交换机端口安全配置实验

计算机网络实验四交换机端口的配置(总16页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--新疆师范大学计算机科学技术学院实验报告实验名称：实验四交换机端口的配置姓名：木拉提。

巴力学号: 25号专业：计算机科学与技术班级：2011-1课程名称：计算机网络（1）课程类型：专业必修课实验时间：2012 年03月24日任课教师：潘伟民评定成绩：年月日实验目的和要求：1.掌握对交换机端口进行配置的命令。

2.掌握配置交换机端口安全性的命令。

3.掌握测试交换机端口安全性的方法。

实验内容与结果：1.掌握以太网交换机单个端口和多个端口的配置命令。

2.掌握交换机MAC地址表的显示和操作命令。

3.掌握交换机的端口安全性配置命令。

4.掌握交换机配置文件保存命令实验结果：1、使用Packet Tracer软件搭建如下图所示的实验拓扑环境。

(提交.pkt 文件)图12、在图形界面下分别为每台PC机配置IP地址为～，子网掩码为，网关地址为，DNS的地址为。

用ping命令测试各主机之间的连通性。

（提交每台PC命令窗口剪切图）PC0 ip设置PC1 ip设置PC2 ip设置PC3 ip设置用ping命令验证各主机的连同性：PC0PC1PC2PC33、将主机2的MAC地址与交换机1的 fa0/4端口绑定，主机3的MAC地址与交换机2的fa0/2端口绑定，并设置为当违反端口安全性时该端口关闭并验证此项设置的安全性。

（提交配置过程命令窗口剪切图）主机2的MAC地址与交换机1的 fa0/4端口绑定验证是否绑定主机3的MAC地址与交换机2的 fa0/2端口绑定验证是否绑定实验问题：1. 请总结端口安全性设置的条件是什么答：暂时找不到答案，请老师讲解3. 将PC3删除后，重新将PC2与端口FastEthernetf0/4连接，但PC2无法与PC0、PC1连通，为什么答：暂时找不到答案，请老师讲解实验心得、总结：本次实验中我们学会了交换器的端口配置。

实验：确保交换机接入安全一、实验目的了解交换机端口安全的基本知识掌握如何配置交换机端口连接的最大安全地址数掌握如何配置交换机端口绑定指定的MAC地址二、实验要求将一台交换机做本地服务器提供DHCP服务在另一台交换机上做端口安全配置，配置802.1x查看有关端口安全地信息三、实验方法及手段1、两人一组分组实验，每组两台交换机。

2、通过实际设备互联，完成Cisco3550、Cisco3560交换机的基本配置操作。

Pc124是自动获取地址，pc3是静态地址。

上方的交换机为DHCP ，下边那个为Switch。

同学们自己更改设备名称。

四、实验内容及步骤Switch(config)#vlan 10Switch(config-if)#int range fa0/1-5Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#int fa0/1 //端口安全Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security mac-address 001b.01cd.143bSwitch(config-if)#switchport port-security mac-address stickySwitch(config-if)#switchport port-security violation shutdownSwitch(config-if)#endSwitch# show port-security //查看端口安全Switch# show port-security addSwitch#conf terSwitch(config)#aaa new-model //配置802.1xSwitch(config)#radius-server host 10.0.0.1 key ciscoSwitch(config)# aaa authentication dot1x default group radiusSwitch(config)#dot1x system-auth-controlSwitch(config)#int fa0/2Switch(config-if)dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-hostSwitch(config-if)endSwitch#show dot1x all //检查Switch(config)#ip dhcp snooping //dhcp监听Switch(config)#ip dhcp snooping vlan 10Switch(config)#int fa0/4Switch(config-if)#ip dhcp snooping trustSwitch(config-if)#ip dhcp snooping limit rate 200Switch(config)#int fa0/1 //源IP地址防护的配置Switch(config-if)#ip verify source port-securitySwitch(config)#ip source binding mac-address vlan 10 192.168.1.10 interface fa0/3 注意mac-address是pc3的mac地址Switch(config-if)# endSwitch# show ip source binding //查看绑定Switch(config)#ip arp inspection vlan 10Switch(config)#int fa0/5Switch(config-if)#ip arp inspection trustSwitch(config-if)#ip arp inspection limit rate 100DHCP(config)#int vlan 10DHCP (config-if)#ip add 192.168.1.251 255.255.255.0 DHCP (config-if)#exitDHCP (config)#ip dhcp eDHCP (config)#ip dhcp excluded-address 192.168.1.10 DHCP (config)#ip dhcp pool vlan10DHCP (dhcp-config)#netDHCP (dhcp-config)#network 192.168.1.0 255.255.255.0 DHCP dhcp-config)#int fa0/1DHCP (config-if)#swDHCP (config-if)#switchport access vlan 10五、课堂作业1.完成pc3和switch的认证，保证能通。

