当前位置：首页 > news >正文

5.3.2 实验2：配置交换机端口安全

news 2026/2/8 18:53:13

1、实验目的

通过本实验可以掌握：

交换机管理地址配置及接口配置。
查看交换机的MAC地址表。
配置静态端口安全、动态端口安全和粘滞端口安全的方法。

2、实验拓扑

配置交换机端口安全的实验拓扑如图所示。

配置交换机端口安全的实验拓扑

3、实验步骤

（1）交换机基本配置

S1(config)#interface vlan 1
//配置交换机交换虚拟接口，用于交换机远程管理
S1(config-if)#ip address 172.16.1.100 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip default-gateway 172.16.1.1
//配置交换机默认网关
S1(config)#interface fastEthernet 0/11
S1(config-if)#duplex auto            //配置以太网接口双工模式,默认时双工状态是auto
S1(config-if)#speed auto             //配置以太网接口的速率,默认时速率是自适应即auto
S1(config-if)#mdix auto              //配置auito-MDIX
S1(config-if)#exit
S1(config)#interface range f0/5-9,f0/13-24,g0/1,g0/2
S1(config-if-range)#shutdown
//以上2行批量禁用未使用的端口

【技术要点】

在以太网接口上使用auto-MDIX（自动介质相关接口交叉）功能可以解决直通和交叉乡缆的自适应问题，该功能默认启用，但是接口的速率和双工模式必须是 auto，否则该功能生效

（2）查看交换机的MAC地址表

首先在计算机 PCI、PC2和 Serverl上配置正确的IP地址，并且用 ipconfig /all命令查看各台计算机网卡的MAC地址，记下来，然后在计算机PCl上分别ping PC2和 Serverl，进行连通性测试,接下来查看交换机MAC地址表。

S1#show mac-address-table Mac Address Table
-------------------------------------------Vlan    Mac Address       Type        Ports
----    -----------       --------    -----1    0001.c95d.d021    DYNAMIC     Fa0/11  //计算机Server1网卡的MAC地址1    000c.cfda.ae96    DYNAMIC     Fa0/10  //计算机PC0网卡的MAC地址1    0060.3e28.8723    DYNAMIC     Fa0/12  //计算机PC1网卡的MAC地址
S1#

以上显示了交换机S1上的MAC地址表，其中 vlan字段表示交换机端口所在的VLAN;Mac Address字段表示与端口相连的设备的MAC地址:Type字段表示填充MAC地址记录的类型，DYNAMIC表示MAC记录是交换机动态学习的,STATIC表示MAC记录是静态配置或系统保留的:Ports字段表示设备连接的交换机端口。

1、可以通过下面命令查看交换机动态学习的MAC地址表的超时时间或老化时间，默认为300秒。

S1#show mac address-table aging-time 
Global Aging Time:  300
Vlan    Aging Time
----    ----------
S1#

2、可以通过下面命令修改VLAN 1的 MAC地址表的超时时间为120秒。

S1(config)#mac address-table aging-time 120 vlan 1

3、可以通过下面命令配置静态填充交换机MAC地址表。

S1(config)#mac address-table static 0001.c95d.d021 vlan 1 interface fastEthernet 0/11

（3）配置交换机静态端口安全

在交换机S1上配置端口安全，Fa0/10配置动态端口安全；FaO/11配置静态端口安全；FaO/12配置粘滞端口安全。因为交换机FaO/11端口连接Serverl服务器，服务器不会轻易更换，适合配置静态端口安全。

