当前位置:   article > 正文

实施端口安全_禁用其余所有未使用端口。 提示:使用 range 关键字将此配置同时应用到所有端口。

禁用其余所有未使用端口。 提示:使用 range 关键字将此配置同时应用到所有端口。

实验大纲

第 1 步:配置端口安全

第 2 步:验证端口安全

目标

第 1 部分:配置端口安全

第 2 部分:验证端口安全

背景信息

在本练习中,您将配置并验证交换机上的端口 安全。端口安全可以对哪些MAC地址可以向这个 端口发送流量施加限制,从而限制这个端口的入站流量。

地址分配表

网络拓扑结构图

第 1 步:配置端口安全

a. 连接S1 的 命令行,并且在FastEthernet端口0/1 和0/2上启用端口安全

  1. S1(config)#interface range f0/1-2
  2. S1(config-if-range)#switchport port-security

b.设置最大值,使得只有一台设备可访问FastEthernet 端口 0/1 和 0/2

S1(config-if-range)#switchport port-security maximum 1

c.保护端口,使系统动态学习设备的 MAC 地址并将该地址添加到运行配置文件中

S1(config-if-range)#switchport port-security mac-address sticky

d.设置违规规则,确保在发生违规时,系统不会禁用FastEthernet端口 0/1 和 0/2 ,但是会生成安全违规通知并丢弃未知来源的数据包

S1(config-if-range)#switchport port-security violation restrict

e.禁用其余所有未使用的端口,使用关键字 range 将上述配置同时应用到所有端口

  1. S1(config-if-range)#interface range f0/3-24,g0/1-2
  2. S1(config-if-range)#shutdown

第 2 步:验证端口安全

a.从PC1向PC2发起ping测试

b.验证端口安全已经启用且 PC1 和 PC2 的 MAC 地址已添加到运行配置文件当中

S1# show run | begin interface

c.使用端口安全的show commands 来查看配置信息

  1. S1# show port-security
  2. S1# show port-security address

d.将非法笔记本电脑连接到任何未使用的交换机端口并注意 链路指示灯为红色

e.启用这个端口,并验证这台非法笔记本电脑可以ping通PC1 和PC2。验证之后,关闭与非法笔记本电脑相连的那个端口

  1. S1(config)#interface f0/3
  2. S1(config-if)#no shutdown

f.断开 PC2 并且把非法笔记本电脑连接F0/2接口,也就是 PC2之前连接的端口,验证这条非法笔记本电脑无法 ping通 PC1

g.在这台非法笔记本电脑连接的端口上查看端口安全违规信息

S1# show port-security interface f0/2

问题:
出现了多少次违规规则?
​
答:5次

h.断开非法笔记本电脑并重新连接PC2,验证PC2 可以 ping通 PC1

问题:
为什么PC2 能够ping通 PC1, 而这台非法笔记本电脑就不能(ping通PC1)呢?
​
答:
因为交换机进行了动态记录mac地址,所以非法笔记本无法ping通。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/400596
推荐阅读
  

闽ICP备14008679号