交換機(jī)端口隔離及端口安全

實(shí)驗(yàn)二交換機(jī)端口隔離及端口安全背景描述：假設(shè)你所用的交換機(jī)是寬帶小區(qū)城域網(wǎng)中的1臺樓道交換機(jī)，住戶PC1連接在交換機(jī)的0/1口，住戶PC2連接在交換機(jī)的0/2口。住戶不希望他們之間能夠相互訪問，現(xiàn)要實(shí)現(xiàn)各家各戶的端口隔離。一、 ：實(shí)驗(yàn)名稱:交換機(jī)端口隔離二、 實(shí)驗(yàn)?zāi)康模菏炀氄莆站W(wǎng)絡(luò)互聯(lián)設(shè)備-交換機(jī)的基本配置方法理解和掌握PortVlan的配置方法三、 實(shí)驗(yàn)設(shè)備：每一實(shí)驗(yàn)小組提供如下實(shí)驗(yàn)設(shè)備1、 實(shí)驗(yàn)臺設(shè)備：計算機(jī)兩臺PC1和PC2（或者PC4和PC5）2、 實(shí)驗(yàn)機(jī)柜設(shè)備：S2126或者S3550）交換機(jī)一臺3、 實(shí)驗(yàn)工具及附件：網(wǎng)線測試儀一臺 跳線若干四、 實(shí)驗(yàn)原理及要求：1、 Vlan（viruallaocalareanejtWOT伺域網(wǎng)），是指在一個物理網(wǎng)段內(nèi)，進(jìn)行邏輯的劃分，劃分成若干個虛擬局域網(wǎng)。其最大的特性是不受物理位置的限制，可以進(jìn)行靈活的劃分。VLAN具備一個物理網(wǎng)段所具備的特性。相同的VLAN內(nèi)的主機(jī)可以相互直接訪問，不同的VLAN間的主機(jī)之間互相訪問必須經(jīng)由路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)，廣播包只可以在本VLAN內(nèi)進(jìn)行傳播，不能傳輸?shù)狡渌鸙LAN中。PORTVLAN是實(shí)現(xiàn)VLAN的方式之一，PORTVLAN是利用交換機(jī)的端口進(jìn)行VLAN的劃分，一個普通端口只能屬于一個VLAN。五、 實(shí)驗(yàn)注意事項(xiàng)及要求：1、 實(shí)驗(yàn)中嚴(yán)禁在設(shè)備端口上隨意插拔線纜，如果確實(shí)需要應(yīng)向老師說明征求許可。2、 以電子文檔形式提交實(shí)驗(yàn)報告。3、 本次實(shí)驗(yàn)結(jié)果保留：是〃否4、 將交換機(jī)的配置文檔、驗(yàn)證計算機(jī)的TCP/IP配置信息保存。5、 將交換機(jī)的配置信息以圖片的形式保存到實(shí)驗(yàn)報告中。6、 六、實(shí)驗(yàn)用拓?fù)鋱DF0/2r—NIC2Vlan20F0/2r—NIC2Vlan20注意：實(shí)驗(yàn)時按照拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)的連接，注意主機(jī)和交換機(jī)連接的端口七、實(shí)驗(yàn)具體步驟及實(shí)驗(yàn)結(jié)果記錄：1、實(shí)現(xiàn)兩臺主機(jī)的互聯(lián)，確保在未劃分VLAN前兩臺PC是可以通訊的（即F0/1和F0/2間是可以通訊的）。實(shí)驗(yàn)結(jié)果記錄：要求將PC1和pc2的IP設(shè)置和連通性測試的結(jié)果記錄下來。2、創(chuàng)建VLAN1）、啟用“本地連接”網(wǎng)卡，正確設(shè)置IP地址及默認(rèn)網(wǎng)關(guān)，打開設(shè)備配置界面，完成以下命令行操作：

