第十五讲:神州交换机端口安全配置
知识点:
- 开启端口安全模式;
- 设置端口最大安全数;
- 端口绑定MAC地址;
- 违规处理;
- 锁定安全端口;
- MAC地址与IP的绑定;
- 端口镜像。
实验拓扑如下图所示
PC机 |
IP地址 |
掩码 |
MAC地址 |
端口 |
PC1 |
192.168.1.10 |
255.255.255.0 |
00-0b-4c-9e-2a-1c |
E1/0/1 |
PC2 |
192.168.1.11 |
255.255.255.0 |
00-0b-2e-5d-62-4e |
E1/0/2 |
PC3 |
192.168.1.12 |
255.255.255.0 |
00-0b-cd-4a-97-08 |
E1/0/3 |
一、静态绑定单个端口与设备MAC地址:
1.绑定MAC地址
S1(config)#interface ethernet1/0/1
S1(config-if-ethernet1/0/1)#switchport port-security //开启端口安全
S1(config-if-ethernet1/0/1)#switchport port-security maximum 10 //设置端口安全最大数为10
S1(config-if-ethernet1/0/1)#switchport port-security mac-address 00-0b-4c-9e-2a-1c
// E1/0/1端口绑定PC1的MAC地址
S1(config-if-ethernet1/1)#switchport port-security violation shutdown //违规关闭
S1(config-if-ethernet1/1)#switchport port-security lock //锁定安全端口
二.验证配置
1.用如下命令验证配置:
Switch#show port-security //查看端口安全
Switch#show port-security mac-address //查看绑定的MAC地址
2.验证PC1只能通过其绑定的E1/1端口与网络进行通信
PC1分别Ping PC2和PC3可以Ping通:
C:\Documents and Settings\Administrator>ping 192.168.1.12
Pinging 192.168.1.12 with 32 bytes of data:
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.1.12:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
把PC1更换到E1/4端口,再次Ping PC2和PC3,已无法Ping通:
C:\Documents and Settings\Administrator>ping 192.168.1.12
Pinging 192.168.1.12 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.12:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
3.验证其他设备在特定端口的绑定情况
把PC2更换到E0/0/1口,分别Ping E1/3口的PC3和E14口的PC1:
C:\Documents and Settings\Administrator>ping 192.168.1.12
Pinging 192.168.1.12 with 32 bytes of data:
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Reply from 192.168.1.12: bytes=32 time<1ms TTL=64
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Documents and Settings\Administrator>ping 192.168.1.10
Pinging 192.168.1.10 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
可见:端口E1/1绑定了PC1,非PC1的MAC地址依然可以与其他MAC地址通信,只是PC1只能通过E1/1端口进行通信。
三、绑定MAC-IP地址:
MAC-IP地址绑定可以将端口绑定为指定的设备和IP地址,更换设备或IP地址均无法通过此端口访问
S1(config)#am enable
S1(config)#interface ethernet1/0/2
S1(config-if-ethernet1/1)#am port
S1(config-if-ethernet1/1)#am mac-ip-pool 00-0b-2e-5d-62-4e 192.168.1.11
// E1/0/2端口绑定PC2的MAC与PC2的IP地址
将端口E1/0/2绑定为PC2,此时PC2可通过该端口访问PC1或PC3。若更改PC2的IP地址,或将其他设备(如PC3)连接E1/0/2端口则无法进行访问。
四、绑定IP地址区间:
将端口绑定一个IP地址区间,则此区间的IP地址设备可通过该端口进行访问,不在此区间的IP地址无法通过该端口访问网络
S1(config)#am enable
S1(config)#interface ethernet 1/0/3
S1(config-if-ethernet1/2)#am port
S1(config-if-ethernet1/2)#am ip-pool 192.168.1.12 2
//将端口E1/0/3绑定192.168.1.12和192.168.1.13两个IP地址
除192.168.1.12和192.168.1.13外的其他IP地址均无法通过此端口通信。
