210 交换机端口安全配置.docx

210 交换机端口安全配置2.10 交换机端口安全配置1 预备知识： 网络安全涉及到方方面面，从交换机来说，首选需要保证交换机端口的安全。在不少公司或网络中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到网络中，类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口，使得当网络上具有非法MAC地址的设备接入时，交换机会自动关闭或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置，使非法接入的设备挡在网络最低层，不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、 了解交换机端口安全的作用。 2、 能读懂交换机MAC地址表。 3、 掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况，一些个人电脑中毒后在局域网内发送病毒，影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。 三、实训要求 1. 设备要求： 1) 两台2950-24二层交换机、四台PC机。 2) 一条交叉双绞线、四条直通双绞线。 2. 实训拓扑图 3. 配置要求： 1）PC机配置要求： 设备 PC1 IP地址/子网掩码 19216811/24 接口连接 见实训拓扑图 PC2 PC3 PC4 19216812/24 19216813/24 19216814/24 2）交换机配置要求： 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果：PC1、PC2、PC3之间能互联互通，P1、PC2机PING PC4不通，PC3与PC4互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC机。 2、 按实训配置要求设置四台PC机的IP地址信息。 3、 按如下拓扑图连接设备，如下图所示。 4、 进入交换机S1的命令行配置窗口，在特权用户配置模式下使用show mac-address-table命令查看交换机MAC地址表。 Switch#show mac-address-table /显示交换机MAC地址表 Mac Address Table PC2 MAC地址 - Vlan Mac Address Type Ports PC1 MAC地址 - - - - 1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.ba3d.d800 DYNAMIC Fa0/1 Switch# 注：查看PC机的MAC地址可通过点击PC机后选择“配置-FastEthernet-MAC地址”查看，如下图为PC1的MAC地址。 5、 使用交叉双绞线连接S1和S2的F0/24接口，如下图所示。 6、 在S1上再次查看交换机的MAC地址表，此时F0/24已学习到F0/24上连接的S2交换机的MAC地址。 Switch#show mac-address-table /显示交换机MAC地址表 Mac Address Table - Vlan Mac Address Type Ports - - - - 1 0005.5e50.9967 DYNAMIC Fa0/2 交换机S2的MAC地址表 1 00d0.58ec.9a18 DYNAMIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 Switch# 7、 使用直通双绞线连接PC3到交换机S2上的F0/1接口。 8、 在交换机上S1上再次查看MAC地址表，交换机已学习到PC3的MAC地址。 Switch#show mac-address-table /显示交换机MAC地址表 Mac Address Table - Vlan Mac Address Type Ports - - - - 1 0005.5e50.9967 DYNAMIC Fa0/2 PC3 MAC地址 1 00d0.58ec.9a18 DYNAMIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 1 00d0.bccb.1725 DYNAMIC Fa0/24 Switch# 8、进入交换机S1，更改名称并进入F0/24口，启用该接口的安全配置并最大连接MAC地址数为2，发生违例后丢弃数据包信息。 Switch>en /进入特权用户配置模式 Switch#conf t /进入全局配置模式 Switch(config)#hostname S1 /更改交换机名称 S1(config)#int f0/24 /进入F0/24接口配置模式 S1(config-if)#switchport mode access /设置接口模式为access S1(config-if)#switchport port-security /启用端口安全配置 S1(config-if)#switchport port-security maximum 2 /设置端口最大MAC连接数为2 S1(config-if)#switchport port-security violation protect /设置端口违例处理方式为protect S1(config-if)# /*违例处理方式有protect、restrict、shutdown三种*/ 9、再次在交换机S1上查看地址表，发现没有PC4的MAC地址，端口限制已起作用。 S1#show mac-address-table /显示交换机MAC地址表 Mac Address Table - Vlan Mac Address Type Ports - - - - 1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 1 00d0.bccb.1725 STATIC Fa0/24 S1# 10、使用PING命令测试各PC间的连通性，结果如下表所示。 PC1 PC2 PC3 PC4 PC1 - 通 通 不通 PC2 通 不通 通 不通 PC3 通 通 - 通 PC4 不通 不通 不通 - 11、可在交换机S1上使用“show port-security address”命令查看安全地址。 