>S2126G-7-1〉enable14S2126G-7-1#>S2126G-7-1〉enable14S2126G-7-1(config)#vlan10S2126G-7-1(config-vlan)#nametest10S2126G-7-1(config-vlan)#exitS2126G-7-1(config)#vlan20S2126G-7-1(config-vlan)#nametest20S2126G-7-1(config-vlan)#endS2126G-7-1#!進(jìn)入特權(quán)模式!進(jìn)入特權(quán)模式!進(jìn)入全局配置模式!創(chuàng)建vlan10!將vlan10命名為test10!退回到上一級操作模式!創(chuàng)建vlan20!將vlan20命名為test20!直接退回到特權(quán)模式>S2126G-7-1#showvlan !查看已配置的VLAN信息注意：默認(rèn)情況下，所有的接口都屬于VLAN1實(shí)驗(yàn)結(jié)果記錄:3、 將接口F0/1和F0/2分別分配到VLAN10和VLAN20，并記錄實(shí)驗(yàn)結(jié)果-S2126G-7-1〉enable14 ！進(jìn)入特權(quán)模式S2126G-7-1#configureterminal !進(jìn)入全局配置模式S2126G-7-1(config)#interfacefastethernet0/1!進(jìn)入F0/1配置模式S2126G-7-1(config-if)#switchportaccessvlan10!將接口劃入vlan10-S2126G-7-1(config-if)#exit !退回全局配置模式S2126G-7-1(config)#interfacefastethernet0/2!進(jìn)入F0/2配置模式S2126G-7-1(config-if)#switchportaccessvlan20!將接口劃入vlan10?S2126G-7-1(config-if)#exit !退回全局配置模式?A驗(yàn)證配置并記錄實(shí)驗(yàn)結(jié)果：AS2126G-7-1#showvlan !查看已配置的VLAN信息實(shí)驗(yàn)結(jié)果記錄：4、 測試驗(yàn)證，原來可以通訊的兩臺主機(jī)，現(xiàn)在PING不通，并記錄實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)結(jié)果記錄：5、 看交換機(jī)端口fastEthernet0/1的配置信息：As2126-7-1#showinterfacesfastEthernet0/1switchport實(shí)驗(yàn)結(jié)果記錄：7、查看驗(yàn)證交換機(jī)正在運(yùn)行的配置switchA#showrunning-config實(shí)驗(yàn)結(jié)果記錄:參考配置：s2126-7-1#showrunning-configSystemsoftwareversion:1.66(3)BuildSep72006RelBuildingconfiguration...Currentconfiguration:378bytes!version1.0!hostnames2126-7-1vlan1!vlan10!vlan20!enablesecretlevel15'T〉H.Y*T3UC,tZ[V4"D+S(\W54G1X)svenablesecretlevel145'Ttj9=G13U7R:〉H.4"u_;C,t54U0<D+Senablesecretlevel155&x;C,tZ[ur<D+S(\wx=G1X)sp:〉H.Y*T!interfacefastEthernet0/1switchportaccessvlan10!interfacefastEthernet0/2switchportaccessvlan20!ends2126-7-1#實(shí)驗(yàn)結(jié)果記錄【注意事項(xiàng)】1、 交換機(jī)所有端口在默認(rèn)情況下屬于ACCESS端口，可直接將端口加入某一VLAN，利用SWITCHPORTMODEACCESS/TRUNK命令可以更改端口的VLAN模式。2、 VLAN1屬于系統(tǒng)默認(rèn)的VLAN，不可以被刪除。3、 刪除某個VLAN，使用NO命令。例如：SWITCH(CONFIG)#NOVLAN104、 刪除某個VLAN時，應(yīng)先將屬于該VLAN的端口加入到別的VLAN，再刪除之。否則被刪除的VLAN內(nèi)的分配端口會自動恢復(fù)到系統(tǒng)默認(rèn)的VLAN1。八?分析與思考：觀察你所配置的交換機(jī)的型號，說出他是幾層交換機(jī)VLAN的劃分方法有那些？基于端口的VLAN的劃分的優(yōu)缺點(diǎn)是什么？同一個交換機(jī)端口，能否屬于不同的VLAN？九實(shí)驗(yàn)中的問題、心得體會及建議［補(bǔ)充實(shí)驗(yàn)內(nèi)容］tt2、交換機(jī)端口安全［基本概念］-利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。-交換機(jī)端口安全的基本功能>限制交換機(jī)端口的最大連接數(shù)>端口的安全地址綁定>端口防ARP欺騙?安全違例產(chǎn)生于以下情況：如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個數(shù)如果該端口收到一個源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect:當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包Restrict:當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知Shutdown:當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知配置項(xiàng)目端口安全最大連接數(shù)配置?端口的安全地址綁定

-端口防ARP欺騙-處理違例的方式［配置方法］-端口安全最大連接數(shù)配置S2126G-1-1(config-if)#switchportport-security!打開該接口的端口安全功能S2126G-1-1(config-if)#switchportport-securitymaximumvalue!設(shè)置接口上安全地址的最大個數(shù)，范圍是1-128，缺省值為128手工配置接口上的安全地址綁定S2126G-1-1(config-if)#switchportport-securitymac-addressmac-addressip-addressip-address設(shè)置處理違例的方式S2126G-1-1(config-if)#switchportport-securityviolation{protect|restrict|shutdown}注意：端口安全功能只能在access端口上進(jìn)行配置。當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。端口的安全地址綁定方式有:單MAC、單IP、MAC+IP［查看配置信息］-查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等S2126G-1-1#showport-security-查看安全地址信息S2126GTT#showport-securityaddress［配置示例］下面的例子是配置接口fastethernet0/1上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為192.168.100.100>>>>S2126G-1-1#S2126G-1-1(config)#S2126G-1-1(config-if)#S2126G-1-1(config-if)#S2126G-1-1(config-if)# :00d0.f800.073cip-addressS2126G-1-1(config-if)#endconfigureterminalinterfacefastethernet0/1switchportmodeaccessswitchportport-securityS2126G-1-1#S2126G-1-1(config)#S2126G-1-1(config-if)#S2126G-1-1(config-if)#S2126G-1-1(config-if)# :00d0.f800.073cip-addressS2126G-1-1(config-if)#endconfigureterminalinte