实验4 交换机端口安全配置 (1)

一、实验目的1. 了解交换机的基本功能和配置方法；2. 掌握交换机的VLAN配置、端口镜像配置和端口聚合配置；3. 熟悉交换机在网络安全中的作用。

二、实验环境1. 交换机：华为S5700系列交换机；2. 网络设备：PC、交换机、路由器等；3. 软件工具：Packet Tracer、PuTTY等。

三、实验内容1. 交换机基本配置2. VLAN配置3. 端口镜像配置4. 端口聚合配置5. 交换机在网络安全中的应用四、实验步骤及结果1. 交换机基本配置（1）连接交换机与PC，通过Console口进入交换机配置模式；（2）配置交换机的主机名、密码、时间等基本参数；（3）配置交换机的VLAN ID、名称和类型；（4）配置交换机的接口，包括VLAN接口和物理接口；（5）保存配置并重启交换机。

实验结果：交换机基本配置完成，可以正常工作。

2. VLAN配置（1）创建VLAN，设置VLAN ID、名称和类型；（2）将交换机的接口划分到对应的VLAN；（3）配置VLAN间路由，实现不同VLAN之间的互通。

实验结果：成功创建VLAN，实现不同VLAN之间的互通。

3. 端口镜像配置（1）配置端口镜像源端口和目标端口；（2）选择要镜像的流量类型，如所有流量、仅指定协议流量等；（3）测试端口镜像功能，验证流量是否被正确镜像。

实验结果：成功配置端口镜像，流量被正确镜像。

4. 端口聚合配置（1）创建端口聚合组，选择要聚合的端口；（2）配置端口聚合组的负载均衡方式，如按端口、按MAC地址等；（3）测试端口聚合功能，验证流量是否被正确分发。

实验结果：成功配置端口聚合，流量被正确分发。

5. 交换机在网络安全中的应用（1）配置端口安全，限制端口连接的设备数量；（2）配置MAC地址绑定，防止MAC地址欺骗；（3）配置广播风暴抑制，防止广播风暴对网络的影响；（4）配置DHCP snooping，防止DHCP服务器攻击。

实验结果：成功配置交换机在网络安全中的应用，提高网络安全性。

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

实训4 交换机的端口安全【实训目的】（1）掌握交换机端口安全功能，控制用户的安全接入（2）掌握交换机的端口配置的连接数（3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：（1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包；（2）restrict当违例产生时，将发送一个trap通知；（3）shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来；【实训背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。

为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0019.2147.10F9。

该主机连接在1台2126G上。

【实训设备】S2126G（1台），PC（2台）、直连线（2条）【实训内容】（1）按照拓扑进行网络连接（2）配置交换机端口最大连接数限制（3）配置交换机端口地址绑定【实训拓扑图】【实训步骤】（1）配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23！打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y！开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1！开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n！配置安全违例的处理方式s h u t d o w n（2）验证测试：查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y（3）配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。

交换机的基本配置与管理实验心得一、概述交换机是计算机网络中的重要设备，用于实现局域网内计算机之间的数据交换和通信。

交换机的基本配置与管理是保证网络正常运行和提高网络性能的关键一环。

本文将详细探讨交换机的基本配置与管理实验心得，并提供一些实用的技巧和注意事项。

二、交换机的基本配置1. 硬件连接在配置交换机之前，首先需要进行硬件连接，包括电源连接、网络连接等。

在插拔网线时要注意安全，避免因电流过大或静电等原因对交换机造成损害。

2. 登录交换机使用管理电脑通过串口或网络连接交换机，并使用管理员账号和密码登录交换机的管理界面。

一般来说，交换机的管理界面可以通过浏览器访问，也可以使用特定的管理软件。

3. 基本配置命令登录交换机后，可以使用一些基本配置命令来配置交换机，包括但不限于以下几个方面：a. 设置主机名：Switch(config)# hostname Switch1将交换机的主机名设为Switch1。

b. 设置管理IP地址：Switch(config)# interface vlan 1Switch(config-if)# ip address 192.168.0.1 255.255.255.0Switch(config-if)# no shutdown将交换机的IP地址设置为192.168.0.1，并开启接口。

c. 配置SSH登录：Switch(config)# username admin privilege 15 secret cisco123Switch(config)# ip domain-name Switch(config)# crypto key generate rsaSwitch(config)# line vty 0 15Switch(config-line)# transport input sshSwitch(config-line)# login local配置SSH登录，设置管理员用户名为admin，密码为cisco123。