S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access 
//端口配置为接入模式，配置端口安全的端口不能是动态协商模式
S1(config-if)#switchport port-security     //打开交换机的端口安全功能
S1(config-if)#switchport port-security maximum 1
//配置端口允许接入设备的MAC地址最大数目，默认是1，即只允许一个设备接入
S1(config-if)#switchport port-security mac-address 0001.c95d.d021
//配置端口允许接入计算机的MAC地址
S1(config-if)#switchport port-security violation shutdown 
//配置端口安全违规惩罚模式,这也是默认的惩罚行为
S1(config-if)#exit
S1(config)#errdisable recovery cause psecure-violation 
//允许交换机自动恢复因端口安全而关闭的端口
S1(config)#errdisable recovery interval 30
//配置交换机自动恢复端口的周期,时间间隔单位为秒

此时,从Server1 上 ping交换机的管理地址，可以 ping通。

（4）验证交换机静态端口安全

S1#show mac-address-table Mac Address Table
-------------------------------------------Vlan    Mac Address       Type        Ports
----    -----------       --------    -----1    0001.c95d.d021    STATIC      Fa0/11  //Server1的网卡MAC地址静态加入MAC地址表

在S1端口Fa0/11接入另一台计算机，模拟非法服务器接入，交换机显示的信息如下：

*Apr  3 07:43:43.080: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
S1#
*Apr  3 07:43:43.080: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0200 on port Ethernet0/1.
*Apr  3 07:43:44.084: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down
S1#
*Apr  3 07:43:45.080: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down

以上输出显示了交换机启用端口安全的端口、允许连接最大MAC地址的数量、目前连接MAC地址的数量、惩罚计数和惩罚模式。

S1#show port-security interface fastEthernet 0/11
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

移除非法设备后,重新连接Serverl到该接口,由于已经配置了端口 errdisable自动恢复所以交换机显示自动恢复的消息如下:

【提示】

如果没有配置由于端口安全惩罚而关闭的端口自动恢复，则需要管理员在交换机的Fa0/11端口下执行 shutdown和 no shutdown命令来重新开启该端口,如果还是非法主机尝试连接,则继续惩罚，端口再次变为err-disable状态。

（5）配置交换机动态端口安全

很多公司员工使用笔记本电脑办公，而且位置不固定(如会议室)，因此适合配置动态端口安全，限制每个端口只能连接1台计算机，避免用户私自连接AP或者其他的交换机而带来安全隐患。交换机 Fa0/10端口连接计算机不固定，适合配置动态端口安全，安全惩罚模式为restrict。

S1(config)#interface fastEthernet 0/10
S1(config-if)#switchport mode access 
S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security maximum 1
S1(config-if)#switchport port-security violation restrict 
S1(config-if)#exit

（6）验证动态端口安全

S1#show port-security interface fastEthernet 0/10
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

（7）配置粘滞端口安全

很多公司员工使用台式电脑办公，位置固定，如果配置静态端口安全，需要网管员到员工的计算机上查看MAC地址，工作量巨大。为了减轻工作量，适合配置粘滞端口安全，限制每个端口只能连接Ⅰ台计算机，避免其他用户的计算机使用交换机端口而带来安全隐患。交换机FaO/12端口连接计算机位置固定，适合配置粘滞端口安全，安全惩罚模式为restrict。

S1(config)#interface fastEthernet 0/12
S1(config-if)#switchport mode access 
S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security maximum 1
S1(config-if)#switchport port-security violation restrict 
S1(config-if)#switchport port-security mac-address sticky
//配置交换机端口自动粘滞访问该端口计算机的 MAC地址
S1(config-if)#exit

（8）验证粘滞端口安全

从PC2 上 ping交换机172.16.1.100，然后验证。

S1#show port-security interface fastEthernet 0/12
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0060.3E28.8723:1
Security Violation Count   : 0

5.3.2 实验2：配置交换机端口安全

1、实验目的通过本实验可以掌握： 交换机管理地址配置及接口配置。查看交换机的MAC地址表。配置静态端口安全、动态端口安全和粘滞端口安全的方法。 2、实验拓扑配置交换机端口安全的实验拓扑如图所示。配置交换机端口安全的实验拓扑 3、实验步骤 &#xff…...

