2.10 交换机端口安全配置1预备知识：网络安全涉及到方方面面，从交换机来说，首选需要保证交换机端口的安全。

在不少公司或网络中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到网络中，类似的情况都会给企业的网络安全带来不利的影响。

交换机的端口安全特性可以让我们配置交换机端口，使得当网络上具有非法MAC地址的设备接入时，交换机会自动关闭或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址连接数。

配置端口安全时一般在接入层交换机上配置，使非法接入的设备挡在网络最低层，不会影响网络带宽。

交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。

一、实训目的1、了解交换机端口安全的作用。

2、能读懂交换机MAC地址表。

3、掌握配置交换机端口安全的方法。

二、应用环境某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况，一些个人电脑中毒后在局域网内发送病毒，影响了公司的正常上网。

交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。

三、实训要求1.设备要求：1)两台2950-24二层交换机、四台PC机。

2)一条交叉双绞线、四条直通双绞线。

2.实训拓扑图3.配置要求：设备IP地址/子网掩码接口连接PC1 192．168．1．1/24 见实训拓扑图PC2 192．168．1．2/24 PC3 192．168．1．3/24 PC4192．168．1．4/242）交换机配置要求：在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。

4. 实训效果：PC1、PC2、PC3之间能互联互通，P1、PC2机PING PC4不通，PC3与PC4互通。

四、实训步骤1、 添加设备并连接部分网络。

2、 进入F0/24启用端口安全配置。

3、 设置端口最大连接MAC 数限制。

4、 设置违例处理方式。

5、 测试效果。

五、详细步骤1、 按要求添加二台2950-24二层交换机和四台PC 机。

2、 按实训配置要求设置四台PC 机的IP 地址信息。

3、 按如下拓扑图连接设备，如下图所示。

4、 进入交换机S1的命令行配置窗口，在特权用户配置模式下使用show mac-address-table命令查看交换机MAC 地址表。

Switch#show mac-address-table //显示交换机MAC 地址表 Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0005.5e50.9967 DYNAMIC Fa0/2 1 00d0.ba3d.d800 DYNAMIC Fa0/1PC2 MAC 地址 PC1 MAC 地址Switch#注：查看PC机的MAC地址可通过点击PC机后选择“配置-FastEthernet-MAC地址”查看，如下图为PC1的MAC地址。

5、使用交叉双绞线连接S1和S2的F0/24接口，如下图所示。

6、在S1上再次查看交换机的MAC地址表，此时F0/24已学习到F0/24上连接的S2交换机的MAC地址。

Switch#show mac-address-table //显示交换机MAC地址表Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0005.5e50.9967 DYNAMIC Fa0/21 00d0.58ec.9a18 DYNAMIC Fa0/241 00d0.ba3d.d800 DYNAMIC Fa0/1Switch#7、使用直通双绞线连接PC3到交换机S2上的F0/1接口。

8、在交换机上S1上再次查看MAC地址表，交换机已学习到PC3的MAC地址。

Switch#show mac-address-table //显示交换机MAC地址表Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0005.5e50.9967 DYNAMIC Fa0/21 00d0.58ec.9a18 DYNAMIC Fa0/241 00d0.ba3d.d800 DYNAMIC Fa0/11 00d0.bccb.1725 DYNAMIC Fa0/24Switch#8、进入交换机S1，更改名称并进入F0/24口，启用该接口的安全配置并最大连接MAC地址数为2，发生违例后丢弃数据包信息。

Switch>en //进入特权用户配置模式Switch#conf t //进入全局配置模式Switch(config)#hostname S1 //更改交换机名称S1(config)#int f0/24 //进入F0/24接口配置模式S1(config-if)#switchport mode access //设置接口模式为accessS1(config-if)#switchport port-security //启用端口安全配置S1(config-if)#switchport port-security maximum 2 //设置端口最大MAC连接数为2交换机S2的MAC地址表PC3 MAC地址S1(config-if)#switchport port-security violation protect //设置端口违例处理方式为protectS1(config-if)#/*违例处理方式有protect、restrict、shutdown三种*/9、再次在交换机S1上查看地址表，发现没有PC4的MAC地址，端口限制已起作用。

S1#show mac-address-table //显示交换机MAC地址表Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0005.5e50.9967 DYNAMIC Fa0/21 00d0.58ec.9a18 STATIC Fa0/241 00d0.ba3d.d800 DYNAMIC Fa0/11 00d0.bccb.1725 STATIC Fa0/24S1#S1#show port-security address //显示端口安全地址Secure Mac Address Table-------------------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age(mins)---- ----------- ---- ----- -------------1 00D0.58EC.9A18 DynamicConfigured FastEthernet0/24 -1 00D0.BCCB.1725 DynamicConfigured FastEthernet0/24 -------------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 1Max Addresses limit in System (excluding one mac per port) : 102412、在交换机S1上使用“show port-security interface f0/24”命令查看F0/24端口安全配置信息。

S1#show port-security interface f0/24 //查看F0/24端口安全配置信息Port Security : EnabledPort Status : Secure-upViolation Mode : ProtectAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 2Total MAC Addresses : 2Configured MAC Addresses : 0Sticky MAC Addresses : 0Last Source Address:Vlan : 00D0.58EC.9A18:1Security Violation Count : 0S1#13、在步骤9中，由于交换机S1里的F0/24接口的MAC地址是动态生成的（哪台PC机的信息先通过F0/24就先绑定哪台PC机的MAC），如果交换机重启了，而交换机S2中又已经连接了PC3、PC4，可能会出现PC4能与PC1、PC2通信而PC3不能通信的情况。

14、为此，我们可以使用静态MAC地址表的方法，限制S1的F0/24接口只能有二个MAC 地址通过，一个为交换机，另一个为PC3,如下所示。

S1#conf t //进入全局配置模式S1(config)#int f0/24 //进入F0/24接口S1(config-if)#shutdown //关闭接口S1(config-if)#no switchport port-security mac-address 0001.9670.b365 //删除“0001.9670.b365”MAC安全地址S1(config-if)#switchport port-security mac-address 00D0.BCCB.1725//配置只有该“00D0.BCCB.1725”MAC地址的设备才能连接，同时该MAC地址的设备在S1交换机上也只能接入到该接口才能连接通信。

S1(config-if)# ^Z //退出到特权用户配置模式S1#write //保存交换机配置15、再次查看MAC地址表，如下所示。