前言
网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。
本课程博主将带领读者深入了解网络的基本原理、结构和运作方式,帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容,帮助读者掌握网络知识,提高网络素养。
通过学习本书,读者将能够更好地利用网络资源,提高工作效率,拓展人际关系,甚至是保护自己的网络安全。网络世界充满了无限的可能,希望本课程能够帮助读者更好地驾驭网络,享受网络带来的便利和乐趣。
一、端口安全是什么?
端口安全,也被称为Port Security,是一种网络安全技术,主要用于提升网络设备和系统的安全性。它的核心思想是将接口学习到的动态MAC地址转换为安全MAC地址,以此来限制未授权设备的接入。具体来说,有以下几种实现方式:
- 安全动态MAC地址:默认情况下,接口只能学习到一个动态MAC地址,这个地址可以被转换为一个安全动态MAC地址。
- 安全静态MAC地址:需要手动将每一个动态MAC地址配置成一个安全静态MAC地址,这种方式的安全性较高。
- Sticky MAC地址:不需要人工收集用户的MAC地址,系统会自动识别合法用户,并将它们的MAC地址绑定为Sticky MAC地址,这样新来的数据包会被直接转发给绑定的MAC地址。
此外,端口安全还可以通过限制接口学习到的MAC地址的数量来防止MAC地址泛洪攻击,以及通过限制MAC地址表的容量来防止MAC地址表被填满。在实际应用中,端口安全可以用于接入层的设备,如交换机,以防止非法用户的接入;也可以用于汇聚层的设备,以控制接口的接入数量。
二、实验
1.引入
实验目的
掌握交换机的端口安全功能,控制用户的安全接入。
背景描述
你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的 IP
地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP 地址,并
且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的
IP 地址是172.16.1.55/24,主机MAC 地址是00-06-1B-DE-13-B4。该主机连接在1 台S3560
上边。
实验设备
2560-24PS(1台),Server(1台),PC(3台)
实验拓扑图
PC Serve配置
PC1: IP 地址: 192.168.1.1 子网掩码: 255.255.255.0 网 关: 192.168.1.254 D N S :8.8.8.8 PC2: IP 地址: 192.168.2.1 子网掩码: 255.255.255.0 网 关: 192.168.2.254 D N S :8.8.8.8 PC3: IP 地址: 192.168.3.1 子网掩码: 255.255.255.0 网 关: 192.168.3.254 D N S :8.8.8.8 Server: IP 地址: 8.8.8.8 子网掩码: 255.255.255.0 网 关: 8.8.8.1
MSW1配置
MSW1: MSW1>en MSW1#conf t MSW1(config)#ip routing //开启路由功能 MSW1(config)#int f0/4 //进入端口 MSW1(config-if)#no sw //开启三层功能 MSW1(config)#int f0/1 //进入端口 MSW1(config-if)#no sw //开启三层功能 MSW1(config-if)#int f0/4 MSW1(config-if)#ip add 192.168.3.254 255.255.255.0 MSW1(config-if)#int f0/1 MSW1(config-if)#ip add 192.168.4.254 255.255.255.0 MSW1(config)#int f0/2 MSW1(config-if)#sw mo acc MSW1(config-if)#int f0/3 MSW1(config-if)#sw mo acc MSW1(config)#int f0/2 MSW1(config-if)#switchport port-security //开启端口安全 MSW1(config-if)#switchport port-security maximum 1 //最大链接数为1 MSW1(config-if)#switchport port-security violation sh //违反模式为restrict MSW1(config-if)#switchport port-security mac-address 0001.C998.A087 //制定MAC MSW1(config)#int f0/3 MSW1(config-if)#sw po MSW1(config-if)#sw po max 1 MSW1(config-if)#sw po vi sh MSW1(config-if)#sw po mac 0060.3E5B.671B shutdown //如果违反规则端口关闭 protect //当违规时,只丢弃违规的数据流量,而且不会通知有流量违规 restrict //当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知
PC的MAC地址的查询
实验验证
这个时候我们静态Mac已经做好了配置,而f0/2这个端口只能接入MAC地址为0001.C998.A087的设备,而其他的设备都会被down掉无法链接
| PC1端口接入PC2 | 实验成功 |
总结
今天的实验还有一部分没有做是为下一期做铺垫,希望大家认真看一下今天的实验,有问题的可以提出或者评论,看到会第一时间回复