S1#show port-security address /显示端口安全地址 Secure Mac Address Table - Vlan Mac Address Type Ports Remaining Age (mins) - - - - - 1 00D0.58EC.9A18 DynamicConfigured FastEthernet0/24 - 1 00D0.BCCB.1725 DynamicConfigured FastEthernet0/24 - - Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 1024 12、在交换机S1上使用“show port-security interface f0/24”命令查看F0/24端口安全配置信息。 S1#show port-security interface f0/24 /查看F0/24端口安全配置信息 Port Security : Enabled Port Status : Secure-up Violation Mode : Protect Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 00D0.58EC.9A18:1 Security Violation Count : 0 S1# 13、在步骤9中，由于交换机S1里的F0/24接口的MAC地址是动态生成的，如果交换机重启了，而交换机S2中又已经连接了PC3、PC4，可能会出现PC4能与PC1、PC2通信而PC3不能通信的情况。 S1#show mac-address-table /显示交换机MAC地址表 Mac Address Table - Vlan Mac Address Type Ports PC4的MAC地址 - - - - 1 0001.9670.b365 STATIC Fa0/24 1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.ba3d.d800 DYNAMIC Fa0/1 S1# 14、为此，我们可以使用静态MAC地址表的方法，限制S1的F0/24接口只能有二个MAC地址通过，一个为交换机，另一个为PC3,如下所示。 S1#conf t /进入全局配置模式 S1(config)#int f0/24 /进入F0/24接口 S1(config-if)#shutdown /关闭接口 S1(config-if)#no switchport port-security mac-address 0001.9670.b365 /删除“0001.9670.b365”MAC安全地址 S1(config-if)#switchport port-security mac-address 00D0.BCCB.1725 /配置只有该“00D0.BCCB.1725”MAC地址的设备才能连接，同时该MAC地址的设备在S1交换机上也只能接入到该接口才能连接通信。 S1(config-if)# Z /退出到特权用户配置模式 S1#write /保存交换机配置 15、再次查看MAC地址表，如下所示。 S1#show mac-address-table /显示交换机MAC地址表 Mac Address Table - Vlan Mac Address Type Ports - - - - PC3的MAC地址 1 00d0.58ec.9a18 STATIC Fa0/24 1 00d0.bccb.1725 STATIC Fa0/24 S1# 六、相关命令 命令 功能 参数 1 show mac-address-table dynamic|interfaces|static 显示交换机MAC地址表 无参数显示整个交换机的MAC地址表；参数dynamic显示动态的MAC地址表；参数interfaces显示接口MAC地址表；参数static显示静态的MAC地址表。 命令模式 实例 命令 功能 参数 特权用户配置模式 显示动态的交换机地址表：Switch#show mac-address-table dynamic switchport port-security mac-address|maximum|violation 配置交换机接口的安全配置 无参数开启交换机接口的安全配置；参数mac-address在该接口绑定MAC地址；参数maximum在该接口绑定最大连接数；参数violation在该接口2 命令模式 实例 产生违例时的处理方式。 接口配置模式 配置接口的最大连接数为8 :Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 命令 功能 参数 3 interface显示指定接口的安全地址信息。 命令模式 实例 七、相关知识 1、 端口安全违例处理方式有protect、restrict、shutdown三种: Protect方式：当新的计算机接入时，如果该接口的MAC数超过最大数量，则这个新的计算机无法接入，而原有的计算机不受影响。 Shutdown方式：当新的计算机接入时，如果该接口的MAC数超过最大数量，则该接口将会被关闭，新的计算机和原有的计算机都无法接入网络，需要使用“no shutdown”重新打show port-security address| interface 显示端口安全信息 无参数显示所有端口安全信息；参数address显示安全地址；参数特权用户配置模式 显示F0/1接口的安全地址信息：Switch#show port-security int f0/1 开该接口。 Restrict：当新的计算机接入时，如果该接口的MAC数超过最大数量，则这个新的计算机可以接入，但交换机将发送警告信息。 八、注意事项 1、交换机端口最大连接数指的是该端口下连接最大MAC地址数，如某接口设置最大连接数为2，该接口下连接一台交换机，由于交换机是具有MAC地址的设备，所以最多只能接一台具有MAC地址的终端，如计算机。 2、使用端口安全配置时需要在接口下使用“switchport port-security”先开启端口安全配置。 3、“switchport port-security maximum X制的最大连接MAC地址数是动态的，也就是说，最早接入的X台计算机数不受限制，X+1台会受到限制，但这X台计算机并不保证每次交换机重启后都是同一批计算机。 3、配置交换机端口安全时该接口模式不能为“dynamic”，否则不能启用端口安全。 九、练习 配置交换机SWITCH0的F0/24接口最大连接数为3，如超过最大连接数则关闭该接口。 要求：F0/24接口下限制为只能连接交换机switch1和PC2、PC3。 提示：交换机的MAC地址可在特权模式下使用“show version”查看。