行为一:静态手工mac+Shutdown
实验拓扑:
实验方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交换机的F0/1端口上设置端口安全:
Switch>enable —进入特权模式
Switch#conft—进入全局配置模式
Entconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—将交换机命名为SW-1
SW-1config#interfacf0/1—进入F0/1接口
SW-1config-if#switchportmodeaccess—将端口定义为二层端口
SW-1config-if#switchportport-secur—启用端口安全
SW-1config-if#switchportport-securmaximum1–只允许1台设备
此处,先查看一下PC1mac地址,然后粘贴上来。
SW-1config-if#switchportport-securmac-address00D0.D36E.525A
—输入指定设备的mac地址
SW-1config-if#switchportport-securviolatshutdown—如遇蓄意危害,端口就关闭
下面验证配置:
将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
很显然,交换机与PC3不通。检查一下,交换机的F0/1端口是不是Shutdown状态。
端口已down掉,实验胜利!
mac+Restrict
实验方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交换机的F0/1端口上设置端口安全:
Switch>enable —进入特权模式
Switch#conft—进入全局配置模式
Enterconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—将交换机命名为SW-1
SW-1config#interfacf0/1—进入F0/1接口
SW-1config-if#switchportmodeaccess—将端口定义为二层端口
SW-1config-if#switchportport-secur—启用端口安全
SW-1config-if#switchportport-securmaximum1–只允许1台设备
此处,先查看一下PC1mac地址,然后粘贴上来。
SW-1config-if#switchportport-securmac-address00D0.D36E.525A
—输入指定设备的mac地址
SW-1config-if#switchportport-securviolatrestrict—如遇蓄意危害,端口将不允许所有流量穿越,并弹出警告信息。
下面验证配置:
将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,结果如下:
看上去,PC3与交换机之间的链路仍然是通的用PC3ping一下PC2看看。
无法ping通,说明交换机F0/1端口不接收任何流量。
检查一下端口状态:
端口是开启状态,但不接收流量。
实验胜利!
注:因用的模拟器,故没有弹出告警信息,真机上会有的
实验方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交换机的F0/1端口上设置端口安全:
Switch>enable —进入特权模式
Switch#conft—进入全局配置模式
Enterconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—将交换机命名为SW-1
SW-1config#interfacf0/1—进入F0/1接口
SW-1config-if#switchportmodeaccess—将端口定义为二层端口
SW-1config-if#switchportport-secur—启用端口安全
SW-1config-if#switchportport-securmaximum1–只允许1台设备
Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全数据库中
Switchconfig-if#switchportport-securviolatshutdown–如果违反了端口安全设定,则关闭端口。
下面验证配置:
将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
很显然,交换机与PC3不通。检查一下,交换机的F0/1端口是不是Shutdown状态。
端口已down掉!
再检查一下端口安全数据库:
数据库里边只有PC1mac地址,实验胜利!
Sticky+Restrict
实验拓扑:
实验方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交换机的F0/1端口上设置端口安全:
Switch>enable —进入特权模式
Switch#conft—进入全局配置模式
Entconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—将交换机命名为SW-1
SW-1config#interfacf0/1—进入F0/1接口
SW-1config-if#switchportmodeaccess—将端口定义为二层端口
SW-1config-if#switchportport-secur—启用端口安全
SW-1config-if#switchportport-securmaximum1–只允许1台设备
Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全数据库中
Switchconfig-if#switchportport-securviolatrestrict–如果违反了端口安全设定,拒绝所有流量并弹出警告。
下面验证配置:
将原来的PC1与交换机断开,用一台新的PC3备用)连接到交换机F0/1口,并用PC3ping一下PC2结果如下:
很显然,交换机与PC3不通。检查一下交换机的F0/1端口状态。
端口是开启的但拒绝所有流量。
再检查一下端口安全数据库:
数据库里边只有PC1mac地址,实验胜利!
呵呵!这几个实验说的有点啰嗦,不过也是为了让新手看得清楚!忍着点吧!
上一条:防火墙技术
下一条:识破用WinRAR捆绑的木马