五、端口镜像
第1步:配置源端口
S1(config)#monitor session 1 source interface fastEthernet 1/0/2 both
//监听E1/0/2端口的进出流量
both 管理发送和接收的流量
rx 只管理接收的流量
tx 只管理发送的流量
第2步:配置端口镜像
S1(config)#monitor session 1 destination interface fastEthernet 1/0/1
//把监听端口的流量镜像到端口E1/0/1
第3步:验证配置
S1(config)#show monitor session 1
sess-num: 1
span-type: LOCAL_SPAN
src-intf:
FastEthernet 1/0/2 frame-type Both
dest-intf:
FastEthernet 1/0/1
在PC1上启动抓包软件,使PC2 ping PC3,看是否可以捕捉到数据包。
端口镜像的限制
(1) 目前只支持一个镜像目的端口,镜像源端口则没有使用上的限制,可以是1个也可以是多个,多个源端口可以在相同的VLAN,也可以在不同VLAN。但如果镜像目的端口要能镜像到多个镜像源端口的流量,镜像目的端口必须要同时属于这些镜像源端口的所在的VLAN。
(2) 镜像目的端口不能是端口聚合组成员;
(3) 镜像目的端口的吞吐量如果小于镜像源端口吞吐量的总和,则目的端口无法完全复制源端口的流量;请减少源端口的个数或复制单向的流量,或者选择吞吐量更大的端口作为目的端口。
第十五讲:神州交换机端口安全配置相关推荐
- 思科AP与交换机端口的配置
思科AP与交换机端口的配置. 思科AP可以分IOS AP 和LAP. 1.IOS AP 中如果AP上需要创建多个SSID,连接的交换机端口则需要: switch(config-interfa)# s ...
- 华三交换机配置多个镜像口_H3C交换机端口镜像配置的方法
H3C交换机端口镜像配置的方法 基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的.下面YJBYS小编为大家整理了关于H3C交换机端口镜像配置 ...
- 各型号交换机端口镜像配置方法和命令
各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道.此外,还可以用于进行数据流量监测.可以这样理解:在端口A和端口B之间建立 ...
- 华为交换机审计配置_上网行为管理审计之交换机端口镜像配置(华为)
一.说明 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. ...
- Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制
通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信.其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它. 情境分析 非授权的计算机接入网 ...
- 局域网监控、网络监控软件之交换机端口镜像配置
"Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道.此外,还可以用于进行数据流量监测.可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据 ...
- 思科|锐捷|迈普|华为|华三等常见厂商交换机端口镜像配置命令详细说明
思科|锐捷|迈普|华为|华三等常见厂商交换机端口镜像配置命令详细说明 1.H3C交换机网络设备镜像端口配置 2.思科|锐捷|迈普交换机网络设备镜像端口配置 3.华为交换机网络设备镜像端口配置 1.H3 ...
- H3C交换机和华为交换机端口聚合配置
一.H3C交换机端口聚合配置 建立汇聚组1 [H3C]interface bridge-aggregation 1(建立聚合口1) [H3C-Bridge-Aggregation1]quit(退出聚合 ...
- 华为交换机端口限速配置
华为交换机端口限速配置 拓扑 说明 AR为上联路由器 Switch-1为管理交换机 Switch-2为客户业务交换机 AR路由器与客户业务交换机配置Eth-trunk 1 互联,3口千兆互联,即线路最 ...
最新文章
- Java多种方式读文件,追加文件内容,等对文件的各种操作
- python的turtle绘图体系入门必看(一)
- Linux8-bash shell的基础特性:globbing、IO重定向及管道
- Solr的函数查询(FunctionQuery)
- 女生适不适学习Java编程
- unity 半透明混合问题_Unity 实时 半透明 阴影 shader
- 网站SEO优化中内部链接的优化
- 阿里P8架构师谈:Quartz调度框架详解、运用场景、与集群部署实践
- 作者:杜圣东(1981-),男,西南交通大学信息科学与技术学院讲师,中国计算机学会(CCF)和国际计算机学会(ACM)会员。...
- 在CentOS7下安装MySQL8数据库
- ABP开发框架前后端开发系列---(2)框架的初步介绍
- python re sub用法_python re模块常见使用方法整理
- pt和px区别 pt是逻辑像素,px是物理像素
- 超强学位论文检索工具,你必须拥有!
- 梦三国解析服务器spl文件头失败怎么解决,梦三国手游野区BUFF点解析 野区BUFF怎么的打...
- ADF4350调试笔记
- 【Linux】查看网络接口(ifconfig | nmcli)
- Idea同时打开多个窗口
- 记QQ群里一次sql优化
- SAP S/4HANA生产订单的BAdI增强点之Initialize方法