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

计算机网络工程实验
一、交换机端口聚合配置
技术原理
端口聚合（Aggregate-port）又称链路聚合，是指两台交
计 算 机 网 络 工 程
换机之间在物理上将多个端口连接起来，将多条链路聚 合成一条逻辑链路。从而增大链路带宽，解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份，其中任意一条链路断开，不会影响其他 链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准。
计算机网络工程实验
二、交换机端口安全配置
【背景描述】
你是一个公司的网络管理员，公司要求对网络进行严
计 算 机 网 络 工 程 【实验设备】
格控制。为了防止公司内部用户的IP地址冲突，防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址，并且限制只允许公司员工主机可以 使用网络，不得随意连接其他主机。例如：某员工分 配的IP地址是172.16.1.55/24，主机MAC地址是00-061B-DE-13-B4。该主机连接在1台2126G上。
计算机网络工程实验
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配 置 2. 交换机最大连接数限制取值范围是1~128，默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
计 算 机 网 络 工 程
计算机网络工程实验
思考题
1.用Cisco Packet Tracer配置交换机端口聚合
计算机网络工程实验
一、交换机端口聚合配置
【实验拓扑】
计 算 机 网 络 工 程
F0/23 F0/5 F0/24 NIC F0/23 F0/24 F0/5

实训4 交换机的端口安全【实训目的】（1）掌握交换机端口安全功能，控制用户的安全接入（2）掌握交换机的端口配置的连接数（3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：（1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包；（2）restrict当违例产生时，将发送一个trap通知；（3）shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来；【实训背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。

为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0019.2147.10F9。

该主机连接在1台2126G上。

【实训设备】S2126G（1台），PC（2台）、直连线（2条）【实训内容】（1）按照拓扑进行网络连接（2）配置交换机端口最大连接数限制（3）配置交换机端口地址绑定【实训拓扑图】【实训步骤】（1）配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23！打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y！开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1！开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n！配置安全违例的处理方式s h u t d o w n（2）验证测试：查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y（3）配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。

12.3 实验2:交换机端口安全1。

实验目的通过本实验，读者可以掌握如下技能：①理解交换机的CAM表；②理解交换机的端口安全；③配置交换的端口安全特性。

2。

实验拓扑实验拓扑图如图12—3所示。

图12-3 实验2拓扑图3。

实验步骤交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。

在这里限制f0/接口只允许R1接入。

（1）步骤1：检查R1的g0/0接口的MAC地址R1(config)＃int g0/0R1(config-if）＃no shutdownR1(config-if）＃ip address 172.16.0。

101 255。

255。

0.0R1#show int g0/0GigabitEthernet0/0 is up ，line protocol is upHardware is MV96340 Ethernet，address is 0019.5535。

b828（bia 0019。

5535.b828）//这里可以看到g0/0接口的Mac地址，记下它Internet address is 172.16.0。

101/16MTU 1500 bytes，BW 100000 Kbit，DLY 100 usec，（此处省略）(2）步骤2：配置交换端口安全S1（config)#int f0/1S1（config—if）＃shutdownS1（config—if）＃switch mode access//以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义S1(config—if)＃switch port—security//以上命令是打开交换机的端口安全功能S1(confg—if)＃switch port—security maximum 1//以上命令只允许该端口下的MAC条目最大数量为1，即只允许一个设备接入S1（config-if）＃switch port—security violation shutdown“switch port-security violation｛protect｜shutdown|restrict}" //命令含义如下：●protect;当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响;●shutdown；当新的计算机接入时，如果该接口的MAC条目超过最大数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用”no shutdown”命令重新打开；●restrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量，则这个新的计算机可以接入,然而交换机将向发送警告信息.S1(config-if)＃switchport port—security mac—address 0019.5535.b828//允许R1路由器从f0/1接口接入S1（confgi—if)＃no shutdownS1(config)#int vlan1S1（config—if）＃no shutdownS1（config—if）＃ip address 172。

