【實(shí)驗(yàn)名稱】

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：國(guó)際域名空間、虛擬主機(jī)、營(yíng)銷軟件、網(wǎng)站建設(shè)、隴西網(wǎng)站維護(hù)、網(wǎng)站推廣。

交換機(jī)的端口安全配置

【實(shí)驗(yàn)?zāi)康摹?/p>

掌握交換機(jī)的端口安全功能，控制用戶的安全接入

【背景描述】

你是一個(gè)公司的網(wǎng)絡(luò)管理員，公司要求對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格控制。為了防止公司內(nèi)部用戶的

IP 地址沖突，防止公司內(nèi)部的網(wǎng)絡(luò)***和破壞行為。為每一位員工分配了固定的 IP 地址，

并且限制只允許公司員工主機(jī)可以使用網(wǎng)絡(luò)，不得隨意連接其他主機(jī)。例如：某員工分配的

IP地址是172.16.1.55/24，主機(jī)MAC地址是00-06-1B-DE-13-B4，該主機(jī)連接在1臺(tái)2126G

上邊。

【需求分析】

針對(duì)交換機(jī)的所有端口，配置最大連接數(shù)為 1，針對(duì) PC1 主機(jī)的接口進(jìn)行 IP＋MAC 地

址綁定。

【實(shí)驗(yàn)拓?fù)洹?/p>

【預(yù)備知識(shí)】

路由器基本配置知識(shí)、端口安全知識(shí)

【實(shí)驗(yàn)設(shè)備】

交換機(jī) 1 臺(tái)

PC 1 臺(tái)

直連網(wǎng)線 1 條

【實(shí)驗(yàn)原理】

交換機(jī)端口安全功能，是指針對(duì)交換機(jī)的端口進(jìn)行安全屬性的配置，從而控制用戶的安

全接入。交換機(jī)端口安全主要有兩種類項(xiàng)：一是限制交換機(jī)端口的最大連接數(shù)，二是針對(duì)交

換機(jī)端口進(jìn)行 MAC 地址、IP 地址的綁定。

限制交換機(jī)端口的最大連接數(shù)可以控制交換機(jī)端口下連的主機(jī)數(shù)，并防止用戶進(jìn)行惡意

的 ARP 欺騙。

交換機(jī)端口的地址綁定，可以針對(duì) IP 地址、MAC 地址、IP＋MAC 進(jìn)行靈活的綁定。

可以實(shí)現(xiàn)對(duì)用戶進(jìn)行嚴(yán)格的控制。保證用戶的安全接入和防止常見的內(nèi)網(wǎng)的網(wǎng)絡(luò)***。如

ARP 欺騙、IP、MAC 地址欺騙，IP 地址***等。

配置了交換機(jī)的端口安全功能后，當(dāng)實(shí)際應(yīng)用超出配置的要求，將產(chǎn)生一個(gè)安全違例，

產(chǎn)生安全違例的處理方式有 3 種：

1、protect 當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全

地址中的任何一個(gè)）的包。

2、restrict 當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè) Trap 通知。

3、shutdown 當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè) Trap 通知。

    當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令 errdisable recovery 來將

接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。

【實(shí)驗(yàn)步驟】

步驟1 配置交換機(jī)端口的最大連接數(shù)限制

步驟2 驗(yàn)證交換機(jī)端口的最大連接數(shù)限制

步驟3 配置交換機(jī)端口的MAC與IP地址綁定

配置交換機(jī)端口的地址綁定。

步驟4 查看地址安全綁定配置

步驟5 配置交換機(jī)端口的IP地址綁定。