行為一:靜態手工mac+Shutdown
實驗拓撲:
實驗方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交換機的F0/1端口上設置端口安全:
Switch>enable —進入特權模式
Switch#conft—進入全局配置模式
Entconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—將交換機命名為SW-1
SW-1config#interfacf0/1—進入F0/1接口
SW-1config-if#switchportmodeaccess—將端口定義為二層端口
SW-1config-if#switchportport-secur—啟用端口安全
SW-1config-if#switchportport-securmaximum1–只允許1臺設備
此處,先查看一下PC1mac地址,然后粘貼上來。
SW-1config-if#switchportport-securmac-address00D0.D36E.525A
—輸入指定設備的mac地址
SW-1config-if#switchportport-securviolatshutdown—如遇蓄意危害,端口就關閉
下面驗證配置:
將原來的PC1與交換機斷開,用一臺新的PC3備用)連接到交換機F0/1口,并用PC3ping一下PC2結果如下:
很顯然,交換機與PC3不通。檢查一下,交換機的F0/1端口是不是Shutdown狀態。
端口已down掉,實驗勝利!
mac+Restrict
實驗方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交換機的F0/1端口上設置端口安全:
Switch>enable —進入特權模式
Switch#conft—進入全局配置模式
Enterconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—將交換機命名為SW-1
SW-1config#interfacf0/1—進入F0/1接口
SW-1config-if#switchportmodeaccess—將端口定義為二層端口
SW-1config-if#switchportport-secur—啟用端口安全
SW-1config-if#switchportport-securmaximum1–只允許1臺設備
此處,先查看一下PC1mac地址,然后粘貼上來。
SW-1config-if#switchportport-securmac-address00D0.D36E.525A
—輸入指定設備的mac地址
SW-1config-if#switchportport-securviolatrestrict—如遇蓄意危害,端口將不允許所有流量穿越,并彈出警告信息。
下面驗證配置:
將原來的PC1與交換機斷開,用一臺新的PC3備用)連接到交換機F0/1口,結果如下:
看上去,PC3與交換機之間的鏈路仍然是通的用PC3ping一下PC2看看。
無法ping通,說明交換機F0/1端口不接收任何流量。
檢查一下端口狀態:
端口是開啟狀態,但不接收流量。
實驗勝利!
注:因用的模擬器,故沒有彈出告警信息,真機上會有的
實驗方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交換機的F0/1端口上設置端口安全:
Switch>enable —進入特權模式
Switch#conft—進入全局配置模式
Enterconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—將交換機命名為SW-1
SW-1config#interfacf0/1—進入F0/1接口
SW-1config-if#switchportmodeaccess—將端口定義為二層端口
SW-1config-if#switchportport-secur—啟用端口安全
SW-1config-if#switchportport-securmaximum1–只允許1臺設備
Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全數據庫中
Switchconfig-if#switchportport-securviolatshutdown–如果違反了端口安全設定,則關閉端口。
下面驗證配置:
將原來的PC1與交換機斷開,用一臺新的PC3備用)連接到交換機F0/1口,并用PC3ping一下PC2結果如下:
很顯然,交換機與PC3不通。檢查一下,交換機的F0/1端口是不是Shutdown狀態。
端口已down掉!
再檢查一下端口安全數據庫:
數據庫里邊只有PC1mac地址,實驗勝利!
Sticky+Restrict
實驗拓撲:
實驗方法—>
PC1配置:
PC2配置:
PC3配置:
下面在交換機的F0/1端口上設置端口安全:
Switch>enable —進入特權模式
Switch#conft—進入全局配置模式
Entconfigurcommands,onperline. EndwithCNTL/Z.
Switchconfig#hostnamSW-1—將交換機命名為SW-1
SW-1config#interfacf0/1—進入F0/1接口
SW-1config-if#switchportmodeaccess—將端口定義為二層端口
SW-1config-if#switchportport-secur—啟用端口安全
SW-1config-if#switchportport-securmaximum1–只允許1臺設備
Switchconfig-if#switchportport-securmac-addresssticki –把端口安全的mac地址放入端口安全數據庫中
Switchconfig-if#switchportport-securviolatrestrict–如果違反了端口安全設定,拒絕所有流量并彈出警告。
下面驗證配置:
將原來的PC1與交換機斷開,用一臺新的PC3備用)連接到交換機F0/1口,并用PC3ping一下PC2結果如下:
很顯然,交換機與PC3不通。檢查一下交換機的F0/1端口狀態。
端口是開啟的但拒絕所有流量。
再檢查一下端口安全數據庫:
數據庫里邊只有PC1mac地址,實驗勝利!
呵呵!這幾個實驗說的有點啰嗦,不過也是為了讓新手看得清楚!忍著點吧!
上一條:防火墻技術
下一條:識破用WinRAR捆綁的木馬
