网络 【学网攻】 第(8)节 -- 端口安全

文章目录

【学网攻】 第(1)节 -- 认识网络【学网攻】 第(2)节 -- 交换机认识及使用【学网攻】 第(3)节 -- 交换机配置聚合端口【学网攻】 第(4)节 -- 交换机划分Vlan【学网攻】 第(5)节 -- Cisco VTP的使用​​​​​​【学网攻】 第(6)节 -- 三层交换机实现VLAN间路由【学网攻】 第(7)节 -- 生成树配置

前言

网络已经成为了我们生活中不可或缺的一部分，它连接了世界各地的人们，让信息和资源得以自由流动。随着互联网的发展，我们可以通过网络学习、工作、娱乐，甚至是社交。因此，学习网络知识和技能已经成为了每个人都需要掌握的重要能力。

本课程博主将带领读者深入了解网络的基本原理、结构和运作方式，帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容，帮助读者掌握网络知识，提高网络素养。

通过学习本书，读者将能够更好地利用网络资源，提高工作效率，拓展人际关系，甚至是保护自己的网络安全。网络世界充满了无限的可能，希望本课程能够帮助读者更好地驾驭网络，享受网络带来的便利和乐趣。

一、端口安全是什么？

端口安全，也被称为Port Security，是一种网络安全技术，主要用于提升网络设备和系统的安全性。它的核心思想是将接口学习到的动态MAC地址转换为安全MAC地址，以此来限制未授权设备的接入。具体来说，有以下几种实现方式：

安全动态MAC地址：默认情况下，接口只能学习到一个动态MAC地址，这个地址可以被转换为一个安全动态MAC地址。安全静态MAC地址：需要手动将每一个动态MAC地址配置成一个安全静态MAC地址，这种方式的安全性较高。Sticky MAC地址：不需要人工收集用户的MAC地址，系统会自动识别合法用户，并将它们的MAC地址绑定为Sticky MAC地址，这样新来的数据包会被直接转发给绑定的MAC地址。

此外，端口安全还可以通过限制接口学习到的MAC地址的数量来防止MAC地址泛洪攻击，以及通过限制MAC地址表的容量来防止MAC地址表被填满。在实际应用中，端口安全可以用于接入层的设备，如交换机，以防止非法用户的接入；也可以用于汇聚层的设备，以控制接口的接入数量。

二、实验

1.引入

实验目的掌握交换机的端口安全功能，控制用户的安全接入。 背景描述你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的 IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP 地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP 地址是172.16.1.55/24，主机MAC 地址是00-06-1B-DE-13-B4。该主机连接在1 台S3560上边。 实验设备 

2560-24PS(1台),Server(1台),PC(3台)

实验拓扑图

PC Serve配置

PC1:

IP 地址: 192.168.1.1

子网掩码: 255.255.255.0

网 关: 192.168.1.254

D N S :8.8.8.8

PC2:

IP 地址: 192.168.2.1

子网掩码: 255.255.255.0

网 关: 192.168.2.254

D N S :8.8.8.8

PC3:

IP 地址: 192.168.3.1

子网掩码: 255.255.255.0

网 关: 192.168.3.254

D N S :8.8.8.8

Server:

IP 地址: 8.8.8.8

子网掩码: 255.255.255.0

网 关: 8.8.8.1

MSW1配置

MSW1:

MSW1>en

MSW1#conf t

MSW1(config)#ip routing //开启路由功能

MSW1(config)#int f0/4 //进入端口

MSW1(config-if)#no sw //开启三层功能

MSW1(config)#int f0/1 //进入端口

MSW1(config-if)#no sw //开启三层功能

MSW1(config-if)#int f0/4

MSW1(config-if)#ip add 192.168.3.254 255.255.255.0

MSW1(config-if)#int f0/1

MSW1(config-if)#ip add 192.168.4.254 255.255.255.0

MSW1(config)#int f0/2

MSW1(config-if)#sw mo acc

MSW1(config-if)#int f0/3

MSW1(config-if)#sw mo acc

MSW1(config)#int f0/2

MSW1(config-if)#switchport port-security //开启端口安全

MSW1(config-if)#switchport port-security maximum 1 //最大链接数为1

MSW1(config-if)#switchport port-security violation sh //违反模式为restrict

MSW1(config-if)#switchport port-security mac-address 0001.C998.A087 //制定MAC

MSW1(config)#int f0/3

MSW1(config-if)#sw po

MSW1(config-if)#sw po max 1

MSW1(config-if)#sw po vi sh

MSW1(config-if)#sw po mac 0060.3E5B.671B

shutdown //如果违反规则端口关闭

protect //当违规时，只丢弃违规的数据流量，而且不会通知有流量违规

restrict //当违规时，只丢弃违规的流量，不违规的正常转发，但它会产生流量违规通知

PC的MAC地址的查询

实验验证

这个时候我们静态Mac已经做好了配置,而f0/2这个端口只能接入MAC地址为0001.C998.A087的设备,而其他的设备都会被down掉无法链接

PC1端口接入PC2实验成功

总结

今天的实验还有一部分没有做是为下一期做铺垫,希望大家认真看一下今天的实验,有问题的可以提出或者评论,看到会第一时间回复

文章链接