MAC端口安全

Posted 2021-07-25 大大大S

MAC端口安全

• 实验拓扑图
  

• 实验要求
  1.从PC1 ping PC2 ，查看S1、S2、S3的MAC地址表，分别截图记录备用。
  2.修改S1、S2的MAC地址老化时间为20秒，等待20秒之后查看S1、S2、S3的MAC地址表，分别截图记录，与上面的截图进行对比，有何发现？
  3.将S1交换机的E0/0/1端口开启安全检测功能，并配置Sticky MAC功能。
  4.从PC1 ping PC2 ，查看S1、S2、S3的MAC地址表，分别截图记录，等待20秒之后再次查看3台交换机的MAC地址表，对比查看有何不同。
  5.从PC2 PING PC3，能否ping通？why？（NO）
  6.20秒内分别从PC1 ping PC2 ，PC3 ping PC1，然后查看S1、S2、S3的MAC地址表，分别截图记录，等待20秒之后再次查看3台交换机的MAC地址表，对比查看有何不同。
  7.20秒内分别从PC1 ping PC2 ，PC3 ping PC2，能否ping通？why？（3 to 2, NO）
  8.将S1交换机的E0/0/2端口开启安全检测功能，配置PC5为Sticky MAC，查看S1的MAC地址表（PC5未发数据依然有表项）
  9.从PC5 ping PC1 ，PC3 ping PC1，能否ping通？why？(3 to 1, NO)
  10.修改S1交换机上E0/0/2端口安全MAC地址数量为2，继续9的操作，查看能否ping通。（yes）
  11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown，从PC4 ping PC1，查看效果。
  12.将S1交换机的E0/0/2端口启用，并修改安全MAC地址数量为3，修改E0/0/1的安全地址数量为2。
  13.从PC5 ping PC1、2、3、4，查看通信情况。

• 过程
  1.从PC1 ping PC2的ip地址 ，如下图：
  
  使用命令：display mac-address分别查看S1、S2、S3的MAC地址表:
  【首先PC1会发送一个ARP广播包，由于交换机是自动学习MAC地址的过程，及所学到的MAC地址是动态的，所以我们可以看到S1，S3三台交换机上各有PC1MAC地址，S2上还有来自PC2的一个回包所以学习到PC1 PC2两个MAC地址】
  
  
  
  2.使用命令：mac-address aging-time 20 修改S1、S2的MAC地址老化时间为20秒
  （华为的交换机缺省的动态MAC地址表项老化时间为300s）
  等待20秒之后分别查看S1、S2、S3的MAC地址表：
  【一个动态的MAC地址表项被加载到交换机的MAC地址表后，老化计时器就开始倒计时。当计时器计数到0时，在这里也就是20s后，这个MAC表项将被删除，
  由此可以发现S1 S2再20s之后查看，此时MAC地址表不存在了，而没有修改地址老化时间的S3的MAC地址表还在】
  
  
  
  3.将S1交换机的E0/0/1端口开启安全检测功能，并配置Sticky MAC功能。
  进入LSW1的E0/0/1接口视图 使用命令：：

port-security enable              //将接口设置为安全接口
port-security mac-address sticky   //激活接口的Sticky MAC功能

4.从PC1 ping PC2(图省略) ，查看S1、S2、S3的MAC地址表：
【可以看到，交换机S1的MAC地址类型变成了Sticky MAC地址，S2 S3交换机的MAC地址类型还是dynamic动态的】



等待20秒之后再次查看3台交换机的MAC地址表，对比：

【可以看出，转换成Sticky MAC地址的交换机S1已经开启安全检测功能，以及将学习到的动态安全MAC地址转换为了Sticky MAC地址，所以即使老化时间到了MAC地址表依然存在，这是因为Port Security 接口开始工作后，所学到的合法的动态MAC地址又叫做动态安全MAC地址，这些MAC地址不会被老化，同时Sticky MAC地址表在交换机save保存配置后即使重启也不会丢失，而配置了老化时间为20s的S2的MAC地址表已经删除，S3在默认老化时间内依旧保留MAC地址表】



5.从PC2 ping PC3，能否ping通？why？（no）
【原因：将接口设置为安全接口后如果没有使用命令限制动态安全MAC地址的学习数量的情况下，接口缺省的动态安全MAC地址学习限制数为1，因为S1已经存在PC1的MAC地址表项，如果还有新的PC发送数据帧到S1的话，S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符，达到了MAC地址学习数量的上限，将会被丢弃，故ping不通】

6.20秒内分别从PC1 ping PC2 ，PC3 ping PC1，


display mac-address查看S1、S2、S3的MAC地址表，分别截图记录：


等待20秒之后再次查看3台交换机的MAC地址表，对比查看有何不同。
【可以看出，S1的E0/0/2接口学习到PC3的MAC动态地址已经老化被删除了，只剩下E0/0/1的Sticky MAC地址；S2学习到的三个动态MAC地址已经老化被删了，所以查看是空的MAC地址表项；而S3在华为设备默认老化时间的300S之内MAC地址表项依旧存在】

7.20秒内分别从PC1 ping PC2 ，PC3 ping PC2，能否ping通？why？（3to2, no）

【因为S1的E0/0/1接口已经存在来自PC1的MAC地址，又只能存在一条所以如果还有新的PC发送数据帧到S1的话，S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符，达到了MAC地址学习数量的上限，将会被丢弃，故ping不通】

8.将S1交换机的E0/0/2端口开启安全检测功能，配置PC5为Sticky MAC，查看S1的MAC地址表（PC5未发数据依然有表项）

[Huawei]int e0/0/2   //进入E0/0/2接口
[Huawei-Ethernet0/0/2]port-security enable   //先启用Sticky
[Huawei-Ethernet0/0/2]port-security mac-address sticky 5489-98EF-4055 vlan 1   //绑定PC5的MAC地址

9.从PC5 ping PC1 ，PC3 ping PC1，能否ping通？why？(3to1,no)
【这是因为：将接口E0/0/2设置为安全接口后没有使用命令限制动态安全MAC地址的学习数量，接口缺省的动态安全MAC地址学习限制数为1，因为S1的E0/0/2已经手动绑定PC1的sticky MAC地址表项，PC5 pingPC1，PC5发送数据帧到S1，S1的E0/0/2解析数据帧的源MAC地址发现与E0/0/2接口的动态安全MAC地址表项一致，所以PC5 ping PC1可以通；但是，PC3 ping PC1就无法通信了，源MAC地址与E0/0/2的MAC地址表项不符会被丢弃，故ping不通】

10.修改S1交换机上E0/0/2端口安全MAC地址数量为2，继续9的操作，查看能否ping通。（YES）

[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security max-mac-num 2 //设置e0/0/2的MAC学习地址的数量为2

再次 PC5 ping PC1 ，PC3 ping PC1 ，都实现通信（S1的E0/0/2增加了MAC地址学习数量，此时S1的MAC地址表E0/0/2接口有两个MAC地址）


11.修改S1交换机上E0/0/2端口安全违例保护动作为shutdown，从PC4 ping PC1，查看效果。

[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security protect-action shutdown  //设置当MAC地址数达到限制后若学习新MAC地址立即shutdown接口

在用户视图下使用命令：display interface brief查看接口简要信息，可以看到接口E0/0/2已结处于down状态，无法与PC1通信