单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络设备配置与管理,项目,9,配置交换机端口安全,【,职业能力目标,】,掌握交换机端口安全作用。,掌握交换机端口的,IP,地址绑定方法。,掌握交换机端口的,MAC,地址绑定方法。,任务,1,配置交换机的端口安全（,1,）,任务情境,你是某公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的网络攻击和破坏行为，为每个员工分配了固定的,IP,地址，并且限制只允许公司内部员工主机可以使用网络，不得随意连接其他主机。,任务分析,对于这一工作任务，公司网络接入交换机的所有端口配置最大连接数为“,1”,，并对公司内部每台主机连接的交换机端口进行,MAC,地址绑定。模拟网络拓扑图如图所示。,任务,1,配置交换机的端口安全（,1,）,任务实施,1,PC,机配置,主机,PC0,的,IP,地址配置为,，子网掩码为,，网关为,；主机,PC1,的,IP,地址配置为,，子网掩码为,，网关为,；主机,PC2,的,IP,地址配置为,，子网掩码为,，网关为,。,任务,1,配置交换机的端口安全（,1,）,任务实施,2,交换机配置,第一步：进入全局配置模式,Switchenable,Switch#configure terminal,Switch(,config,)#,第二步：配置交换机端口的最大连接数限制,Switch(,config)#interface,range,fastEthernet,0/1-23,Switch(,config-if-range)#switchport,port-security,Switch(,config-if-range)#switchport,port-security maximum 1,Switch(,config-if-range)#switchport,port-security violation shutdown,Switch(,config-if-range)#end,任务,1,配置交换机的端口安全（,1,）,任务实施,2,交换机配置,第三步：配置交换机端口地址的绑定,第四步：验证交换机端口安全功能效果,在,PC0,连接交换机,FA 0/1,口、,PC1,连接交换机,FA 0/2,口、,PC2,连接交换机,FA 0/10,口情况下，,PC0,、,PC1,、,PC2,都能够,PING,通，测试结果如图所示。,任务,1,配置交换机的端口安全（,1,）,任务实施,2,交换机配置,第三步：配置交换机端口地址的绑定,Switch(,config)#interface,fastEthernet,0/1,Switch(,config-if)#switchport,port-security,Switch(,config-if)#switchport,port-security,mac,Switch(,config-if)#exit,Switch(config,)#,Switch(,config)#interface,fastEthernet,0/2,Switch(,config-if)#switchport,port-security,Switch(,config-if)#switchport,port-security,mac,Switch(,config-if)#exit,Switch(config,)#,Switch(,config)#interface,fastEthernet,0/10,Switch(,config-if)#switchport,port-security,Switch(,config-if)#switchport,port-security,mac,Switch(,config-if)#exit,任务,1,配置交换机的端口安全（,1,）,任务实施,3,交换机配置,第四步：验证交换机端口安全功能效果,将,PC0,、,PC1,、,PC2,任何一个连接的交换机接口互换，,PC0,、,PC1,、,PC2,都不能够,PING,通，测试结果如图所示,任务,1,配置交换机的端口安全（,1,）,相关知识,1,端口安全概述,利用交换机端口安全这个特性，可以实现网络接入安全，具体可以通过限制允许访问交换机上某个端口的,MAC,地址以及,IP,来实现严格控制对该端口的输入。,当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。,（,1,）使用接口配置模式下的命令,switchport,port-security,mac,-address,mac,-address,ip,-address,ip,-address,来手工配置端口的所有安全地址。,（,2,）让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。,任务,1,配置交换机的端口安全（,1,）,相关知识,1,端口安全概述,当违例产生时，你可以设置下面几种针对违例的处理模式。,（,1,）,protect,：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包。,（,2,）,restrict,：当违例产生时，将发送一个,Trap,通知。,（,3,）,shutdown,：当违例产生时，将关闭端口并发送一个,Trap,通知。,任务,1,配置交换机的端口安全（,1,）,相关知识,2,端口安全配置,（,1,）默认配置值。交换机端口安全的具体内容有四项，它的默认配置如表所示。,任务,1,配置交换机的端口安全（,1,）,相关知识,2,端口安全配置,（,2,）端口安全限制。交换机配置端口安全时有如下一些限制。,一个安全端口不能是一个,aggregate port,。,一个安全端口只能是一个,access port,。