在早期以太网络中并没有得到重视，从hub到交换机，由于硬件的局限性，一直以来，网络设备都是即插即用，对交换机来说，端口都是开放的，只要支持二层网络协议的相关互联内容就可以了。

随着科技的进步，由于网络的范围逐步扩展，中型、大型网络不断出现，交换机的端口管理就必然出现，主要的几种方法都围绕着分割、互联、隔离、安全认证来进行。

2 端口管理的必要性交换机的端口的即插即用虽然很方便，但是也带来一系列问题，在ARP病毒泛滥的时期，由于ARP协议的自身缺陷，对冒充网关的MAC地址欺骗，交换机没有办法辨别，造成网络嗅探、网络中断频发；由于在企业信息网络中，基于安全考虑，并不希望在链路层即插即用，这样的话，就需要对接入的网络设备有一个辨别、认可的过程。

另外大型网络中一个广播域中的互相影响也很严重。

这些方面的问题，对网络管理人员提出了新的要求，那就是有必要实行严格的网络交换机端口管理。

现代的交换机性能在不断加强，主要表现在背板带宽上，端口速率上也从10M半双工发展到现在的千兆、万兆速率，同步的交换机的管理技术也有日新月异的发展。

3 端口管理的几种方法3.1 LAN传统的以太网是一个平面网络，网络中的所有主机通过HUB 或交换机相连，处在同一个广播域中。

HUB是物理层设备，没有交换功能，接收的报文会向所有端口转发；交换机是链路层设备，具备根据报文的目的MAC地址进行转发的能力，但在收到广播报文或未知单播报文（报文的目的MAC地址不在交换机MAC地址表中）时，也会向除报文入端口之外的所有端口转发。

上述情况使网络中的主机会收到大量并非以自身为目的地的报文，在浪费大量带宽资源的同时，也造成了严重的安全隐患。

隔离广播域的传统方法是使用路由器，但是路由器成本较高，而且端口较少，无法划分细致的网络。

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。

通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

交换机端口安全性交换机端口安全性【实验名称】交换机端口安全性【实验目的】理解什么是交换机的端口安全性，如何配置端口安全性。

【背景描述】从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。

现在要通过在交换机上做适当配置来实现这一目标。

本实验以一台S2126G交换机为例，交换机名为SwitchA。

一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。

假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。

【实现功能】通过在交换机上设置端口安全性来实现对网络访问的控制。

【实验拓扑】F0/1ConsoleNIC ComPC【实验设备】S2126G（1台）【实验步骤】第一步：在交换机上配置管理接口IP地址SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址SwitchA(config-if))# no shutdown ！开启交换机管理接口验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1Description : Vlan 1OperStatus : upManagementStatus : EnabledPrimary Internet address: 192.168.0.138/24Broadcast address : 255.255.255.255PhysAddress : 00d0.f8ef.9d08SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性Sending 5, 100-byte ICMP Echos to 192.168.0.137,timeout is 2000 milliseconds.Success rate is 100 percent (5/5)Minimum = 1ms Maximum = 3ms, Average = 1ms第二步：打开交换机上fastethernet 0/1接口的端口安全功能SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access 模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能验证测试：验证已开启fastethernet 0/1接口的端口安全功能SwitchA#show port-security interface fastethernet 0/1Interface : Fa0/1Port Security : EnabledPort status : upViolation mode : ProtectMaximum MAC Addresses : 128Total MAC Addresses : 0Configured MAC Addresses : 0Aging time : 0 minsSecure static address aging : Disabled第三步：配置安全端口上的安全地址(可选)SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137! 手工配置接口上的安全地址验证测试：验证已配置了安全地址SwitchA#show port-security addresslan Mac Address IP Address Type Port Remaining Age(mins)---- --------------- --------------- ---------- -------- ------------------- 1 00e0.9823.9526 192.168.0.137 Configured Fa0/1第四步：验证这台PC机可以通过fastethernet 0/1端口访问交换机，而其它计算机不能通过fastethernet 0/1端口访问该交换机C:\>ping 192.168.0.138 ! 验证这台PC机可以通过fastethernet 0/1端口访问交换机现在拔下网线，将另一台计算机连接到交换机的fastethernet 0/1端口上C:\>ping 192.168.0.138 ! 验证这台PC机不能通过fastethernet 0/1端口访问交换机【注意事项】●安全地址设置是可选的；●如果交换机端口所连接的计算机网卡或IP地址发生改变，则必须在交换机上做相应的改变。

实验四交换机端⼝的绑定配置实验三交换机端⼝的绑定配置当⽹络部署完毕后，任何⽤户在⽹络的任何位置只要插上⽹线就能够上⽹。

当机器中毒⽽引发⼤量发送⼴播包时，⽹络管理员应尽快将该机器从⽹络中清除出去。

为了能够快速定位主机并清除，需要将交换机的端⼝与主机的MAC地址绑定，即该主机只能通过特定的端⼝传送数据，如果交换机端⼝上更换了主机，则该主机不能连接到⽹络上，从⽽保证⽹络的安全性。

⼀、实验⽬的1.掌握对交换机端⼝进⾏配置的命令。

2.掌握配置交换机端⼝安全性的命令。

3.掌握测试交换机端⼝安全性的⽅法。

⼆、原理概述交换机端⼝安全性，是指配置交换机某端⼝能够连接的终端数量，当超过该数量时且连接的计算机不是指定的计算机时，该端⼝按照安全性指定违反操作进⾏⼯作。

三、实验内容1.掌握以太⽹交换机单个端⼝和多个端⼝的配置命令。

2.掌握交换机MAC地址表的显⽰和操作命令。

3.掌握交换机的端⼝安全性配置命令。

4.掌握交换机配置⽂件保存命令四、实验环境1.⽤于配置和测试的三台计算机（安装Windows 操作系统）；2.交换机⼀台（本实验中采⽤华为的“S5700-28C-HI”系列的交换机）；3.直连⽹线若⼲根；4.CTL串⾏通信线⼀根。

实验拓扑结构如图6-5所⽰。

图6- 1 实验拓扑五、实验步骤1. 将交换机的GE0/0/2、GE0/0/3 和GE0/0/4分别连接主机PC1、PC2和PC3。

并且将PC1、PC2和PC3的IP地址分别设置为192.168.0.2，192.168.0.3和192.168.0.4，⼦⽹掩码分别配置为：255.255.255.0，默认⽹关的地址为：192.168.0.1，DNS的地址为192.168.0.254。

2. 配置交换机的密码⑴利⽤PC1的超级终端，进⼊交换机，使⽤命令system-view ，进⼊到交换机的系统视图。

⑵使⽤super password cipher 456 ，设置交换机的⽤户super密码为456⑶使⽤quit ，退出系统视图。