[实验报告]--基于端口安全

[实验报告]

一、项目背景

二、实验环境

三、项目规划设计

四、项目实施

五、验证项目成果

基于端口安全的 Jan16 公司网络组建

一、项目背景

Jan16 公司开发部为重要部门，所有员工使用指定的计算机工作，为防止员工或访客使用个人电脑接入网络，将使用基于端口安全策略组建开发部网络。项目拓扑如图 1 所示，具体要求如下：

（1）开发部采用了华为可网管交换机作为接入设备；

（2）出于安全的考虑，需在交换机的端口上绑定指定计算机的 MAC 地址，防止非法计算机的接入；

（3）计算机的 IP、MAC 和接入交换机的端口信息如拓扑所示。

二、实验环境

图一：实验环境

三、项目规划设计

MAC 地址是计算机的唯一物理标识，可以通过在交换机对应的端口上进行绑定，非绑定的 MAC 将无法接入到网络中。查看 MAC 地址的方法有几种：

1、在计算机中执行 ipconfig 命令即可查看本机的 MAC 地址；

2、在计算机中执行 ARP -a 可以查看邻近计算机的 MAC 地址和 IP 地址；

3、在交换机上执行 display mac-address 命令可以查看对应的端口上的 MAC 地址。

在进行端口绑定时，需要查看两个信息，一个是计算机的 MAC 地址，另一个是计算机接入的端口。因此，可以先从计算机查看本机的 MAC 地址，然后从交换机上查看 MAC 地址对应的端口，最后进行 MAC 地址和端口的绑定。

配置步骤如下：

（1）查看计算机本地 MAC 地址

（2）查看 MAC 所在的交换机端口

（3）开启该交换机端口的端口安全，并绑定对应的 MAC 地址

项目规划如图1所示

四、项目实施

（1）配置并查看计算机本地 MAC 地址与IP ：ipconfig，查看 PC机详情。

（2）交换机SW1配置：

（3）查看 MAC 所在的交换机端口

当你敲了这个不显示什么（表示：PC机需要ping一下对方，这样交换机才能学习）

（3）开启该交换机端口的端口安全，并绑定对应的 MAC 地址

interface g0/0/1

port-security enable

port-security mac-address sticky

port-security mac-address sticky 5489-98ca-0358 vlan 1

interface g0/0/2

port-security enable

port-security mac-address sticky

port-security mac-address sticky 5489-986F-0A10 vlan 1

interface g0/0/3

port-security enable

port-security mac-address sticky

port-security mac-address sticky 5489-98AE-4688 vlan 1

interface g0/0/4

port-security enable

port-security mac-address sticky

port-security mac-address sticky 5489-98AE-4699 vlan 1

五、验证项目成果

（1）在交换机上查看配置是否生效（需要ping一下）

（2）测试计算机的互通性

（3）更换计算机（PC5与交换机的指定MAC不同、测试互通性）

基于G0/0/4 PC4的接口配置参考

PC5

PC>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:feb9:261

IPv6 address......................: :: / 128

IPv6 gateway......................: ::

IPv4 address......................: 192.168.10.5

Subnet mask.......................: 255.255.255.0

Gateway...........................: 0.0.0.0

Physical address..................: 54-89-98-B9-02-61

DNS server........................:

PC>