编程日记 2024/4/4 5:05:00

【AIGC调研系列】通义千问、文心一言、抖音云雀、智谱清言、讯飞星火的特点分析

通义千问、文心一言、抖音云雀、智谱清言、讯飞星火这五款AI大模型各有特色，它们在市场上的定位和竞争策略也有所不同。通义千问：由阿里巴巴推出，被认为是最接近ChatGPT水平的国产AI模型[7]。它不仅提供了长文档处理功能，还能够…...

编程日记 2024/4/4 5:03:59

【JVM】如何定位、解决内存泄漏和溢出

目录 1.概述 2.堆溢出、内存泄定位及解决办法 2.1.示例代码 2.2.抓堆快照 2.3.分析堆快照 1.概述常见的几种JVM内存溢出的场景如下： Java堆溢出： 错误信息: java.lang.OutOfMemoryError: Java heap space 原因：Java对象实例在运行时持…...

编程日记 2024/4/4 5:01:57

常见网络问题的概述

网络问题概述网络问题可能包括视频通话延迟、应用或网络速度慢、下载缓冲、VoIP质量差和互联网连接丢失等。这些问题可能由硬件故障、使用模式变化、安全漏洞等引起，且可能对业务运营产生严重影响。网络问题对企业的影响网络问题不可避免，但可以…...

编程日记 2024/4/4 4:58:53

说说你对数据结构-树的理解

对树 - 二叉搜索树的理解二叉搜索树是一种常见的二叉树结构，它具有以下特点： 每个节点最多只有两个子节点，分别称为左子节点和右子节点；对于任意节点，其左子树中的所有节点均小于该节点，其右子树中的所有…...

编程日记 2024/4/4 4:57:52

华子目录 docker实例1.为Ubuntu镜像添加ssh服务2.Docker安装mysql docker实例 1.为Ubuntu镜像添加ssh服务 (1)访问https://hub.docker.com，寻找合适的Ubuntu镜像 (2)拉取Ubuntu镜像 [rootserver ~]# docker pull ubuntu:latest latest: Pulling from library/ub…...

编程日记 2024/4/4 4:56:50

python基础——模块【模块的介绍，模块的导入，自定义模块，*和all，name和main】

📝前言： 这篇文章主要讲解一下python基础中的关于模块的导入： 1，模块的介绍 2，模块的导入方式 3，自定义模块 🎬个人简介：努力学习ing 📋个人专栏：C语言入门基…...

编程日记 2024/4/4 4:52:45

【HTML】标签学习（下.2）

（大家好哇，今天我们将继续来学习HTML（下.2）的相关知识，大家可以在评论区进行互动答疑哦~加油！💕） 目录二.列表标签 2.1 无序列表(重点) 2.2有序列表(理解) 2.3 自定义列表(重点…...

编程日记 2024/4/4 4:48:40

os模块篇（十一）

文章目录 os.chdir(path)os.chmod(path, mode, *, dir_fdNone, follow_symlinksTrue)os.chown(path, uid, gid, *, dir_fdNone, follow_symlinksTrue)os.getcwd()os.getcwdb()os.lchflags(path, flags)os.lchmod(path, mode)os.lchown(path, uid, gid) os.chdir(path) os.chdi…...

编程日记 2024/4/4 4:46:38

编译amd 的 amdgpu 编译器

1,下载源码 git clone --recursive https://github.com/ROCm/llvm-project.git 2, 配置cmake cmake -G "Unix Makefiles" ../llvm \ -DLLVM_ENABLE_PROJECTS"clang;clang-tools-extra;compiler-rt" \ -DLLVM_BUILD_EXAMPLESON …...

编程日记 2024/4/4 4:42:34

github 多个账号共享ssh key 的设置方法

确认本机是否已有ssh key 首先确认自己系统内有没有 ssh key。 bash复制代码cd ~/.ssh ls *.pub # 列出所有公钥文件id_rsa.pub若有，确认使用当前 key 或者生成新 key，若没有，生成新 key。由于我需要登录两个帐号，所以在已经存在…...

