计算机网络配置——交换机的安全配置_交换机安全配置

一、实验目的

1. 了解交换机的工作原理
2. 掌握交换机的端口安全配置

二、实验任务

实验要求如下：

1. 设置好交换机 S1的管理地址，设置交换机S1的 Fa0/1～ Fa0/12 端口为动态安全NAC地址,设置MAC条目的最大数量为10，设置安全违规模式为关闭；
2. 将PC1接到Fa0/1；
3. 设置 Fa0/24端口,使其采用静态安全MAC地址,设置 MAC条目的最大数量为1，设置安全违规模式为限制，并将 PC3的MAC地址绑定到Fa0/24；
4. 其他未使用端口禁用。
5. 尝试将 PC1 接到 Fa0/24端口，将PC3接到Fa0/1端口，查看交换机会出现什么提示和情况,并解释为什么出现这样的情况。
6. 然后将PC1和PC3都接到Fa0/2和Fa0/3端口，查看是否出现错误提示；
7. 保存交换机S的运行配置；
8. 然后启用 Fa0/13～Fa0/23端口，并采用粘滞安全MAC地址，设置MAC条目的最大数量为1，设置安全模式为保护；
9. 再将运行配置保存为启动配置；
10. 然后将 PC2接到 Fa0/16；
11. 此时如果将 PC3改接到 Fa0/16端口，将PC3接到Fa0/24 端口，查看会出现什么情况。

三、实验原理介绍

1. 交换机的安全配置模式

• 静态安全MAC地址配置：使用swi port-security mac-addr mac-addr命令手动配置，配置的MAC地址将存储在MAC地址表中。同时也添加到交换机的配置文件中，重启时仍然生效。
• 动态安全MAC地址配置：MAC地址是动态获取的，并且仅存储存在当前MAC地址表中，获取到的安全MAC地址在交换机重新启动的时候将被清除。
• 粘滞安全MAC地址配置：可将配置端口为动态获得安全MAC地址，然后将所获得的MAC地址保存到运行配置，重启后仍然生效。
• 安全模式命令：switch port-security violation { protect | shutdown | restrict }

说明:“Switch port-security violation {protect | shutdown | restrict}”的含义如下。

protect：当新的计算机接入时，如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,且原有的计算机不受影响。

shudown：当新的计算机接入时，如果被接口的 MAC条目超过最大数量，则该接口将会被关闭。这个新的计算机和原有的计算机都无法接入,需要管理员使用no shutdown 命令重新打开。

restrict：当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算机可以接入,交换机将发送警告信息。

四、设计代码（或原理图）、仿真波形及分析

PC1的MAC地址和IP地址：

PC2的MAC地址和IP地址：

PC3的MAC地址和IP地址：

PC1接到F0/1,PC3接到F0/24时的网络拓扑结构：

测试PC1与PC3互ping：

PC1接到F0/24,PC3接到F0/1时的网络拓扑结构：

测试PC1与PC3互ping：

交换机显示的结果：

PC1接到F0/2,PC3接到F0/3时的网络拓扑结构：

测试PC1与PC3互ping：

PC1接到F0/2,PC3接到F0/3，PC2接到F0/16时的网络拓扑结构：

测试PC1与PC3与PC2互ping：

PC1接到F0/2,PC3接到F0/16，PC2接到F0/24时的网络拓扑结构：

测试PC1与PC3与PC2互ping：

交换机总体配置如下：

五、实验结论与心得

补充粘滞安全MAC地址的配置代码：

Switch>en
Switch#conf t
Switch(config)#int rang fa0/13-23
Switch(config-range-if)#no shutdown
 
Switch(config-range-if)#swi mode acc
Switch(config-range-if)#swi port-security
Switch(config-range-if)#swi port-security maximum 1
Switch(config-range-if)#swi port-security mac sticky
Switch(config-range-if)#end
 
Switch#sh port-security