第5講端口安全配置

回顧1.什么情況下可以應(yīng)用TRUNK技術(shù)？2.動態(tài)協(xié)商desirable可以和哪幾種模式協(xié)商成中繼鏈路？任務(wù)五

端口安全配置教學(xué)目標知識目標：

◎了解端口安全作用；◎掌握端口安全配置命令。能力目標：

◎能配置端口安全；◎能正確端口安全。素質(zhì)目標：◎培養(yǎng)團隊協(xié)作能力、領(lǐng)悟能力、工作協(xié)調(diào)能力。

拓撲結(jié)構(gòu)及說明交換機Ａ通過f0/1端口與交換機Ｂ的f0/1端口相連。任務(wù)要求：◎在交換機Ｂ上的f0/1端口上配置端口安全最大地址數(shù)

為３，并且該接口下只能接交換機Ａ、PC1和PC2，

違例處理方式為shutdown；◎在交換機Ａ上的f0/3上綁定pc1的mac地址，在交換機

Ａ上的f0/2上綁定pc2的mac地址，違例處理方式

為protect。

驗證與測試：◎交換機B上，使用命令showport-securityinterfacef0/1

查看f0/1接口安全配置信息；◎交換機B上，使用命令showport-security

address查

看安全地址數(shù)；pc1,pc2pingpc3是否能通信；◎交換機A上添加一臺PC4，pc4pingpc3是否能通信,再

測試pc1,pc2◎pingpc3是否能通信，并在交換機B上使用命令show

interfacef0/1查看接口狀態(tài)；◎交換機A上的

PC1換成另一臺PC5，pc5pingpc2是否

能通信。相關(guān)知識：◎端口安全作用;◎端口安全配置;重點：◎端口安全配置;難點：◎端口安全配置;相關(guān)知識---

端口安全概述端口安全（PortSecurity）是一種對網(wǎng)絡(luò)接入進行控制的安全機制，是對已有的802.1X（二層協(xié)議）認證和MAC地址認證的擴充。

（1）端口安全作用●防止非授權(quán)設(shè)備訪問連接網(wǎng)絡(luò)；●控制接口合法接入設(shè)備數(shù)量；●對非法的MAC地址和不符合接入數(shù)量的設(shè)備可以自動進行處理。

相關(guān)知識---端口安全SASA設(shè)置端口安全，F(xiàn)0/1接口只允MAC00:00:00:00:00:01的主機接入。MAC:00:00:00:00:00:01F0/1MAC:00:00:00:00:00:02相關(guān)知識---端口安全SASA設(shè)置端口安全，F(xiàn)0/1接口只允2個合法地址接入。F0/1PC1PC2相關(guān)知識---端口安全配置（1）配置步驟

①進入接口模式②設(shè)置接口為ACCESS③開啟端口安全功能④設(shè)置安全地址或最大數(shù)量⑤設(shè)置違例方式相關(guān)知識---端口安全配置（2）配置命令

①開啟端口安全功能

Switchportport-security例如：打開端口安全功能SA(config)#interfacef0/1SA(config-if)#switchportmodeaccessSA(config-if)#Switchportport-security

相關(guān)知識---端口安全配置

②設(shè)置端口授權(quán)訪問的最大MAC地址數(shù)

Switchportport-securitymaximumvaluevalue：表示參數(shù)，如：1—128，1-132

例如：設(shè)置端口授權(quán)訪問的最大MAC地址數(shù)為4。SA(config-if)#Switchportport-securitymaximum4例如：設(shè)置端口授權(quán)訪問的最大MAC地址數(shù)為８。

請大家完成。

相關(guān)知識---端口安全配置③指定授權(quán)訪問的主機MAC地址

Switchportport-securitymac-address

mac-address|sticky

Mac-address:靜態(tài)MAC地址Sticky:配置動態(tài)黏性地址

例如：設(shè)置授權(quán)訪問的主機MAC地址為：00:00:00:00:00:01Switchportport-securitymac-address0000:0000:0001

例如：設(shè)置授權(quán)訪問的主機MAC地址為動態(tài)黏性請大家完成。

相關(guān)知識---端口安全配置④設(shè)置端口安全違例處理方式

Switchportport-securityviolationprotect|restrict|shutdown

Protect:表示保護模式，對違規(guī)數(shù)據(jù)直接丟棄，不發(fā)出

警告。Restrict:表示限制模式，丟棄違規(guī)數(shù)據(jù)，并發(fā)送trap給

管理主機。Shutdown:表示端口禁用模式，使端口關(guān)閉，并發(fā)送trap

給管理主機。

相關(guān)知識---端口安全配置例如：設(shè)置端口安全違例處理方式為shutdownSwitchportport-securityviolationshutdown例如：設(shè)置端口安全違例處理方式為ProtectSwitchportport-securityviolationProtect相關(guān)知識---端口安全配置⑤顯示系統(tǒng)中的所有安全地址

showport-securityaddress

相關(guān)知識---端口安全配置⑥顯示的是安全端口的統(tǒng)計信息

配置實例在交換機SA的F0/1端口上配置端口安全，要求最大安全數(shù)為1，并只允許PC1接入，設(shè)置違例方式為shutdown。SAf0/1MAC:1111.1111.1111PC1SA(config)#interfacef0/1SA(config-if)#switchportmodeaccessSA(config-if)#Switchportport-securitySA(config-if)#Switchportport-securitymaximum1SA(config-if)#Switchportport-securitymac-address1111:1111:1111SA(config-if)#Switchportport-securityviolation

shutdown補充：交換機telnet配置配置步驟：1.設(shè)置管理IP2.設(shè)置特權(quán)密碼3.配置telnet密碼配置命令：1.設(shè)置管理IP

SA(config)#interfacevlan1SA(config-if)#ipaddress192.168.1.1255.255.255.0SA(config-if)#noshutdown2.設(shè)置特權(quán)密碼SA(config)#enablepassword123

3.設(shè)置遠程登錄密碼SA(config)#linevty04