端口安全本次实验的目的主要是对交换机端口安全的配置，实验分为两块内容，1为将交换机的端口配置成最大连接数为1，即maximum为1，2为将交换机的端口和固定的mac地址绑定,见下：首先我们按照拓扑将设备连接起来，PC1之所以没有与hub连接，是因为其为测试的PC，该实验的主要配置为交换机，首先将PC0和PC1分配IP地址：PC0：192.168.1.2PC1:192.168.1.3255.255.255.0255.255.255.0192.168.1.1192.168.1.1交换机的配置为：Switch>enSwitch#conf tSwitch(config)#hostname SWSW(config)#enable password yaoSW(config)#exitSW#vlan databaseSW(vlan)#vlan10VLAN10added:Name:VLAN0010SW(vlan)#exitAPPLYcompleted.Exiting....SW#conf tSW(config)#interface fastEthernet0/1SW(config-if)#switchport access vlan10SW(config-if)#switchport port-securityCommand rejected:FastEthernet0/1is a dynamic port.（这里需要注意，出错的原因是该端口为一个动态的端口，需要将其定义为access模式或trunk模式才行）SW(config-if)#switchport mode access（将端口定义为access模式）SW(config-if)#switchport port-security（开启端口安全）SW(config-if)#switchport port-security maximum1（允许最大的连接为1）SW(config-if)#switchport port-security violation shutdown（如果超过最大连接数为1，则该端口将自动关闭）配置完成后，将PC1与HUB连接，不同设备要用直连线。

172.16.1.55
!配置IP地址与 MAC地址的绑定
○ 验证测试：查看交换机安全绑定配置 ○ switch#show port-security address
步骤2.配置交换机端口的地址绑定
交换机端口安全配置注意事项
交换机端口安 全功能只能在 ACCESS接口 进行配置
交换机最大连 接数限制取值 范围是1~128， 默认是128.
交换机最大连 接数限制默认 的处理方式是 protect。
Protect 当安全地址个数满后，安全端口将丢弃未 知名地址的包
Restrict 当违例产生时，将发送一个Trap通知。
Shutdown 当违例产生时，将关闭端口并发送一 个 Tr a p 通 知 。 ○ 当端口因违例而被关闭后，在全局配置模式下使 用命令errdisable recovery来将接口从错误状 态恢复过来。
【实验设备】
S2126（1台）、直连线（1条）、PC(1 台)
交换机端口安全配置
01
01
01
交换机端口安全功能， 是指针对交换机的端口 进行安全属性的配置， 从而控制用户的安全接 入。交换机端口安全主 要有两种类型：一是限 制交换机端口的最大连 接数，二是针对交换机 端口进行MAC地址、 IP地址的绑定。
限制交换机端口的最大 连接数可以控制交换机 端口下连的主机数，并 防止用户进行恶意ARP 欺骗。
交换机端口的地址绑定， 可以针对IP地址、 MAC地址、IP+MAC 进行灵活的绑定。可以 实现对用户进行严格的 控制。保证用户的安全 接入和防止常见的内网 的网络攻击。
技术原理
交换机端 口安全配 置
配置了交换机的端口安全功能后，当实际应用超出 配置的要求，将产生一个安全违例，产生安全违例 的处理方式有3种：

