网络精通-端口镜像、端口安全

328、端口镜像的作用：

①用来方便管理员维护查看网络流量：

②用来配合IDS、堡垒机等安全设备使用；

端口镜像实验：

实验需求：将PC1 与PC2 通信的流量复制一份给PC3；

实验topo:

实验配置：

将端口GE0/0/3配置为观察接口

#

observe-port 1 interface GigabitEthernet0/0/3

#

tips ：‘1’表示观察组的组号，一个交换机可以配置两个观察组；

将接口GE0/0/1的进出流量镜像一份到镜像组1

#

interface GigabitEthernet0/0/1

 port-mirroring to observe-port 1 inbound

 port-mirroring to observe-port 1 outbound

#

329、端口安全

实验：端口安全

实验topo:

实验配置：

如果不开启端口安全，PC1和PC2 都可以与其他的主机通信，一旦开启端口安全，就只允许一个Mac地址通信；

tips :谁先在交换机上面建立Mac表设就是合法的通信MAC地址；

开启端口安全：

#

interface GigabitEthernet0/0/1

 port-security enable

#

设置端口安全的最大通信Mac个数：

#

interface GigabitEthernet0/0/1

 port-security enable

 port-security max-mac-num 2

#

端口绑定Mac地址，只允许绑定的Mac地址上网：

#

interface GigabitEthernet0/0/1

 port-security enable

 port-security mac-address sticky                        开启MAC地址绑定功能

#

port-security mac-address sticky 5489-98BF-307F vlan 1 将允许访问外网的MAC地址绑定到端口安全

#

tips：如果不主动的绑定MAC地址，那么第一个与交换机通信，在交换机上做MAC地址表映射的PC就会自动绑定MAC地址，以后就只允许该Mac上网；

查看交换机上的MAC地址映表：

配置接口安全保护模式：

 tips :默认为丢包并且发出警告

 如果设置为shutdown,之言出现不是允许上网的Mac去上外网，立刻将接口宕掉；