交换机端口隔离及端口安全

《交换机端口隔离及端口安全》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

实验二交换机端口隔离及端口安全背景描述：假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。一、:实验名称:交换机端口隔离二、实验目的:1.熟练掌握网络互联设备-交换机的基本配置方法2.理解和掌握PortVlan的配置方法三、实验设备：每一实验小组提供如下实验设备1、实验台设备：计算机两台PC1和PC2（或者PC4和PC5）2、实验机柜设备：S2126(或者S3550)交换机一台3、实验工具及附件：网线测试仪一台跳线若干四、实验原理及要求：1、Vlan(viruallaocalareanetwork,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN具备一个物理网段所具备的特性。相同的VLAN内的主机可以相互直接访问，不同的VLAN间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN内进行传播，不能传输到其他VLAN中。2、PORTVLAN是实现VLAN的方式之一，PORTVLAN是利用交换机的端口进行VLAN的划分，一个普通端口只能属于一个VLAN。五、实验注意事项及要求：1、实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。2、以电子文档形式提交实验报告。3、本次实验结果保留：是√否4、将交换机的配置文档、验证计算机的TCP/IP配置信息保存。5、将交换机的配置信息以图片的形式保存到实验报告中。6、六、实验用拓扑图NIC2NIC2)F0/2F0/1S2126（S3550）Vlan10Vlan20注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口七、实验具体步骤及实验结果记录：1、实现两台主机的互联，确保在未划分VLAN前两台PC是可以通讯的（即F0/1和F0/2间是可以通讯的）。实验结果记录：要求将PC1和pc2的IP设置和连通性测试的结果记录下来。2、创建VLAN1）、启用“本地连接”网卡，正确设置IP地址及默认网关，打开设备配置界面，完成以下命令行操作：5 ØS2126G-7-1〉enable14　　　　！进入特权模式ØS2126G-7-1#configureterminal!进入全局配置模式ØS2126G-7-1(config)#vlan10!创建vlan10ØS2126G-7-1(config-vlan)#nametest10! 将vlan10命名为test10ØS2126G-7-1(config-vlan)#exit!退回到上一级操作模式ØS2126G-7-1(config)#vlan20!创建vlan20ØS2126G-7-1(config-vlan)#nametest20! 将vlan20命名为test20ØS2126G-7-1(config-vlan)#end!直接退回到特权模式ØS2126G-7-1#2）、验证测试：ØS2126G-7-1#showvlan!查看已配置的VLAN信息注意：默认情况下，所有的接口都属于VLAN1实验结果记录：1、将接口F0/1和F0/2分别分配到VLAN10和VLAN20，并记录实验结果§S2126G-7-1〉enable14！进入特权模式§S2126G-7-1#configureterminal!进入全局配置模式§S2126G-7-1（config）#interfacefastethernet0/1!进入F0/1配置模式§S2126G-7-1（config-if）#switchportaccessvlan10!将接口划入vlan10§S2126G-7-1（config-if）#exit!退回全局配置模式§S2126G-7-1（config）#interfacefastethernet0/2!进入F0/2配置模式§S2126G-7-1（config-if）#switchportaccessvlan20!将接口划入vlan10§S2126G-7-1（config-if）#exit!退回全局配置模式§Ø验证配置并记录实验结果：ØS2126G-7-1#showvlan!查看已配置的VLAN信息实验结果记录：2、测试验证，原来可以通讯的两台主机，现在PING不通，并记录实验结果。实验结果记录：3、看交换机端口fastEthernet0/1的配置信息：Øs2126-7-1#showinterfacesfastEthernet0/1switchport实验结果记录：7、查看验证交换机正在运行的配置switchA#showrunning-config5 实验结果记录：参考配置：s2126-7-1#showrunning-configSystemsoftwareversion:1.66(3)BuildSep72006RelBuildingconfiguration...Currentconfiguration:378bytes!version1.0!hostnames2126-7-1vlan1!vlan10!vlan20!enablesecretlevel15'T>H.Y*T3UC,tZ[V4^D+S(W54G1X)svenablesecretlevel145'Ttj9=G13U7R:>H.4^u_;C,t54U0H.Y*T!interfacefastEthernet0/1switchportaccessvlan10!interfacefastEthernet0/2switchportaccessvlan20!ends2126-7-1#实验结果记录【注意事项】1、交换机所有端口在默认情况下属于ACCESS端口，可直接将端口加入某一VLAN，利用SWITCHPORTMODEACCESS/TRUNK命令可以更改端口的VLAN模式。2、VLAN1属于系统默认的VLAN，不可以被删除。3、删除某个VLAN，使用NO命令。例如：SWITCH（CONFIG）#NOVLAN104、删除某个VLAN时，应先将属于该VLAN的端口加入到别的VLAN，再删除之。否则被删除的VLAN内的分配端口会自动恢复到系统默认的VLAN1。八．分析与思考：5 （1）观察你所配置的交换机的型号，说出他是几层交换机（2）VLAN的划分方法有那些？基于端口的VLAN的划分的优缺点是什么？（3）同一个交换机端口，能否属于不同的VLAN？九实验中的问题、心得体会及建议[补充实验内容]tt2、交换机端口安全F0/x[基本概念]§利用交换机的端口安全功能实现Ø防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。§交换机端口安全的基本功能Ø限制交换机端口的最大连接数Ø端口的安全地址绑定Ø端口防ARP欺骗§安全违例产生于以下情况：Ø如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数Ø如果该端口收到一个源地址不属于端口上的安全地址的包§当安全违例产生时，你可以选择多种方式来处理违例：ØProtect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包ØRestrict：当违例产生时，将发送一个Trap通知ØShutdown：当违例产生时，将关闭端口并发送一个Trap通知配置项目§端口安全最大连接数配置§端口的安全地址绑定§端口防ARP欺骗5 §处理违例的方式[配置方法]§端口安全最大连接数配置ØS2126G-1-1(config-if)#switchportport-security！打开该接口的端口安全功能ØS2126G-1-1(config-if)#switchportport-securitymaximumvalue！设置接口上安全地址的最大个数，范围是1－128，缺省值为128§手工配置接口上的安全地址绑定ØS2126G-1-1(config-if)#switchportport-securitymac-addressmac-addressip-addressip-address§设置处理违例的方式ØS2126G-1-1(config-if)#switchportport-securityviolation{protect|restrict|shutdown}注意：i.端口安全功能只能在access端口上进行配置。ii.当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。iii.端口的安全地址绑定方式有:单MAC、单IP、MAC+IP[查看配置信息]§查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等ØS2126G-1-1#showport-security§查看安全地址信息ØS2126G-1-1#showport-securityaddress[配置示例]§下面的例子是配置接口fastethernet0/1上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.100.100ØS2126G-1-1#configureterminalØS2126G-1-1(config)#interfacefastethernet0/1ØS2126G-1-1(config-if)#switchportmodeaccessØS2126G-1-1(config-if)#switchportport-securityØS2126G-1-1(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.100.100ØS2126G-1-1(config-if)#end8-1PC4MAC地址正确地址绑定ØS2126G-1-1(config-if)#switchportport-securitymac-address0016.76d6.d832ip-address192.168.100.15