交换机端口安全性交换机端口安全性【实验名称】交换机端口安全性【实验目的】理解什么是交换机的端口安全性，如何配置端口安全性。

【背景描述】从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。

现在要通过在交换机上做适当配置来实现这一目标。

本实验以一台S2126G交换机为例，交换机名为SwitchA。

一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。

假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。

【实现功能】通过在交换机上设置端口安全性来实现对网络访问的控制。

【实验拓扑】F0/1ConsoleNIC ComPC【实验设备】S2126G（1台）【实验步骤】第一步：在交换机上配置管理接口IP地址SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址SwitchA(config-if))# no shutdown ！开启交换机管理接口验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1Description : Vlan 1OperStatus : upManagementStatus : EnabledPrimary Internet address: 192.168.0.138/24Broadcast address : 255.255.255.255PhysAddress : 00d0.f8ef.9d08SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性Sending 5, 100-byte ICMP Echos to 192.168.0.137,timeout is 2000 milliseconds.Success rate is 100 percent (5/5)Minimum = 1ms Maximum = 3ms, Average = 1ms第二步：打开交换机上fastethernet 0/1接口的端口安全功能SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access 模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能验证测试：验证已开启fastethernet 0/1接口的端口安全功能SwitchA#show port-security interface fastethernet 0/1Interface : Fa0/1Port Security : EnabledPort status : upViolation mode : ProtectMaximum MAC Addresses : 128Total MAC Addresses : 0Configured MAC Addresses : 0Aging time : 0 minsSecure static address aging : Disabled第三步：配置安全端口上的安全地址(可选)SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137! 手工配置接口上的安全地址验证测试：验证已配置了安全地址SwitchA#show port-security addresslan Mac Address IP Address Type Port Remaining Age(mins)---- --------------- --------------- ---------- -------- ------------------- 1 00e0.9823.9526 192.168.0.137 Configured Fa0/1第四步：验证这台PC机可以通过fastethernet 0/1端口访问交换机，而其它计算机不能通过fastethernet 0/1端口访问该交换机C:\>ping 192.168.0.138 ! 验证这台PC机可以通过fastethernet 0/1端口访问交换机现在拔下网线，将另一台计算机连接到交换机的fastethernet 0/1端口上C:\>ping 192.168.0.138 ! 验证这台PC机不能通过fastethernet 0/1端口访问交换机【注意事项】●安全地址设置是可选的；●如果交换机端口所连接的计算机网卡或IP地址发生改变，则必须在交换机上做相应的改变。

图 3 交换机端口绑定指定 mac 地址
五、背景描述 一是未经授权的用户主机随意连接到企业的网络中。 某公司员工从自己家里拿来一台电脑，可以在不经管理员同意的情况下，拔下某台主机的网线，插在
自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就 带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。
三、实验内容 1．在交换机上配置端口安全，以及违例的处理方式。 2．两台交换机以交叉线相连，其中主交换机上连接一台 PC 机，以用来验证链路。次交换机下连接两
台 PC 机。在主交换机上配置最大安全地址数 maximum，验证端口 mac 地址数目超过最大安全地址数时，链 路不通，以指定的违例处理方式处理。
步骤 1．画出实验拓扑结构图。
步骤 2. 按实验拓扑图 1 连接设备。并对三台 PC 机进行 IP 设置。
步骤 3．交换机更改主机名。 主交换机改名为 SwitchA,次交换机改名为 SwitchB。
步骤 4．验证 PC0，PC1 与 PC2 三者之间都能 ping 通，说明交换机连接的网络是 ok 的。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
【思考二】：如果，主交换机 fa0/1 端口的最大的地址连接数改为 1，结果又如何呢？ 【思考三】：如果，主交换机 fa0/1 端口的最大的地址连接数改为 1，并且违例方式为 shutdown，结 果又如何呢？ 请将实验结果写在下方：

03
04
电源适配器： 若干
实验环境搭建
01
将交换机与电脑连接， 确保网线插接牢固。
02
为交换机提供稳定的电 源，并确保电源适配器 工作正常。
03
在电脑上安装交换机管理 软件，如Cisco Packet Tracer或Huawei VRP。
04
设置电脑网络参数，确 保与交换机处于同一网 段。
04 实验步骤与操作
02
交换机基于MAC地址表进行数据帧的转发，通过学习源MAC地
址并维护地址表，实现快速的数据交换。
交换机能够隔离冲突域，减少网络中冲突的发生，提高网络性
03
能。
交换机端口类型
01
02
03
接入端口
用于连接终端设备，如计 算机、打印机等。
汇聚端口
用于连接其他交换机或路 由器，实现多个接入端口 的汇聚。
实验七：交换机端口设置
目录
CONTENTS
• 实验简介 • 交换机基础知识 • 实验设备与环境准备 • 实验步骤与操作 • 实验结果与分析 • 实验总结与建议
01 实验简介
CHAPTER
实验目的
掌握交换机端口的配置方法
1
2
学习如何设置交换机的物理和逻辑端口参数
3
了解端口安全和端口镜像等高级功能的配置
实验背景
随着网络技术的发展，交换机 在局域网中的应用越来越广泛
Байду номын сангаас
正确配置交换机端口对于保障 网络安全和数据传输效率至关 重要
通过本实验，学生将了解交换 机的端口设置及其在网络中的 作用，为今后从事网络相关工 作打下基础。
02 交换机基础知识
CHAPTER