,（,3,）配置方法。从特权模式开始，你可以通过表所示的步骤来配置一个安全端口和违例处理方式。,任务,1,配置交换机的端口安全（,1,）,相关知识,2,端口安全配置,（,4,）,IP,地址及,MAC,地址绑定。从特权模式开始，你可以通过表所示步骤来手工配置一个安全端口上的安全地址。,任务,1,配置交换机的端口安全（,1,）,相关知识,2,端口安全配置,（,5,）安全地址的老化时间。可以为一个端口上所有安全地址配置老化时间。具体步骤如表所示。,任务,1,配置交换机的端口安全（,1,）,相关知识,2,端口安全配置,（,6,）查看交换机端口安全信息。在特权模式开始，可以通过表,9.5,所示命令来查看端口安全信息。,任务,1,配置交换机的端口安全（,1,）,拓展知识,1.,交换机风暴控制,（,1,）概述。当交换机,VLAN,中存在过量的广播、多播或未知的单播包时，就会导致网络变慢和报文传输超时的几率大大增加。这种情况称为,LAN,风暴。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。,（,2,）配置风暴控制。,在接口配置模式下，使用如下命令配置风暴控制。,Switch(,config,-if)#storm-control,broadcast|multicast|unicast,level,percent|pps,packets|rate,-bps,（,3,）查看风暴控制状态，使用如下命令。,Switch#show,storm-controlinterface-id,任务,1,配置交换机的端口安全（,1,）,拓展知识,2.,交换机端口保护（,Protected Port,）,（,1,）概述。有些应用环境下，要求一台设备上的的有些端口之间不能通信。在这种环境下，这些端口之间不论是广播帧、多播帧或单播帧，都只有通过三层设备才能通信。您可以通过将某些端口设置为保护口（,Protected Port,），这样，保护口之间无法通信，保护口和非保护口之间可以正常通信。,（,2,）配置保护口。配置保护口使用如下命令。,Switch(,config,-if)#,switchport,protected,通过,no,switchport,protected,命令将一个端口重新设置为非保护口。,（,3,）显示保护端口使用如下命令。,Switch(,config,-if)#show interface,switchport,任务,1,配置交换机的端口安全（,1,）,任务,2,配置交换机端口安全（,2,）,任务情境,你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的,IP,地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的,IP,地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的,IP,地址是,，主机,MAC,地址是,。,任务分析,交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行,MAC,地址、,IP,地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有,3,种：,（,1,）,protect,当安全地址个数满后，安全端口将丢弃未知地址的包；,（,2,）,restrict,当违例产生时，将发送一个,trap,通知；,（,3,）,shutdown,当违例产生时，将关闭端口并发送一个,trap,通知；当端口因为违例而被关闭后，在全局配置模式下使用命令,errdisable,recovery,来将接口从错误状态中恢复过来。网络拓扑图如图所示。,任务,2,配置交换机端口安全（,2,）,任务实施,第,1,步：配置交换机端口的最大连接数限制,Switch#configure,terminal,Switch(,config,)#interface range,fastethernet,0/1-23,！打开交换机,1-23,端口,Switch(,config,-if-range)#,switchport,mode access,Switch(,config,-if-range)#,switchport,port-security,！开启,1-23,安全端口功能,Switch(,config,-if-range)#,switchport,port-security maximum 1,！开启端口的最大连接数为,1,任务,2,配置交换机端口安全（,2,）,任务实施,第,2,步：配置安全违例的处理方式,Switch(,config,-if-range)#,switchport,port-security violation shutdown,！,shutdown,第,3,步：验证测试：查看交换机的端口安全配置,Switch#show,port-security,任务,2,配置交换机端口安全（,2,）,任务实施,第,4,步：配置交换机端口的地址绑定,在,PC1,主机上打开,CMD,命令提示符窗口，执行,Ipcinfig,/All,命令，查看测试计算机,PC1,的,IP,和,MAC,地址信息,:MAC,地址,Switch#configure,terminal,Switch(,config,)#interface,fastethernet,0/3,Switch(,config,-if)#,switchport,port-security,Switch(,config,-if)#,switchport,port-security,mac,-address 0090.210E.55A0,Ip,-address 172.16.1.23,！配置地址绑定,第,5,步：查看地址绑定配置,Switch#sho