【学网攻】第(8)节 -- 端口安全

news2024/9/28 23:27:16

文章目录

【学网攻】第(1)节 -- 认识网络
【学网攻】第(2)节 -- 交换机认识及使用
【学网攻】第(3)节 -- 交换机配置聚合端口
【学网攻】第(4)节 -- 交换机划分Vlan
【学网攻】第(5)节 -- Cisco VTP的使用
【学网攻】第(6)节 -- 三层交换机实现VLAN间路由
【学网攻】第(7)节 -- 生成树配置

前言

网络已经成为了我们生活中不可或缺的一部分，它连接了世界各地的人们，让信息和资源得以自由流动。随着互联网的发展，我们可以通过网络学习、工作、娱乐，甚至是社交。因此，学习网络知识和技能已经成为了每个人都需要掌握的重要能力。

本课程博主将带领读者深入了解网络的基本原理、结构和运作方式，帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容，帮助读者掌握网络知识，提高网络素养。

通过学习本书，读者将能够更好地利用网络资源，提高工作效率，拓展人际关系，甚至是保护自己的网络安全。网络世界充满了无限的可能，希望本课程能够帮助读者更好地驾驭网络，享受网络带来的便利和乐趣。

一、端口安全是什么？

端口安全，也被称为Port Security，是一种网络安全技术，主要用于提升网络设备和系统的安全性。它的核心思想是将接口学习到的动态MAC地址转换为安全MAC地址，以此来限制未授权设备的接入。具体来说，有以下几种实现方式：

安全动态MAC地址：默认情况下，接口只能学习到一个动态MAC地址，这个地址可以被转换为一个安全动态MAC地址。
安全静态MAC地址：需要手动将每一个动态MAC地址配置成一个安全静态MAC地址，这种方式的安全性较高。
Sticky MAC地址：不需要人工收集用户的MAC地址，系统会自动识别合法用户，并将它们的MAC地址绑定为Sticky MAC地址，这样新来的数据包会被直接转发给绑定的MAC地址。

此外，端口安全还可以通过限制接口学习到的MAC地址的数量来防止MAC地址泛洪攻击，以及通过限制MAC地址表的容量来防止MAC地址表被填满。在实际应用中，端口安全可以用于接入层的设备，如交换机，以防止非法用户的接入；也可以用于汇聚层的设备，以控制接口的接入数量。

二、实验

1.引入

实验目的
掌握交换机的端口安全功能，控制用户的安全接入。
背景描述
你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的 IP
地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP 地址，并
且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的
IP 地址是172.16.1.55/24，主机MAC 地址是00-06-1B-DE-13-B4。该主机连接在1 台S3560
上边。
实验设备

2560-24PS(1台),Server(1台),PC(3台)

实验拓扑图

PC Serve配置

PC1:
IP  地址: 192.168.1.1
子网掩码: 255.255.255.0
网    关: 192.168.1.254
D  N  S :8.8.8.8
PC2:
IP  地址: 192.168.2.1
子网掩码: 255.255.255.0
网    关: 192.168.2.254
D  N  S :8.8.8.8
PC3:
IP  地址: 192.168.3.1
子网掩码: 255.255.255.0
网    关: 192.168.3.254   
D  N  S :8.8.8.8
Server:
IP  地址: 8.8.8.8
子网掩码: 255.255.255.0
网    关: 8.8.8.1

MSW1配置

MSW1:
MSW1>en
MSW1#conf t
MSW1(config)#ip routing             //开启路由功能
MSW1(config)#int f0/4        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config)#int f0/1        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config-if)#int f0/4
MSW1(config-if)#ip add 192.168.3.254 255.255.255.0
MSW1(config-if)#int f0/1
MSW1(config-if)#ip add 192.168.4.254 255.255.255.0

MSW1(config)#int f0/2
MSW1(config-if)#sw mo acc
MSW1(config-if)#int f0/3
MSW1(config-if)#sw mo acc

MSW1(config)#int f0/2
MSW1(config-if)#switchport port-security     //开启端口安全
MSW1(config-if)#switchport port-security maximum 1   //最大链接数为1
MSW1(config-if)#switchport port-security violation sh    //违反模式为restrict
MSW1(config-if)#switchport port-security mac-address 0001.C998.A087    //制定MAC
MSW1(config)#int f0/3
MSW1(config-if)#sw po
MSW1(config-if)#sw po max 1
MSW1(config-if)#sw po vi sh
MSW1(config-if)#sw po mac 0060.3E5B.671B
 shutdown      //如果违反规则端口关闭

protect        //当违规时，只丢弃违规的数据流量，而且不会通知有流量违规

restrict        //当违规时，只丢弃违规的流量，不违规的正常转发，但它会产生流量违规通知

PC的MAC地址的查询