各种交换机端口安全总结(配置实例)最常用的对端口安全的理解就是可根据mac地址来做对网络流量的控制和管理，比如mac地址与具体的端口绑定，限制具体端口通过的mac地址的数量，或者在具体的端口不允许某些mac地址的帧流量通过。

稍微引申下端口安全，就是可以根据802.1x来控制网络的访问流量。

首先谈一下mac地址与端口绑定，以及根据mac地址允许流量的配置。

1.mac地址与端口绑定，当发现主机的mac 地址与交换机上……最常用的对端口安全的理解就是可根据mac地址来做对网络流量的控制和管理，比如mac地址与具体的端口绑定，限制具体端口通过的mac地址的数量，或者在具体的端口不允许某些mac地址的帧流量通过。

稍微引申下端口安全，就是可以根据802.1x来控制网络的访问流量。

首先谈一下mac地址与端口绑定，以及根据mac地址允许流量的配置。

1.mac地址与端口绑定，当发现主机的mac地址与交换机上指定的mac地址不同时，交换机相应的端口将down掉。

当给端口指定mac地址时，端口模式必须为access或者trunk状态。

3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-f5-10-79-c1 /配置mac地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的mac地址数为1。

3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。

2.通过mac地址来限制端口流量，此配置允许一trunk口最多通过100个mac地址，超过100时，但来自新的主机的数据帧将丢失。

实验二 交换机端口隔离及端口安全背景描述：假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。

住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。

一、:实验名称:交换机端口隔离二、实验目的:1. 熟练掌握网络互联设备-交换机的基本配置方法2. 理解和掌握Port Vlan 的配置方法三、实验设备：每一实验小组提供如下实验设备1、 实验台设备：计算机两台PC1和PC2（或者PC4和PC5）2、 实验机柜设备： S2126(或者S3550)交换机一台3、 实验工具及附件：网线测试仪一台 跳线若干四、实验原理及要求：1、Vlan(virual laocal area network,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

其最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具备一个物理网段所具备的特性。

相同的VLAN 内的主机可以相互直接访问，不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN 内进行传播，不能传输到其他VLAN 中。

2、PORT VLAN 是实现VLAN 的方式之一，PORT VLAN 是利用交换机的端口进行VLAN 的划分，一个普通端口只能属于一个VLAN 。

五、实验注意事项及要求：1、 实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。

2、 以电子文档形式提交实验报告。

3、 本次实验结果保留：是 √ 否4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。

5、 将交换机的配置信息以图片的形式保存到实验报告中。

6、 六、实验用拓扑图注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口七、实验具体步骤及实验结果记录：1、 实现两台主机的互联，确保在未划分VLAN 前两台PC 是可以通讯的（即F0/1和F0/2间是可以通讯的）。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。

实验五-交换机端⼝的绑定配置实验五交换机端⼝的配置当⽹络部署完毕后，任何⽤户在⽹络的任何位置只要插上⽹线就能够上⽹。

当机器中毒⽽引发⼤量发送⼴播包时，⽹络管理员应尽快将该机器从⽹络中清除出去。

为了能够快速定位主机并清除，需要将交换机的端⼝与主机的MAC地址绑定，即该主机只能通过特定的端⼝传送数据，如果交换机端⼝上更换了主机，则该主机不能连接到⽹络上，从⽽保证⽹络的安全性。