第八章实验讲义---交换机基本配置端口安全与STP第12章交换机基本配置交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。

和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。

本章将简单介绍交换的一些基本配置。

关于VLAN 和Trunk等将在后面章节介绍。

12.1 交换机简介交换机是第2层的设备，可以隔离冲突域。

交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。

交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM来进行数据帧的转发。

交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。

12.2 实验0：交换机基本配置1.实验目的:通过本实验，可以掌握交换机的基本配置这项技能。

2.实验拓扑实验拓扑图如图12-2所示。

图12-2 实验1拓扑图3.实验步骤（1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.登录成功后, 通过PC0配置交换机Switch0的主机名Switch>enableSwitch#conf terminalEnter configuration commands，one per line. End with CNTL/ZSwitch(config)#hostname S1（2）步骤2：配置telnet密码和enable密码. S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login（3）步骤3：接口基本配置默认时，交换机的以太网接口是开启的，对于交换机的以太网口可以配置其双工模式和速率等。

一、实验目的本次实验旨在通过对交换机进行基本配置，使学生掌握交换机的基本功能和操作方法，了解交换机的工作原理，为今后的网络管理和维护工作打下基础。

二、实验环境1. 实验设备：三层交换机一台2. 实验软件：网络仿真软件（如Cisco Packet Tracer）3. 实验工具：网络仿真软件配套的虚拟网络设备三、实验内容1. 交换机的基本操作2. 交换机的基本配置3. 交换机的安全配置四、实验步骤1. 交换机的基本操作（1）启动交换机，并进入用户模式。

（2）查看交换机的版本信息、硬件信息等。

（3）进入特权模式，进行高级配置。

（4）退出特权模式，返回用户模式。

2. 交换机的基本配置（1）配置交换机的主机名。

（2）配置交换机的登录信息，包括用户名和密码。

（3）配置交换机的VLAN信息。

（4）配置交换机的端口信息，包括端口描述、VLAN分配等。

3. 交换机的安全配置（1）配置交换机的访问控制列表（ACL），限制访问权限。

（2）配置交换机的SSH功能，提高远程登录的安全性。

（3）配置交换机的Telnet功能，允许远程登录。

五、实验结果与分析1. 交换机的基本操作通过实验，学生掌握了交换机的基本操作，包括启动、进入用户模式、查看设备信息、进入特权模式等。

2. 交换机的基本配置（1）配置交换机的主机名。

实验结果显示，交换机成功设置了主机名，并在后续操作中正确显示。

（2）配置交换机的登录信息。

实验结果显示，交换机成功设置了用户名和密码，并验证了登录信息。

（3）配置交换机的VLAN信息。

实验结果显示，交换机成功创建了VLAN，并将端口分配到了对应的VLAN。

（4）配置交换机的端口信息。

实验结果显示，交换机成功设置了端口描述和VLAN分配，并验证了端口信息。

3. 交换机的安全配置（1）配置交换机的ACL。

实验结果显示，交换机成功配置了ACL，并验证了访问权限。

（2）配置交换机的SSH功能。

实验结果显示，交换机成功配置了SSH功能，并验证了远程登录的安全性。

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、 Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、 Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告 | 丢弃数据包，在console发警告 | 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

实验二 交换机端口隔离及端口安全背景描述：假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。

住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。

一、:实验名称:交换机端口隔离二、实验目的:1. 熟练掌握网络互联设备-交换机的基本配置方法2. 理解和掌握Port Vlan 的配置方法三、实验设备：每一实验小组提供如下实验设备1、 实验台设备：计算机两台PC1和PC2（或者PC4和PC5）2、 实验机柜设备： S2126(或者S3550)交换机一台3、 实验工具及附件：网线测试仪一台 跳线若干四、实验原理及要求：1、Vlan(virual laocal area network,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

其最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具备一个物理网段所具备的特性。

相同的VLAN 内的主机可以相互直接访问，不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN 内进行传播，不能传输到其他VLAN 中。

2、PORT VLAN 是实现VLAN 的方式之一，PORT VLAN 是利用交换机的端口进行VLAN 的划分，一个普通端口只能属于一个VLAN 。

五、实验注意事项及要求：1、 实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。

2、 以电子文档形式提交实验报告。

3、 本次实验结果保留：是 √ 否4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。

5、 将交换机的配置信息以图片的形式保存到实验报告中。

6、 六、实验用拓扑图注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口七、实验具体步骤及实验结果记录：1、 实现两台主机的互联，确保在未划分VLAN 前两台PC 是可以通讯的（即F0/1和F0/2间是可以通讯的）。