CCNA标准实验26——交换机端口安全.docx

CCNA标准实验24——交换机端口安全实验拓扑图:Switch#conftSwitch(config)#hostnameSW//配置主机名SW(config)#lineconsole0SW(config-line)#loggingsynchronous//防止控制台日志打断配置命令SW(config-line)#exec-timeout00//关闭超时计时器SW(config-line)#exitSW(config)#intfa0/1SW(confg-if)#noshutdown//启用端口安全之前要先关闭该端口SW(config-if)#ess//将fa0/1配置为接入模式SW(config-if)#switchportport-security//启用端口安全SW(config-if)#switchportport-securitymaximum1//该端口允许学习的最大地址数为1SW(config-if)#switchportport-securityviolationprotect//设置违反端口安全的惩罚机制,即丢弃丢弃非法PC发送的帧SW(config-if)#switchportport-securitymac-//合法MAC-addressSW(config-if)#noshutdown配置结果:PC0和PC2不能和另外一个冲突域的PC通信,只能和本冲突域的PC通信。但是PC1跟任何PC都能通信。在上面的实验基础上修改配置:SW(config)#intfa0/1SW(config-if)#shutdown//启用端口安全之前关闭该端口SW(config-if)#noswitchportport-securitymaximum1SW(config-if)#switchportport-securitymaximum2//该端口修改学习获得最大地址数为2SW(config-if)#noshutdown配置结果:除PC1外只有1台电脑可以跟其他冲突与通信,至于另一台电脑是哪个,就要看那个交换机先获得哪个PC的MAC地址。先获得MAC地址就是合法MAC地址。在上面实验基础上进行修改SW(config)#intfa0/1SW(config-if)#shutdownSW(config-if)#SW(config-if)#switchportport-securitymac-//将PC2的mac地址定位合法地址SW(config-if)#noshutdown配置结果交换机的接口fa0/1只允许PC1和PC2访问另一冲突域。PC0发送的真都被丢弃。SW#shrunBuildingconfiguration...Currentconfiguration:1446bytes!-encryption!hostnameSW!!spanning-treemodepvst!0/essswitchportport-securityswitchportport-securitymaximum2switchportport-securityviolationprotectswitchportport-securitymac-addre