【网络安全】【使用端口阻塞进行流量控制】.pdfVIP

第一章 网络基础设施安全实验 使用端口阻塞进行流量控制 【实验名称】 使用端口阻塞进行流量控制 【实验目的】 使用交换机的端口阻塞功能对端口流量进行控制 【背景描述】 某企业网络中最近经常出现大量的数据泛洪现象，通过分析，发现很多设备收到了不是 发往其自身的数据包。对于这种现象，很可能是网络中有人发起 MAC 泛洪攻击。 【需求分析】 对于网络中出现的大量泛洪现象，可以使用交换机的端口阻塞功能防止不必要的数据泛 洪。 【实验拓扑】 【实验设备】 交换机 1 台 PC 机 3 台（PC1 装有报文发送工具） 【预备知识】 交换机转发原理 交换机基本配置 端口阻塞原理 【实验原理】 交换机的端口阻塞是指在特定端口上，阻止广播、未知目的 MAC 单播或未知目的 MAC 组播帧从这个端口泛洪出去，这样不仅节省了带宽资源，同时也避免了终端设备收到多余的 23 网络安全实验教程 数据帧。 【实验步骤】 第一步：创建并配置 VLAN Switch#configure Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)# interface range fastEthernet 0/1-3 Switch(config-if)#switchport access vlan 10 Switch(config-if)#end Switch# 第二步：验证测试 PC1、PC2、PC3 之间可以互相 ping 通。 第三步：验证测试 在 PC1 上使用报文发送工具发送未知目的 MAC 地址的单播帧（本实验假设是 0001.0001.0001 ），在 PC2 与 PC3 上均可以捕获到报文，原因为交换机向所有端口泛洪了 未知目的 MAC 地址的帧。 在 PC2 与 PC3 上捕获的报文： 第四步：配置端口阻塞 配置 F0/3 端口阻塞未知目的 MAC 地址的单播帧： Switch#configure Switch(config)#interface fastEthernet 0/3 Switch(config-if)#switchport block unicast ！配置F0/3 为阻塞端口 Switch(config-if)#end Switch# 第五步：验证测试 由于 F0/3 配置为阻塞端口，PC1 发送的目的地址为 0001.0001.0001 的帧只有 PC2 可 以收到，PC3 无法收到。 【参考配置】 Switch#show running-config 24 第一章 网络基础设施安全实验 Building configuration... Current configuration : 270 bytes !