编程日记 2024/4/4 4:36:27

dm8修改sysdba用户的密码

1 查看达梦数据库版本 SQL> select * from v$version;LINEID BANNER ---------- --------------------------------- 1 DM Database Server 64 V8 2 DB Version: 0x7000c 3 03134283904-20220630-163817-200052 …...

编程日记 2024/4/4 4:33:24

基于boost准标准库的搜索引擎项目

零项目背景/原理/技术栈 1.介绍boost准标准库 2.项目实现效果 3.搜索引擎宏观架构图这是一个基于Web的搜索服务架构客户端-服务器模型：采用了经典的客户端-服务器模型，用户通过客户端与服务器交互，有助于集中管理和分散计算。简单的用户…...

编程日记 2024/4/4 4:32:23

语言模型进化史（下）

由于篇幅原因，本文分为上下两篇，上篇主要讲解语言模型从朴素语言模型到基于神经网络的语言模型，下篇主要讲解现代大语言模型以及基于指令微调的LLM。文章来源是：https://www.numind.ai/blog/what-are-large-language-models 四、现…...

编程日记 2024/4/4 4:27:18

设计模式之旅：工厂模式全方位解析

简介设计模式中与工厂模式相关的主要有三种，它们分别是： 简单工厂模式（Simple Factory）：这不是GoF（四人帮，设计模式的开创者）定义的标准模式，但被广泛认为是工厂模式的…...

编程日记 2024/4/4 4:25:16

大数据时代的生物信息学：挖掘生命数据，揭示生命奥秘

在当今科技日新月异的时代，大数据如同一座蕴藏无尽宝藏的矿山，而生物信息学则是那把锐利的探矿锤，精准有力地敲击着这座“生命之矿”，揭示出隐藏在其深处的生命奥秘。随着基因测序技术的飞速进步与广泛应用，生物医学领…...

编程日记 2024/4/4 4:24:15

微信小程序开发【从入门到精通】——页面导航

👨‍💻个人主页：开发者-曼亿点 👨‍💻 hallo 欢迎点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍💻 本文由曼亿点原创 👨‍💻 收录于专栏&#xff1a…...

编程日记 2024/4/4 4:23:13

嵌入式|蓝桥杯STM32G431（HAL库开发）——CT117E学习笔记15：PWM输出

系列文章目录嵌入式|蓝桥杯STM32G431（HAL库开发）——CT117E学习笔记01：赛事介绍与硬件平台嵌入式|蓝桥杯STM32G431（HAL库开发）——CT117E学习笔记02：开发环境安装嵌入式|蓝桥杯STM32G431（…...

编程日记 2024/4/4 4:17:07

SQLite中的隔离(八）

返回：SQLite—系列文章目录上一篇：SQLite版本3中的文件锁定和并发(七） 下一篇：SQLite 查询优化器概述（九） 数据库的“isolation”属性确定何时对一个操作的数据库对其他并发操作可见。数据库连接之…...

编程日记 2024/4/4 4:16:06

Zabbix6 - Centos7部署Grafana可视化图形监控系统配置手册手册

Zabbix6 - Centos7部署Grafana可视化图形监控系统配置手册手册概述： Grafana是一个开源的数据可视化和监控平台。其特点： 1）丰富的可视化显示插件，包括热图、折线图、饼图，表格等； 2）支持多数据…...

编程日记 2024/4/4 4:15:05

多云管理“拦路虎”：深入解析网络互联、身份同步与成本可视化的技术复杂度

一、引言：多云环境的技术复杂性本质企业采用多云策略已从技术选型升维至生存刚需。当业务系统分散部署在多个云平台时，基础设施的技术债呈现指数级积累。网络连接、身份认证、成本管理这三大核心挑战相互嵌套：跨云网络构建数据…...

