【教学视频】-端口安全 9.Port-Secuity.exe(下载附件 46.53 MB)
1. 端口安全的概念
nARP病毒产生的ARP攻击:
üARP欺骗攻击:即病毒机假冒网关或关键主机的MAC地址,对网络中其他
的主机进行MAC地址欺骗。
üARP泛洪攻击:即病毒机产生大量含有虚假MAC地址的ARP广播请求,不但
对交换机的MAC地址表容量产生填充,同时浪费大量的网络带宽,造成网
络性能下降。
n端口安全主要完成以下功能:
ü限制接入交换机某个端口的MAC地址最大数量;
ü可以限制接入交换机某个端口的MAC地址;
ü对于接入交换机某个端口所发生的违规情况进行处理。
2. 端口安全的配置和验证
SwitchA(config)#interface fastEthernet 0/24
SwitchA(config-if)#switchport mode access
// 若要启用端口安全,端口不能是Trunk模式,只能是Access模式
SwitchA(config-if)#switchport port-security maximum 3
//设定端口最多可接入的MAC地址数量,最多可接入3个MAC地址
SwitchA(config-if)#switchport port-security mac-address
0060.5C85.01E9
//设定端口可接入的MAC地址可是MAC地址为0060.5C85.01E9的计算机
SwitchA(config-if)#switchport port-security mac-address
00D0.9730.9C29
//设定端口可接入的MAC地址可是MAC地址为00D0.9730.9C29的计算机
SwitchA(config-if)#switchport port-security mac-address
0030.F2D3.1DED
//设定端口可接入的MAC地址可是MAC地址为0030.F2D3.1DED的计算机
SwitchA(config-if)#switchport port-security violation shutdown
//设定端口安全违规行为的处理方式,对于违反端口安全规定的
violation(违规)情况,采用shutdown参数,关闭F0/24端口。
violation之后可有三种参数供选择:
protect:端口仅仅关闭动态MAC地址学习功能
restrict:端口继续工作,只是把来自未授权主机的数据帧丢弃
shutdown:关闭端口,只有管理员使用no shutdown进行恢复
SwitchA(config-if)#switchport port-security
//启动端口安全功能
SwitchA(config-if)#exit
【实验】配置交换机端口安全特性
SW1(config)#intf0/1
SW1(config-if)#switchport mode access
//交换机在配置接口安全之前必须先声明其端口模式
SW1(config-if)#switchport port-security
//开启交换机的端口安全功能
SW1(config-if)#switchport port-security mac-address 0004.9AA8.2A01
//此处的MAC地址是F0/1接口所连接主机的MAC地址,可根据自己主机实际
MAC地址进行配置,也可以使用如下命令:
SW1(config-if)#switchport port-securitymac-address sticky
SW1(config-if)#switchport port-security maximum 1
//配置交换机F0/1接口允许最多的MAC地址数量,此处为只允许1个MAC地址
SW1(config-if)#switch portport-security violation protect
//配置交换机F0/1接口出现违反端口安全性设置的情况下采取措施为protect
SW1#show port-securityint f0/1
SW1#show port-security address
//显示交换机端口安全性配置
补充实验 交换机端口安全配置实验1.doc(下载附件 130.5 KB)
补充实验 交换机端口安全配置实验2.doc(下载附件 112.5 KB)
交换式以太网MAC地址学习功能的安全性研究_李明革.pdf(下载附件 538.12 KB)
1-(2018更新)从零开始学CCNA视频配套实验手册-配置交换机端口安全.pdf(下载附件 199.71 KB)
交换机端口安全(谌玺).pdf(下载附件 300.23 KB)
