【学网攻】 第(8)节 -- 端口安全

文章目录

---

前言

网络已经成为了我们生活中不可或缺的一部分，它连接了世界各地的人们，让信息和资源得以自由流动。随着互联网的发展，我们可以通过网络学习、工作、娱乐，甚至是社交。因此，学习网络知识和技能已经成为了每个人都需要掌握的重要能力。

本课程博主将带领读者深入了解网络的基本原理、结构和运作方式，帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络的安全和隐私保护等内容，帮助读者掌握网络知识，提高网络素养。

通过学习本书，读者将能够更好地利用网络资源，提高工作效率，拓展人际关系，甚至是保护自己的网络安全。网络世界充满了无限的可能，希望本课程能够帮助读者更好地驾驭网络，享受网络带来的便利和乐趣。

---

一、端口安全是什么？

端口安全，也被称为Port Security，是一种网络安全技术，主要用于提升网络设备和系统的安全性。它的核心思想是将接口学习到的动态MAC地址转换为安全MAC地址，以此来限制未授权设备的接入。具体来说，有以下几种实现方式：

• 安全动态MAC地址：默认情况下，接口只能学习到一个动态MAC地址，这个地址可以被转换为一个安全动态MAC地址。
• 安全静态MAC地址：需要手动将每一个动态MAC地址配置成一个安全静态MAC地址，这种方式的安全性较高。
• Sticky MAC地址：不需要人工收集用户的MAC地址，系统会自动识别合法用户，并将它们的MAC地址绑定为Sticky MAC地址，这样新来的数据包会被直接转发给绑定的MAC地址。

此外，端口安全还可以通过限制接口学习到的MAC地址的数量来防止MAC地址泛洪攻击，以及通过限制MAC地址表的容量来防止MAC地址表被填满。在实际应用中，端口安全可以用于接入层的设备，如交换机，以防止非法用户的接入；也可以用于汇聚层的设备，以控制接口的接入数量。

二、实验

1.引入

实验目的
掌握交换机的端口安全功能，控制用户的安全接入。?
背景描述
你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的?IP
地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP?地址，并
且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的
IP?地址是172.16.1.55/24，主机MAC?地址是00-06-1B-DE-13-B4。该主机连接在1?台S3560
上边。?
实验设备?

2560-24PS(1台),Server(1台),PC(3台)

实验拓扑图

PC Serve配置

PC1:
IP  地址: 192.168.1.1
子网掩码: 255.255.255.0
网    关: 192.168.1.254
D  N  S :8.8.8.8
PC2:
IP  地址: 192.168.2.1
子网掩码: 255.255.255.0
网    关: 192.168.2.254
D  N  S :8.8.8.8
PC3:
IP  地址: 192.168.3.1
子网掩码: 255.255.255.0
网    关: 192.168.3.254   
D  N  S :8.8.8.8
Server:
IP  地址: 8.8.8.8
子网掩码: 255.255.255.0
网    关: 8.8.8.1 

MSW1配置

MSW1:
MSW1>en
MSW1#conf t
MSW1(config)#ip routing             //开启路由功能
MSW1(config)#int f0/4        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config)#int f0/1        //进入端口
MSW1(config-if)#no sw         //开启三层功能
MSW1(config-if)#int f0/4
MSW1(config-if)#ip add 192.168.3.254 255.255.255.0
MSW1(config-if)#int f0/1
MSW1(config-if)#ip add 192.168.4.254 255.255.255.0

MSW1(config)#int f0/2
MSW1(config-if)#sw mo acc
MSW1(config-if)#int f0/3
MSW1(config-if)#sw mo acc

MSW1(config)#int f0/2
MSW1(config-if)#switchport port-security     //开启端口安全
MSW1(config-if)#switchport port-security maximum 1   //最大链接数为1
MSW1(config-if)#switchport port-security violation sh    //违反模式为restrict
MSW1(config-if)#switchport port-security mac-address 0001.C998.A087    //制定MAC
MSW1(config)#int f0/3
MSW1(config-if)#sw po
MSW1(config-if)#sw po max 1
MSW1(config-if)#sw po vi sh
MSW1(config-if)#sw po mac 0060.3E5B.671B
 shutdown      //如果违反规则端口关闭

protect        //当违规时，只丢弃违规的数据流量，而且不会通知有流量违规

restrict        //当违规时，只丢弃违规的流量，不违规的正常转发，但它会产生流量违规通知

PC的MAC地址的查询

实验验证

这个时候我们静态Mac已经做好了配置,而f0/2这个端口只能接入MAC地址为0001.C998.A087的设备,而其他的设备都会被down掉无法链接

PC1端口接入PC2

实验成功

---

总结

今天的实验还有一部分没有做是为下一期做铺垫,希望大家认真看一下今天的实验,有问题的可以提出或者评论,看到会第一时间回复