CCNA入门---交换机端口安全的四种行为
CCNA入门---交换机端口安全的四种行为
标签:交换机 实验 端口 CCNA 行为
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 http://weixianfei.blog.51cto.com/950271/362226
工作中,实际用的最多的还是交换机,有时为了特定的目的(比如禁止公司外部电脑连入网络,或为节约带宽,禁止职员私自加接电脑入网)等等!所以交换机端口安全还是有它一定的用处。对于新手,掌握一下是万万没有坏处的,希望对新手们有帮助。
行为一:静态手工mac+Shutdown
实验拓扑:
实验步骤
--->
PC1
的配置:
PC2
的配置:
PC3
的配置:
下面在交换机的F0/1
端口上设置端口安全:
Switch>enable ---
进入特权模式
Switch#conf t
---
进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW-1
---
将交换机命名为SW-1
SW-1(config)#interface f0/1
---
进入F0/1
接口
SW-1(config-if)#switchport mode access
---
将端口定义为二层端口
SW-1(config-if)#switchport port-security
---
启用端口安全
SW-1(config-if)#switchport port-security maximum 1 --
只允许1
台设备
此处,我们先查看一下PC1
的mac
地址,然后粘贴上来。
SW-1(config-if)#switchport port-security mac-address 00D0.D36E.525A
---
输入指定设备的mac
地址
SW-1(config-if)#switchport port-security violation
shutdown ---
如遇蓄意危害,端口就关闭
下面验证配置:
我们将原来的PC1
与交换机断开,用一台新的PC3
(备用)连接到交换机F0/1
口,并用PC3 ping
一下PC2
,结果如下:
很显然,交换机与PC3
不通。查看一下,交换机的F0/1
端口是不是Shutdown
状态。
端口已down
掉,实验成功!
行为二:静态手工mac+Restrict
实验步骤
--->
PC1
的配置:
PC2
的配置:
PC3
的配置:
下面在交换机的F0/1
端口上设置端口安全:
Switch>enable ---
进入特权模式
Switch#conf t
---
进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW-1
---
将交换机命名为SW-1
SW-1(config)#interface f0/1
---
进入F0/1
接口
SW-1(config-if)#switchport mode access
---
将端口定义为二层端口
SW-1(config-if)#switchport port-security
---
启用端口安全
SW-1(config-if)#switchport port-security maximum 1 --
只允许1
台设备
此处,我们先查看一下PC1
的mac
地址,然后粘贴上来。
SW-1(config-if)#switchport port-security mac-address
00D0.D36E.525A
---
输入指定设备的mac
地址
SW-1(config-if)#switchport port-security violation
restrict ---
如遇蓄意危害,端口将不允许所有流量穿越,并弹出警告信息。
下面验证配置:
我们将原来的PC1
与交换机断开,用一台新的PC3
(备用)连接到交换机F0/1
口,结果如下:
看上去,PC3
与交换机之间的链路仍然是通的。我们用PC3 ping
一下PC2
看看。
无法ping
通,说明交换机F0/1
端口不接收任何流量。
查看一下端口状态:
端口是开启状态,但不接收流量。
实验成功!
注:因用的模拟器,故没有弹出告警信息,真机上会有的。
行为三:静态手工sticky+Shutdown
呵呵!这几个实验说的有点��嗦,不过也是为了让新手看得清楚!忍着点吧!
实验拓扑:
实验步骤
--->
PC1
的配置:
PC2
的配置:
PC3
的配置:
下面在交换机的F0/1
端口上设置端口安全:
Switch>enable ---
进入特权模式
Switch#conf t
---
进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW-1
---
将交换机命名为SW-1
SW-1(config)#interface f0/1
---
进入F0/1
接口
SW-1(config-if)#switchport mode access
---
将端口定义为二层端口
SW-1(config-if)#switchport port-security
---
启用端口安全
SW-1(config-if)#switchport port-security maximum 1 --
只允许1
台设备
Switch(config-if)#switchport port-security mac-address sticky --
把端口安全的mac
地址放入端口安全数据库中
Switch(config-if)#switchport port-security violation shutdown –
如果违反了端口安全设定,则关闭端口。
下面验证配置:
我们将原来的PC1
与交换机断开,用一台新的PC3
(备用)连接到交换机F0/1
口,并用PC3 ping
一下PC2
,结果如下:
很显然,交换机与PC3
不通。查看一下,交换机的F0/1
端口是不是Shutdown
状态。
端口已down
掉!
再查看一下端口安全数据库:
数据库里边只有PC1
的mac
地址,实验成功!
行为四:Sticky+Restrict
实验拓扑:
实验步骤
--->
PC1
的配置:
PC2
的配置:
PC3
的配置:
下面在交换机的F0/1
端口上设置端口安全:
Switch>enable ---
进入特权模式
Switch#conf t
---
进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW-1
---
将交换机命名为SW-1
SW-1(config)#interface f0/1
---
进入F0/1
接口
SW-1(config-if)#switchport mode access
---
将端口定义为二层端口
SW-1(config-if)#switchport port-security
---
启用端口安全
SW-1(config-if)#switchport port-security maximum 1 --
只允许1
台设备
Switch(config-if)#switchport port-security mac-address sticky --
把端口安全的mac
地址放入端口安全数据库中
Switch(config-if)#switchport port-security violation restrict –
如果违反了端口安全设定,拒绝所有流量并弹出警告。
下面验证配置:
我们将原来的PC1
与交换机断开,用一台新的PC3
(备用)连接到交换机F0/1
口,并用PC3 ping
一下PC2
,结果如下:
很显然,交换机与PC3
不通。查看一下交换机的F0/1
端口状态。
端口是开启的,但拒绝所有流量。
再查看一下端口安全数据库:
数据库里边只有PC1
的mac
地址,实验成功!