实验十七 交换机端口安全.pdfVIP

湖北工业大学 计算机学院 《网络互连技术》实验指导书 实验十七 交换机端口安全 一、实验目的和要求 • 了解交换机端口安全的基本知识 • 掌握如何配置交换机端口连接的最大安全地址数 • 掌握如何配置交换机端口绑定指定的mac地址 二、实验设备 模拟软件：CiscoPacketTracer53_setup_no_tutorials 设备：交换机两台，PC机若干，直连线，交叉线若干。 三、实验内容 1．在交换机上配置端口安全，以及违例的处理方式。 2．两台交换机以交叉线相连，其中主交换机上连接一台PC机，以用来验证链路。次交换机下连接两 台PC机。在主交换机上配置最大安全地址数maximum，验证端口mac地址数目超过最大安全地址数时，链 路不通，以指定的违例处理方式处理。 3．在主交换机上配置绑定固定的mac地址，验证当更换工作组PC机时，链路不通，以指定的违例处 理方式处理。 四、实验拓扑 图1 交换机端口连接最大安全地址数 （交换机） 7 网络工程系·李红·2010年编制 湖北工业大学 计算机学院 《网络互连技术》实验指导书 图 2 交换机端口连接最大安全地址数（集线器） 图3 交换机端口绑定指定mac地址 五、背景描述 一是未经授权的用户主机随意连接到企业的网络中。 某公司员工从自己家里拿来一台电脑，可以在不经管理员同意的情况下，拔下某台主机的网线，插在 自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就 带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。 二是未经批准采用集线器等设备。 公司一些员工为了增加网络终端的数量，会在未经授权的情况下，将集线器、交换机等设备插入到办 公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下 降。在企业网络日常管理中，这也是经常遇到的一种危险的行为。 六、相关知识 锐捷网络的交换机有端口安全功能，利用端口安全这个特性，可以实现网络接入安全。交换机的端口 安全机制是工作在交换机二层端口上的一个安全特性，它主要有以下几个功能： • 只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。 • 限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 当一个端口被配置成为一个安全端口（启用了端口安全特性）后，交换机将检查从此端口接收到的帧 8 网络工程系·李红·2010年编制 湖北工业大学 计算机学院 《网络互连技术》实验指导书 的源mac地址，并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值，交换机会 检查安全地址列表，若此帧的源mac地址没有被包含在安全地址表中，那么交换机将自动学习此mac地址， 并将它加入到安全地址表中，标记为安全地址，进行后续转发；若此帧的源mac地址已经存在于安全地址 表中，那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习，也可以手工 配置。 配置安全端口安全存在以下限制。 • 一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。 • 一个安全端口不能是一个聚合端口（Aggregate Port）。 • 一个安全端口不能是SPAN的目的端口。 七、实验步骤 【第一部分】：交换机端口连接最大安全地址数 步骤1．画出实验拓扑结构图。 步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。 步骤3．交换机更改主机名。 主交换机改名为SwitchA,次交换机改名为SwitchB。 步骤4．验证PC0，PC1与PC2三者之间都能ping通，说明交换机连接的网络是ok的。 步骤5．在SwitchA中对F0/1接口开启交换机端口安全，限制可接入的最大MAC数为1，违例处理为 prot