快压

当前位置:首页 > 电脑技巧 > 正文

教你四招让交换机端口更安全!

浏览次数:|更新日期:2014年07月05日

行为一:静态手工mac+Shutdown
  实验拓扑:
  实验方法—>
  PC1配置:
  PC2配置:
  PC3配置:
  下面在交换机的F0/1端口上设置端口安全:
  Switch>enable —进入特权模式
  Switch#conft—进入全局配置模式
  Entconfigurcommands,onperline. EndwithCNTL/Z.
  Switchconfig#hostnamSW-1—将交换机命名为SW-1
  SW-1config#interfacf0/1—进入F0/1接口
  SW-1config-if#switchportmodeaccess—将端口定义为二层端口
  SW-1config-if#switchportport-secur—启用端口安全
  SW-1config-if#switchportport-securmaximum1–只允许1台设备
  此处,先查看一下PC1mac地址,然后粘贴上来。
  SW-1config-if#switchportport-securmac-address00D0.D36E.525A
  —输入指定设备的mac地址
  SW-1config-if#switchportport-securviolatshutdown—如遇蓄意危害,端口就关闭
  下面验证配置:
  将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
  很显然,交换机与PC3不通。检查一下,交换机的F0/1端口是不是Shutdown状态。
  端口已down掉,实验胜利!
  mac+Restrict
  实验方法—>
  PC1配置:
  PC2配置:
  PC3配置:
  下面在交换机的F0/1端口上设置端口安全:
  Switch>enable —进入特权模式
  Switch#conft—进入全局配置模式
  Enterconfigurcommands,onperline. EndwithCNTL/Z.
  Switchconfig#hostnamSW-1—将交换机命名为SW-1
  SW-1config#interfacf0/1—进入F0/1接口
  SW-1config-if#switchportmodeaccess—将端口定义为二层端口
  SW-1config-if#switchportport-secur—启用端口安全
  SW-1config-if#switchportport-securmaximum1–只允许1台设备
  此处,先查看一下PC1mac地址,然后粘贴上来。
  SW-1config-if#switchportport-securmac-address00D0.D36E.525A
  —输入指定设备的mac地址
  SW-1config-if#switchportport-securviolatrestrict—如遇蓄意危害,端口将不允许所有流量穿越,并弹出警告信息。
  下面验证配置:
  将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,结果如下:
  看上去,PC3与交换机之间的链路仍然是通的用PC3ping一下PC2看看。
  无法ping通,说明交换机F0/1端口不接收任何流量。
  检查一下端口状态:
  端口是开启状态,但不接收流量。
  实验胜利!
  注:因用的模拟器,故没有弹出告警信息,真机上会有的
  实验方法—>
  PC1配置:
  PC2配置:
  PC3配置:
  下面在交换机的F0/1端口上设置端口安全:
  Switch>enable —进入特权模式
  Switch#conft—进入全局配置模式
  Enterconfigurcommands,onperline. EndwithCNTL/Z.
  Switchconfig#hostnamSW-1—将交换机命名为SW-1
  SW-1config#interfacf0/1—进入F0/1接口
  SW-1config-if#switchportmodeaccess—将端口定义为二层端口
  SW-1config-if#switchportport-secur—启用端口安全
  SW-1config-if#switchportport-securmaximum1–只允许1台设备
  Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全数据库中
  Switchconfig-if#switchportport-securviolatshutdown–如果违反了端口安全设定,则关闭端口。
  下面验证配置:
  将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
  很显然,交换机与PC3不通。检查一下,交换机的F0/1端口是不是Shutdown状态。
  端口已down掉!
  再检查一下端口安全数据库:
  数据库里边只有PC1mac地址,实验胜利!
  Sticky+Restrict
  实验拓扑:
  实验方法—>
  PC1配置:
  PC2配置:
  PC3配置:
  下面在交换机的F0/1端口上设置端口安全:
  Switch>enable —进入特权模式
  Switch#conft—进入全局配置模式
  Entconfigurcommands,onperline. EndwithCNTL/Z.
  Switchconfig#hostnamSW-1—将交换机命名为SW-1
  SW-1config#interfacf0/1—进入F0/1接口
  SW-1config-if#switchportmodeaccess—将端口定义为二层端口
  SW-1config-if#switchportport-secur—启用端口安全
  SW-1config-if#switchportport-securmaximum1–只允许1台设备
  Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全数据库中
  Switchconfig-if#switchportport-securviolatrestrict–如果违反了端口安全设定,拒绝所有流量并弹出警告。
  下面验证配置:
  将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
  很显然,交换机与PC3不通。检查一下交换机的F0/1端口状态。
  端口是开启的但拒绝所有流量。
  再检查一下端口安全数据库:
  数据库里边只有PC1mac地址,实验胜利!
  呵呵!这几个实验说的有点啰嗦,不过也是为了让新手看得清楚!忍着点吧!