配置交换机端口安全实验

实验名称
交换机的端口安全配置

实验目的
掌握交换机的端口安全功能，控制用户的安全接入

实验拓扑

实验原理

• 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。
• 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。
• 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可
  以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。
• 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：
  • protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全
    地址中的任何一个）的包。
  • restrict 当违例产生时，将发送一个Trap通知。
  • shutdown 当违例产生时，将关闭端口并发送一个Trap通知。
  • 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来
    将接口从错误状态中恢复过来

实验步骤

首先给三台PC机配上IP地址和掩码
这里用192.168.0.0/24的网段

二层交换机Switch0

Switch(config)#int f0/1
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport port-security       //开启端口安全，默认是关闭的
Switch(config-if)#switchport port-security maximum 1      //指定最大连接数为 1，默认 128
Switch(config-if)#switchport port-security violation shutdown       //指定违例后端口关闭

实验验证
PC2 ping PC0或PC1的的其中一台是可以 ping 通的，若PC2 ping 过PC0之后再 ping PC1就会发现集线器连接交换机的端口已经down掉了
或者集线器下任意一台PC机 ping 向交换机之后，另一台PC机再 ping 交换机也是会down掉。如图所示

连接交换机的端口down掉之后PC0和PC1是可以互相 ping 通的，但是两台都不能ping向交换机

注意事项
违例后有三种选项，第一种 restrict 为丢包，不转发该数据包、第二种 protect 为丢包，并返回信息告知、第三种 shutdown 为关闭该端口，可在全局模式下使用 errdisable recovery 命令将其恢复为 UP 状态（模拟器恢复不了）