交換機埠安全的認識理解與特性,MAC綁定與限制等
大家好,今天我們來學習交流一下交換機埠安全的認識理解與特性,MAC綁定與限制等。
通過本文實驗,主要了解為以下幾點
1、理解交換機的 MAC 表;
2、理解交換機的埠安全;
3、配置交換機的埠安全特性。
實驗參考配置命令
交換機埠安全特性,可以讓配置交換機埠,使得非法的MAC 地址的設備接入時,交換機自動關閉介面或者拒絕非法設備接入,也可以限制某個埠上最大的 MAC 地址數。這裡限制 f0/1 介面只允許R1 接入。如圖所示:
(1) 步驟1:檢查R1 的g0/0 介面的MAC 地址
R1(config)#int g0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.0.101 255.255.0.0
R1#show int g0/0
GigabitEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0019.5535.b828 (bia 0019.5535.b828)
//這裡可以看到g0/0 介面的MAC 地址,記下它
Internet address is 172.16.0.101/16
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
(此處省略)
(2) 步驟2:配置交換機埠安全
S1(config)#int f0/1
S1(config-if)#shutdown
S1(config-if)#switch mode access
//以上命令把埠改為訪問模式,即用來接入計算機,在下一章詳細介紹該命令的含義。
S1(config-if)#switch port-securitiy
//以上命令是打開交換機的埠安全功能。
S1(config-if)#switch port-securitiy maximum 1
//以上命令只允許該埠下的MAC 條目最大數量為1,即只允許一個設備接入
S1(config-if)#switch port-securitiy violation { protect | shutdown | restrict }
protect:當新的計算機接入時,如果該介面的MAC 條目超過最大數量,則這個新的計算機將無法接入,而原有的計算機不受影響。
shutdown:當新的計算機接入時,如果該介面的MAC 條目超過最大數量,則該介面將會被關閉,則這個新的計算機和原有的計算機都無法接入,需要管理員使用"no shutdown"命令重新打開。
restrict:當新的計算機接入時,如果該介面的MAC 條目超過最大數量,則這個新的計算機可以接入,然而交換機將向發送警告信息。
S1(config-if)#switchport port-security mac-address 0019.5535.b828
//允許R1 路由器從f0/1 介面接入
S1(config-if)#no shutdown
S1(config)#int vlan1
S1(config-if)#no shutdown
S1(config-if)#ip address 172.16.0.1 255.255.0.0
//以上配置交換機的管理地址
(3) 步驟3:檢查MAC 地址表
S1#show mac-address-table
Mac Address Table
-------------------------------------------
(此處省略)
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
1 0018.ba11.eb91 DYNAMIC Fa0/15
1 0019.5535.b828 STATIC Fa0/1
Total Mac Addresses for this criterion: 24
//R1 的MAC 已經被登記在f0/1 介面,並且表明是靜態加入的
(4) 步驟4:模擬非法接入
這時從R1 ping 交換機的管理地址,可以ping 通,如下:
R1#ping 172.16.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
在R1 上修改g0/0 的MAC 地址為另一個地址, 模擬是另外一台設備接入。 如下:
R1(config)#int g0/0
R1(config-if)#mac-address 12.12.12
幾秒鐘後,則在S1 上,出現:
01:09:39: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting
Fa0/1 inerr-disable state
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272 //以上可以查看埠安全的設置情況。
實驗環境
1、Cisco3560 交換機 2台;
2、計算機2 台;
3、Console 電纜 1 條、直通線 3條。
實驗拓撲
實驗內容
1、設置置交換機埠安全特性,限制交換機Switch A的Fa0/1介面只允許最多2個MAC地址PC機接入,違約模式:shutdown。
2、設置置交換機埠安全特性,限制交換機Switch A的Fa0/2介面只允許最多2個MAC地址PC機接入,違約模式:Protect。
3、設置置交換機埠安全特性,限制交換機Switch A的Fa0/3介面只允許最多2個MAC地址PC機接入,違約模式:Restrcit。
4、將Switch B分別接入以上三個介面進行測試,比較測試結果有何不同。
5、 在埠Fa0/1上手工綁定PC2的MAC地址, Fa0/2和Fa0/3上自動綁定PC2的MAC
地址。
6、將Switch B分別接入以上三個介面進行測試,比較測試結果有何不同。
以上為本文全部內容,如有學習需要可使用Cisco Packet Tracer或者其它模擬軟體進行模擬實驗。有問題也可留言提問。感謝大家的觀看。如果大家對網路技術有興趣,歡迎大家關注。
轉載請註明
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※Cisco交換機 VTP 配置與實際運用方法
※Cisco交換機DHCP中繼服務配置及應用實例
TAG:創世小偉哥 |