MAC端口安全

Posted 大大大S

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MAC端口安全相关的知识,希望对你有一定的参考价值。

MAC端口安全

  • 实验拓扑图
    在这里插入图片描述

  • 实验要求
    1.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。
    2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?
    3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
    4.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
    5.从PC2 PING PC3,能否ping通?why?(NO)
    6.20秒内分别从PC1 ping PC2 ,PC3 ping PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
    7.20秒内分别从PC1 ping PC2 ,PC3 ping PC2,能否ping通?why?(3 to 2, NO)
    8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)
    9.从PC5 ping PC1 ,PC3 ping PC1,能否ping通?why?(3 to 1, NO)
    10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否ping通。(yes)
    11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 ping PC1,查看效果。
    12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。
    13.从PC5 ping PC1、2、3、4,查看通信情况。

  • 过程
    1.从PC1 ping PC2的ip地址 ,如下图:
    在这里插入图片描述
    使用命令:display mac-address分别查看S1、S2、S3的MAC地址表:
    【首先PC1会发送一个ARP广播包,由于交换机是自动学习MAC地址的过程,及所学到的MAC地址是动态的,所以我们可以看到S1,S3三台交换机上各有PC1MAC地址,S2上还有来自PC2的一个回包所以学习到PC1 PC2两个MAC地址】
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    2.使用命令:mac-address aging-time 20 修改S1、S2的MAC地址老化时间为20秒
    (华为的交换机缺省的动态MAC地址表项老化时间为300s)
    等待20秒之后分别查看S1、S2、S3的MAC地址表:
    【一个动态的MAC地址表项被加载到交换机的MAC地址表后,老化计时器就开始倒计时。当计时器计数到0时,在这里也就是20s后,这个MAC表项将被删除,
    由此可以发现S1 S2再20s之后查看,此时MAC地址表不存在了,而没有修改地址老化时间的S3的MAC地址表还在】
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
    进入LSW1的E0/0/1接口视图 使用命令::

port-security enable              //将接口设置为安全接口
port-security mac-address sticky   //激活接口的Sticky MAC功能

4.从PC1 ping PC2(图省略) ,查看S1、S2、S3的MAC地址表:
【可以看到,交换机S1的MAC地址类型变成了Sticky MAC地址,S2 S3交换机的MAC地址类型还是dynamic动态的】
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
等待20秒之后再次查看3台交换机的MAC地址表,对比:

【可以看出,转换成Sticky MAC地址的交换机S1已经开启安全检测功能,以及将学习到的动态安全MAC地址转换为了Sticky MAC地址,所以即使老化时间到了MAC地址表依然存在,这是因为Port Security 接口开始工作后,所学到的合法的动态MAC地址又叫做动态安全MAC地址,这些MAC地址不会被老化,同时Sticky MAC地址表在交换机save保存配置后即使重启也不会丢失,而配置了老化时间为20s的S2的MAC地址表已经删除,S3在默认老化时间内依旧保留MAC地址表】
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
5.从PC2 ping PC3,能否ping通?why?(no)
【原因:将接口设置为安全接口后如果没有使用命令限制动态安全MAC地址的学习数量的情况下,接口缺省的动态安全MAC地址学习限制数为1,因为S1已经存在PC1的MAC地址表项,如果还有新的PC发送数据帧到S1的话,S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符,达到了MAC地址学习数量的上限,将会被丢弃,故ping不通】
在这里插入图片描述
6.20秒内分别从PC1 ping PC2 ,PC3 ping PC1,
在这里插入图片描述
在这里插入图片描述
display mac-address查看S1、S2、S3的MAC地址表,分别截图记录:
在这里插入图片描述
在这里插入图片描述
等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
【可以看出,S1的E0/0/2接口学习到PC3的MAC动态地址已经老化被删除了,只剩下E0/0/1的Sticky MAC地址;S2学习到的三个动态MAC地址已经老化被删了,所以查看是空的MAC地址表项;而S3在华为设备默认老化时间的300S之内MAC地址表项依旧存在】
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210531110540175.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjY0ODU0MQ==,size_16,color_FFFFFF,t_70

在这里插入图片描述
在这里插入图片描述
7.20秒内分别从PC1 ping PC2 ,PC3 ping PC2,能否ping通?why?(3to2, no)
在这里插入图片描述
【因为S1的E0/0/1接口已经存在来自PC1的MAC地址,又只能存在一条所以如果还有新的PC发送数据帧到S1的话,S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符,达到了MAC地址学习数量的上限,将会被丢弃,故ping不通】
在这里插入图片描述
8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)

[Huawei]int e0/0/2   //进入E0/0/2接口
[Huawei-Ethernet0/0/2]port-security enable   //先启用Sticky
[Huawei-Ethernet0/0/2]port-security mac-address sticky 5489-98EF-4055 vlan 1   //绑定PC5的MAC地址

在这里插入图片描述
9.从PC5 ping PC1 ,PC3 ping PC1,能否ping通?why?(3to1,no)
【这是因为:将接口E0/0/2设置为安全接口后没有使用命令限制动态安全MAC地址的学习数量,接口缺省的动态安全MAC地址学习限制数为1,因为S1的E0/0/2已经手动绑定PC1的sticky MAC地址表项,PC5 pingPC1,PC5发送数据帧到S1,S1的E0/0/2解析数据帧的源MAC地址发现与E0/0/2接口的动态安全MAC地址表项一致,所以PC5 ping PC1可以通;但是,PC3 ping PC1就无法通信了,源MAC地址与E0/0/2的MAC地址表项不符会被丢弃,故ping不通】
在这里插入图片描述

10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否ping通。(YES)

[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security max-mac-num 2 //设置e0/0/2的MAC学习地址的数量为2

再次 PC5 ping PC1 ,PC3 ping PC1 ,都实现通信(S1的E0/0/2增加了MAC地址学习数量,此时S1的MAC地址表E0/0/2接口有两个MAC地址)
在这里插入图片描述
在这里插入图片描述
11.修改S1交换机上E0/0/2端口安全违例保护动作为shutdown,从PC4 ping PC1,查看效果。

[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security protect-action shutdown  //设置当MAC地址数达到限制后若学习新MAC地址立即shutdown接口

在这里插入图片描述
在用户视图下使用命令:display interface brief查看接口简要信息,可以看到接口E0/0/2已结处于down状态,无法与PC1通信
在这里插入图片描述

以上是关于MAC端口安全的主要内容,如果未能解决你的问题,请参考以下文章

CISCO端口安全特性

校园的网络安全

构建安全的园区网络

华为ensp模拟器实验:端口安全绑定MAC地址ip地址

MAC端口安全

MAC端口安全