|
【實(shí)驗(yàn)名稱】 交換機(jī)的端口安全配置 【實(shí)驗(yàn)?zāi)康摹?/strong> 掌握交換機(jī)的端口安全功能,,控制用戶的安全接入 【背景描述】 你是一個(gè)公司的網(wǎng)絡(luò)管理員,,公司要求對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格控制。為了防止公司內(nèi)部用戶的 IP 地址沖突,,防止公司內(nèi)部的網(wǎng)絡(luò)攻擊和破壞行為,。為每一位員工分配了固定的 IP 地址, 并且限制只允許公司員工主機(jī)可以使用網(wǎng)絡(luò),,不得隨意連接其他主機(jī)。例如:某員工分配的 IP地址是172.16.1.55/24,,主機(jī)MAC地址是00-06-1B-DE-13-B4,,該主機(jī)連接在1臺(tái)2126G 上邊。 【需求分析】 針對(duì)交換機(jī)的所有端口,,配置最大連接數(shù)為 1,,針對(duì) PC1 主機(jī)的接口進(jìn)行 IP+MAC 地 址綁定。 【實(shí)驗(yàn)原理】 交換機(jī)端口安全功能,,是指針對(duì)交換機(jī)的端口進(jìn)行安全屬性的配置,,從而控制用戶的安 全接入。交換機(jī)端口安全主要有兩種類項(xiàng):一是限制交換機(jī)端口的最大連接數(shù),,二是針對(duì)交 換機(jī)端口進(jìn)行 MAC 地址,、IP 地址的綁定。 限制交換機(jī)端口的最大連接數(shù)可以控制交換機(jī)端口下連的主機(jī)數(shù),,并防止用戶進(jìn)行惡意 的 ARP 欺騙,。 交換機(jī)端口的地址綁定,可以針對(duì) IP 地址、MAC 地址,、IP+MAC 進(jìn)行靈活的綁定,。 可以實(shí)現(xiàn)對(duì)用戶進(jìn)行嚴(yán)格的控制。保證用戶的安全接入和防止常見(jiàn)的內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊,。如 ARP 欺騙,、IP、MAC 地址欺騙,,IP 地址攻擊等,。 配置了交換機(jī)的端口安全功能后,當(dāng)實(shí)際應(yīng)用超出配置的要求,,將產(chǎn)生一個(gè)安全違例,, 產(chǎn)生安全違例的處理方式有 3 種: protect 當(dāng)安全地址個(gè)數(shù)滿后,安全端口將丟棄未知名地址(不是該端口的安全 地址中的任何一個(gè))的包,。 restrict 當(dāng)違例產(chǎn)生時(shí),,將發(fā)送一個(gè) Trap 通知。 shutdown 當(dāng)違例產(chǎn)生時(shí),,將關(guān)閉端口并發(fā)送一個(gè) Trap 通知,。 當(dāng)端口因?yàn)檫`例而被關(guān)閉后,在全局配置模式下使用命令 errdisable recovery 來(lái)將 接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái),。 【實(shí)驗(yàn)步驟】 第一步:配置交換機(jī)端口的最大連接數(shù)限制 
第二步:驗(yàn)證交換機(jī)端口的最大連接數(shù)限制 
第三步:配置交換機(jī)端口的 MAC 與 與 IP 地址綁定 
第四步:查看地址安全綁定配置 
第五步:配置交換機(jī)端口的 IP 
|
|
|