编程新知 2026/2/8 16:53:48

C++_核心编程_多态案例二-制作饮品

#include <iostream> #include <string> using namespace std;/*制作饮品的大致流程为：煮水 - 冲泡 - 倒入杯中 - 加入辅料利用多态技术实现本案例，提供抽象制作饮品基类，提供子类制作咖啡和茶叶*//*基类*/ class AbstractDr…...

编程新知 2026/2/4 16:15:43

MODBUS TCP转CANopen 技术赋能高效协同作业

在现代工业自动化领域，MODBUS TCP和CANopen两种通讯协议因其稳定性和高效性被广泛应用于各种设备和系统中。而随着科技的不断进步，这两种通讯协议也正在被逐步融合，形成了一种新型的通讯方式——开疆智能MODBUS TCP转CANopen网关KJ-TCPC-CANP…...

编程新知 2026/2/6 9:48:02

工业自动化时代的精准装配革新：迁移科技3D视觉系统如何重塑机器人定位装配

AI3D视觉的工业赋能者迁移科技成立于2017年，作为行业领先的3D工业相机及视觉系统供应商，累计完成数亿元融资。其核心技术覆盖硬件设计、算法优化及软件集成，通过稳定、易用、高回报的AI3D视觉系统，为汽车、新能源、金属制造等行…...

编程新知 2025/11/25 4:59:47

安卓基础（aar）

重新设置java21的环境，临时设置 $env:JAVA_HOME "D:\Android Studio\jbr" 查看当前环境变量 JAVA_HOME 的值 echo $env:JAVA_HOME 构建ARR文件 ./gradlew :private-lib:assembleRelease 目录是这样的： MyApp/ ├── app/ …...

编程新知 2026/1/25 8:10:56

Go 语言并发编程基础：无缓冲与有缓冲通道

在上一章节中，我们了解了 Channel 的基本用法。本章将重点分析 Go 中通道的两种类型 —— 无缓冲通道与有缓冲通道，它们在并发编程中各具特点和应用场景。一、通道的基本分类类型定义形式特点无缓冲通道make(chan T)发送和接收都必须准备好&#xff0…...

编程新知 2026/1/29 3:25:02

【网络安全】开源系统getshell漏洞挖掘

审计过程： 在入口文件admin/index.php中： 用户可以通过m,c,a等参数控制加载的文件和方法，在app/system/entrance.php中存在重点代码： 当M_TYPE system并且M_MODULE include时，会设置常量PATH_OWN_FILE为PATH_APP.M_T…...

编程新知 2026/1/31 2:59:25

【 java 虚拟机知识第一篇】

目录 1.内存模型 1.1.JVM内存模型的介绍 1.2.堆和栈的区别 1.3.栈的存储细节 1.4.堆的部分 1.5.程序计数器的作用 1.6.方法区的内容 1.7.字符串池 1.8.引用类型 1.9.内存泄漏与内存溢出 1.10.会出现内存溢出的结构 1.内存模型 1.1.JVM内存模型的介绍内存模型主要分…...

编程新知 2026/1/31 8:12:12

Web后端基础(基础知识)

BS架构：Browser/Server，浏览器/服务器架构模式。客户端只需要浏览器，应用程序的逻辑和数据都存储在服务端。优点：维护方便缺点：体验一般 CS架构：Client/Server，客户端/服务器架构模式。需要单独…...

编程新知 2026/2/2 0:52:30

【Kafka】Kafka从入门到实战：构建高吞吐量分布式消息系统

Kafka从入门到实战：构建高吞吐量分布式消息系统一、Kafka概述 Apache Kafka是一个分布式流处理平台，最初由LinkedIn开发，后成为Apache顶级项目。它被设计用于高吞吐量、低延迟的消息处理，能够处理来自多个生产者的海量数据，并将这些数据实时传递给消费者。 Kafka核心特…...

编程新知 2025/7/18 7:59:36