MAC端口安全
Posted 大大大S
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MAC端口安全相关的知识,希望对你有一定的参考价值。
MAC端口安全
-
实验拓扑图
-
实验要求
1.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录备用。
2.修改S1、S2的MAC地址老化时间为20秒,等待20秒之后查看S1、S2、S3的MAC地址表,分别截图记录,与上面的截图进行对比,有何发现?
3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
4.从PC1 ping PC2 ,查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
5.从PC2 PING PC3,能否ping通?why?(NO)
6.20秒内分别从PC1 ping PC2 ,PC3 ping PC1,然后查看S1、S2、S3的MAC地址表,分别截图记录,等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
7.20秒内分别从PC1 ping PC2 ,PC3 ping PC2,能否ping通?why?(3 to 2, NO)
8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)
9.从PC5 ping PC1 ,PC3 ping PC1,能否ping通?why?(3 to 1, NO)
10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否ping通。(yes)
11.修改S1交换机上E0/0/2端口安全违例保护动作为 shutdown,从PC4 ping PC1,查看效果。
12.将S1交换机的E0/0/2端口启用,并修改安全MAC地址数量为3,修改E0/0/1的安全地址数量为2。
13.从PC5 ping PC1、2、3、4,查看通信情况。 -
过程
1.从PC1 ping PC2的ip地址 ,如下图:
使用命令:display mac-address分别查看S1、S2、S3的MAC地址表:
【首先PC1会发送一个ARP广播包,由于交换机是自动学习MAC地址的过程,及所学到的MAC地址是动态的,所以我们可以看到S1,S3三台交换机上各有PC1MAC地址,S2上还有来自PC2的一个回包所以学习到PC1 PC2两个MAC地址】
2.使用命令:mac-address aging-time 20 修改S1、S2的MAC地址老化时间为20秒
(华为的交换机缺省的动态MAC地址表项老化时间为300s)
等待20秒之后分别查看S1、S2、S3的MAC地址表:
【一个动态的MAC地址表项被加载到交换机的MAC地址表后,老化计时器就开始倒计时。当计时器计数到0时,在这里也就是20s后,这个MAC表项将被删除,
由此可以发现S1 S2再20s之后查看,此时MAC地址表不存在了,而没有修改地址老化时间的S3的MAC地址表还在】
3.将S1交换机的E0/0/1端口开启安全检测功能,并配置Sticky MAC功能。
进入LSW1的E0/0/1接口视图 使用命令::
port-security enable //将接口设置为安全接口
port-security mac-address sticky //激活接口的Sticky MAC功能
4.从PC1 ping PC2(图省略) ,查看S1、S2、S3的MAC地址表:
【可以看到,交换机S1的MAC地址类型变成了Sticky MAC地址,S2 S3交换机的MAC地址类型还是dynamic动态的】
等待20秒之后再次查看3台交换机的MAC地址表,对比:
【可以看出,转换成Sticky MAC地址的交换机S1已经开启安全检测功能,以及将学习到的动态安全MAC地址转换为了Sticky MAC地址,所以即使老化时间到了MAC地址表依然存在,这是因为Port Security 接口开始工作后,所学到的合法的动态MAC地址又叫做动态安全MAC地址,这些MAC地址不会被老化,同时Sticky MAC地址表在交换机save保存配置后即使重启也不会丢失,而配置了老化时间为20s的S2的MAC地址表已经删除,S3在默认老化时间内依旧保留MAC地址表】
5.从PC2 ping PC3,能否ping通?why?(no)
【原因:将接口设置为安全接口后如果没有使用命令限制动态安全MAC地址的学习数量的情况下,接口缺省的动态安全MAC地址学习限制数为1,因为S1已经存在PC1的MAC地址表项,如果还有新的PC发送数据帧到S1的话,S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符,达到了MAC地址学习数量的上限,将会被丢弃,故ping不通】
6.20秒内分别从PC1 ping PC2 ,PC3 ping PC1,
display mac-address查看S1、S2、S3的MAC地址表,分别截图记录:
等待20秒之后再次查看3台交换机的MAC地址表,对比查看有何不同。
【可以看出,S1的E0/0/2接口学习到PC3的MAC动态地址已经老化被删除了,只剩下E0/0/1的Sticky MAC地址;S2学习到的三个动态MAC地址已经老化被删了,所以查看是空的MAC地址表项;而S3在华为设备默认老化时间的300S之内MAC地址表项依旧存在】
7.20秒内分别从PC1 ping PC2 ,PC3 ping PC2,能否ping通?why?(3to2, no)
【因为S1的E0/0/1接口已经存在来自PC1的MAC地址,又只能存在一条所以如果还有新的PC发送数据帧到S1的话,S1解析数据帧的源MAC地址发现与E0/0/1接口的动态安全MAC地址表项不符,达到了MAC地址学习数量的上限,将会被丢弃,故ping不通】
8.将S1交换机的E0/0/2端口开启安全检测功能,配置PC5为Sticky MAC,查看S1的MAC地址表(PC5未发数据依然有表项)
[Huawei]int e0/0/2 //进入E0/0/2接口
[Huawei-Ethernet0/0/2]port-security enable //先启用Sticky
[Huawei-Ethernet0/0/2]port-security mac-address sticky 5489-98EF-4055 vlan 1 //绑定PC5的MAC地址
9.从PC5 ping PC1 ,PC3 ping PC1,能否ping通?why?(3to1,no)
【这是因为:将接口E0/0/2设置为安全接口后没有使用命令限制动态安全MAC地址的学习数量,接口缺省的动态安全MAC地址学习限制数为1,因为S1的E0/0/2已经手动绑定PC1的sticky MAC地址表项,PC5 pingPC1,PC5发送数据帧到S1,S1的E0/0/2解析数据帧的源MAC地址发现与E0/0/2接口的动态安全MAC地址表项一致,所以PC5 ping PC1可以通;但是,PC3 ping PC1就无法通信了,源MAC地址与E0/0/2的MAC地址表项不符会被丢弃,故ping不通】
10.修改S1交换机上E0/0/2端口安全MAC地址数量为2,继续9的操作,查看能否ping通。(YES)
[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security max-mac-num 2 //设置e0/0/2的MAC学习地址的数量为2
再次 PC5 ping PC1 ,PC3 ping PC1 ,都实现通信(S1的E0/0/2增加了MAC地址学习数量,此时S1的MAC地址表E0/0/2接口有两个MAC地址)
11.修改S1交换机上E0/0/2端口安全违例保护动作为shutdown,从PC4 ping PC1,查看效果。
[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port-security protect-action shutdown //设置当MAC地址数达到限制后若学习新MAC地址立即shutdown接口
在用户视图下使用命令:display interface brief查看接口简要信息,可以看到接口E0/0/2已结处于down状态,无法与PC1通信
以上是关于MAC端口安全的主要内容,如果未能解决你的问题,请参考以下文章