項目4-1端口安全m課件講解

項目4配置交換機端口安全與端口聚合任務1配置交換機的端口安全湖南鐵道職業(yè)技術學院言海燕《網絡設備配置與管理》之交換機篇任務描述新知探索

任務實施任務拓展考核評價課后拓展你是某公司的網絡管理員，公司要求對網絡進行嚴格控制。為了防止公司內部用戶的網絡攻擊和破壞行為，為每個員工分配了固定的IP地址，并且限制只允許公司內部員工主機可以使用網絡，不得隨意連接其他主機。1．端口安全概述利用交換機端口安全這個特性，可以實現網絡接入安全，具體可以通過限制允許訪問交換機上某個端口的MAC地址以及IP來實現嚴格控制對該端口的輸入。當設置了安全端口上安全地址的最大個數后，可以使用下面幾種方式加滿端口上的安全地址。（1）使用接口配置模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配置端口的所有安全地址。（2）讓該端口自動學習地址，這些自動學習到的地址將變成該端口上的安全地址，直到達到最大個數。任務描述新知探索

任務實施任務拓展考核評價課后拓展1．端口安全概述當違例產生時，你可以設置下面幾種針對違例的處理模式。（1）protect：當安全地址個數滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的數據包。（2）restrict：當違例產生時，將發(fā)送一個Trap通知。（3）shutdown：當違例產生時，將關閉端口并發(fā)送一個Trap通知。任務描述新知探索

任務實施任務拓展考核評價課后拓展2．端口安全配置（1）默認配置值。交換機端口安全的具體內容有四項，它的默認配置如表所示。內

容默認設置端口安全開關所有端口均關閉端口安全功能最大安全地址個數128安全地址無違例處理方式保護（protect）任務描述新知探索

任務實施任務拓展考核評價課后拓展2．端口安全配置（2）端口安全限制。交換機配置端口安全時有如下一些限制。①一個安全端口不能是一個aggregateport。②一個安全端口只能是一個accessport。（3）配置方法。從特權模式開始，你可以通過表所示的步驟來配置一個安全端口和違例處理方式。步驟命令含義第1步Configureterminal進入全局配置模式第2步Interfaceinterface-id進入接口配置模式第3步Switchportmodeaccess設置接口為Access模式第4步Switchportport-security打開端口安全功能第5步Switchportport-securitymaximumvalue設置端口上安全地址的最大個數，范圍1～128，默認128第6步Switchportport-securityviolation{protect|restrict|shutdown}設置違例處理方式Protect：保護端口，當安全地址個數滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的數據包。restrict：當違例產生時，將發(fā)送一個Trap通知。shutdown：當違例產生時，將關閉端口并發(fā)送一個Trap通知。當端口因為違例而被關閉后，你可以在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)恢復過來。第7步End回到特權模式第8步Showport-securityinterface[interface-id]驗證配置第9步Copyrunning-configstartup-config保存配置任務描述新知探索

任務實施任務拓展考核評價課后拓展2．端口安全配置（4）IP地址及MAC地址綁定。從特權模式開始，你可以通過表所示步驟來手工配置一個安全端口上的安全地址。步

驟命

令含

義第1步Configureterminal進入全局配置模式第2步Interfaceinterface-id進入接口配置模式第3步Switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口安全地址第4步end回到特權模式第5步Showport-securityaddress驗證配置第6步Copyrunning-configstartup-config保存配置任務描述新知探索

任務實施任務拓展考核評價課后拓展1．PC機配置主機PC0的IP地址配置為192.168.1.10，子網掩碼為255.255.255.0，網關為192.168.1.1；主機PC1的IP地址配置為192.168.1.20，子網掩碼為255.255.255.0，網關為192.168.1.1；主機PC2的IP地址配置為192.168.1.30，子網掩碼為255.255.255.0，網關為192.168.1.1。任務描述新知探索

任務實施任務拓展考核評價課后拓展2．交換機配置步驟1：進入全局配置模式Switch>enableSwitch#configureterminalSwitch(config)#步驟2：配置交換機端口的最大連接數限制Switch(config)#interfacerangefastEthernet0/1-23Switch(config-if-range)#switchportport-securitySwitch(config-if-range)#switchportport-securitymaximum1Switch(config-if-range)#switchportport-securityviolationshutdownSwitch(config-if-range)#end任務描述新知探索

任務實施任務拓展考核評價課后拓展2．交換機配置步驟3：配置交換機端口地址的綁定步驟4：驗證交換機端口安全功能效果在PC0連接交換機FA0/1口、PC1連接交換機FA0/2口、PC2連接交換機FA0/10口情況下，PC0、PC1、PC2都能夠PING通，測試結果如圖所示。任務描述新知探索

任務實施任務拓展考核評價課后拓展2．交換機配置步驟5：配置交換機端口地址的綁定Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address0001.6477.091cSwitch(config-if)#exit任務描述新知探索

任務實施任務拓展考核評價課后拓展Switch(config)#Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address0001.c9d3.3cedSwitch(config-if)#exitSwitch(config)#Switch(config)#interfacefastEthernet0/10Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.5897.8a97Switch(config-if)#exit任務描述新知探索

任務實施任務拓展考核評價課后拓展3．交換機配置步驟6：驗證交換機端口安全功能效果將PC0、PC1、PC2任何一個連接的交換機接口互換，PC0、PC1、PC2都不能夠PING通，測試結果如圖所示任務描述新知探索

任務實施任務拓展考核評價課后拓展你是一個公司的網絡管理員，公司要求對網絡進行嚴格控制。為了防止公司內部用戶的IP地址沖突，防止公司內部的網絡攻擊和破壞行為。為每一位員工分配了固定的IP地址，并且限制只允許公司員工主機可以使用網絡，不得隨意連接其他主機。例如：某員工分配的IP地址是172.16.1.55/24，主機MAC地址是00-06-1B-DE-13-B4.該主機連接在1臺2126G上邊。任務描述新知探索任務實施任務拓展考核評價課后拓展任務描述新知探索任務實施任務拓展考核評價課后拓展測一測任務描述新知探索任務實施任務拓展考核評價課后拓展1.當打開交換機的端口安全功能后，只要端口連接了計算機，則端口獲得了MAC地址為靜態(tài)，則無法進行switchport