⼀、实验⽬的1.掌握对交换机端⼝进⾏配置的命令。

2.掌握配置交换机端⼝安全性的命令。

3.掌握测试交换机端⼝安全性的⽅法。

⼆、原理概述交换机端⼝安全性，是指配置交换机某端⼝能够连接的终端数量，当超过该数量时且连接的计算机不是指定的计算机时，该端⼝按照安全性指定违反操作进⾏⼯作。

三、实验内容1.掌握以太⽹交换机单个端⼝和多个端⼝的配置命令。

2.掌握交换机MAC地址表的显⽰和操作命令。

3.掌握交换机的端⼝安全性配置命令。

4.掌握交换机配置⽂件保存命令四、实验环境1.⽤于配置和测试的三台计算机（安装Windows操作系统）；2.交换机⼀台（本实验中采⽤思科的“Catalyst2950”系列的交换机）；3.直连⽹线若⼲根；4.RS-232C串⾏通信线⼀根。

实验拓扑结构如图6-5所⽰。

图6-5实验拓扑五、实验步骤1.将交换机的FastEthernet0/2、FastEthernet0/3和FastEthernet0/4分别连接主机PC0、PC1和PC2。

并且将PC0、PC1和PC2的IP地址分别设置为192.168.0.2，192.168.0.3和192.168.0.4，⼦⽹掩码分别配置为：255.255.255.0，默认⽹关的地址为：192.168.0.1，DNS的地址为192.168.0.254。

2.配置交换机的密码⑴利⽤PC0的超级终端，进⼊交换机，使⽤命令enable，进⼊到交换机的特权模式。

⑵使⽤命令conf t，进⼊交换机的全局配置模式。

交换机端口隔离与防御安全策略实验报告实验名称：交换机端口隔离与防御安全策略实验报告实验目的：本次实验旨在研究和探索交换机端口隔离与防御安全策略，在网络通信中实现端口隔离，防止不受信任的设备或用户访问受限端口，从而提高网络的安全性。

实验环境：1. 交换机：使用Cisco Catalyst系列交换机；2. 设备：使用多个电脑和服务器。

实验步骤和结果：第一步：端口隔离实验1. 在交换机上创建多个虚拟局域网（VLAN）；2. 将不同的端口分配给不同的VLAN；3. 设置VLAN间的访问控制列表（ACL）以控制不同VLAN之间的通信；4. 测试不同VLAN间是否能够相互通信。

实验结果：经过实验，我们成功地实现了端口隔离，并且在不同VLAN之间实现了通信控制。

通过设置VLAN间的ACL，我们可以限制不受信任的设备或用户对受限端口的访问，提高了网络的安全性。

第二步：防御安全策略实验1. 配置端口安全，限制每个端口对MAC地址的绑定数量；2. 配置DHCP Snooping，限制非授权的DHCP服务器；3. 配置IP Source Guard，限制数据包IP源地址的伪造；4. 配置ARP Inspection，防止ARP欺骗攻击。

实验结果：在本次实验中，我们成功地配置了端口安全、DHCP Snooping、IP Source Guard和ARP Inspection，有效地防御了MAC地址伪造、非授权的DHCP服务器和ARP欺骗攻击。

这些安全策略保护了局域网中的合法设备，并提高了网络的安全性。

结论：通过本次实验，我们深入了解了交换机端口隔离与防御安全策略的实施原理和方法。

端口隔离和安全策略的应用可以增强网络的安全性，并阻止不受信任设备的访问和网络攻击的发生。

在今后的网络配置和管理中，我们将继续优化安全策略，提高网络的整体安全性。

致谢：在实验过程中，特别感谢指导老师对我们的悉心指导和支持。

同时也感谢实验室的同学们在实验中对我们的合作和帮助。

实验环境搭建：
1. 准备两台计算机，一台作为服务器，另一台作为客户端。

2. 在服务器上安装操作系统（如Windows Server 2016或Linux）。

3. 在客户端上安装操作系统（如Windows 10或Linux）。

4. 在服务器和客户端之间建立网络连接，可以使用网线或无线网络。

5. 配置IP地址、子网掩码、网关等网络参数，确保两台计算机可以互相访问。

交换机端口安全配置：
1. 登录交换机管理界面，进入端口安全配置页面。

2. 选择需要配置的端口，设置安全模式（如静态安全、动态安全等）。

3. 设置最大连接数，限制同一端口上的设备数量。

4. 启用MAC地址过滤，只允许指定的MAC地址通过该端口。

5. 设置端口速率限制，防止恶意设备占用大量带宽。

6. 启用802.1X认证，要求用户输入用户名和密码才能访问网络。

7. 保存配置并重启交换机，使配置生效。