资源简介

(共16张PPT)
*
项目5 网络安全技术配置　
项目描述
随着网络技术的发展和应用范围的不断扩大，网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境，其存在的网络安全隐患不断显现出来。例如，非人为的或自然力造成的故障、事故；人为但属于操作人员无意的失误造成的数据丢失或损坏；来自园区网外部和内部人员的恶意攻击与破坏等。网络安全状况直接影响人们的学习、工作和生活，网络安全问题已经成为信息社会关注的焦点之一，因此需要实施网络安全防范。
保护园区网络安全的措施包括以下几点：在终端主机上安装防病毒软件，保护终端设备的安全；利用交换机的端口安全功能，防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击；利用IP地址访问控制列表对网络流量进行过滤和管理，从而保护子网之间的通信安全及敏感设备，防止非授权的访问；利用NAT技术从一定程度上为内部网络主机提供“隐私”保护；在网络出口部署防火墙，防范外部网络未授权访问和非法攻击；建立保护内网安全的规章制度，保护内部网络设备的安全。
本项目重点介绍交换机端口安全的配置、IP访问控制列表，以及网络地址转换的配置。
*
项目5 网络安全技术配置　
*
项目5 网络安全技术配置　
任务1 交换机端口安全的配置
任务1 交换机端口安全的配置
通过MAC地址表记录连接到交换机端口的以太网MAC地址，并且只允许某个MAC地址通过本端口通信，而当其他MAC地址发送的数据包通过此端口时，端口安全特性会进行阻止。
任务描述
海成公司最近的网络速度变慢，网络管理员发现有些部门的员工私自带笔记本式计算机接入公司网络来下载电影，这不仅给公司正常的上网带来了负担，还给公司的网络安全带来了隐患。
任务1 交换机端口安全的配置
任务分析
非授权的计算机接入网络会造成公司信息管理成本的增加，不仅影响公司正常用户的网络使用，还会造成严重的网络安全问题。在接入交换机上配置端口安全功能，利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题，还可以避免用户利用未绑定MAC地址的端口来实施MAC地址泛洪攻击。
下面以2台型号为2960-24TT的交换机来模拟网络，使读者可以学习和掌握交换机端口安全的配置方法，配置交换机端口安全的拓扑图如图5.1.1所示。
图5.1.1 配置交换机端口安全的拓扑图
任务1 交换机端口安全的配置
具有要求如下：
（1）添加3台计算机，并将标签名分别更改为PC1、PC2和PC3。
（2）添加2台型号为2911-24TT的交换机，将标签名分别更改为SWA和SWB，并将交换机的名称分别设置为SWA、SWB。
（3）PC1连接SWA的Fa0/1接口，PC2连接SWA的Fa0/2接口，PC3连接SWB的Fa0/1接口，SWA的G0/1接口连接SWB的G0/1接口。
（4）根据如图5.1.1所示的拓扑图，使用直通线连接好所有计算机，并设置每台计算机的IP地址和子网掩码，如表5.1.2所示。
表5.1.2 计算机的IP地址和子网掩码
（5）出于安全方面的考虑，在交换机的接口上配置端口安全，绑定计算机的MAC地址，防止非法计算机的接入。
任务1 交换机端口安全的配置
任务实施
步骤1：查看计算机的MAC地址。
在计算机的命令行提示符下输入ipconfig /all命令，查看MAC地址。
（1）查看PC1的MAC地址，如图5.1.2所示。
（2）查看PC2的MAC地址，如图5.1.3所示。
图5.1.2 查看PC1的MAC地址
图5.1.3 查看PC2的MAC地址
任务1 交换机端口安全的配置
步骤2：配置SWA的主机名称，开启交换机接口的端口安全。在SWA的Fa0/1接口和Fa0/2接口上配置粘性的MAC地址。
任务1 交换机端口安全的配置
步骤3：配置SWB的主机名称，开启交换机接口的端口安全。在SWB的G0/1接口上配置端口安全动态MAC地址。
任务1 交换机端口安全的配置
任务验收
1．在SWA上使用show mac-address-table命令，查看交换机与计算机之间连接的接口，类型是否变为sticky
2．测试计算机之间的连通性
（1）使用ping命令测试内部通信的情况。在PC1上ping PC2，可以看出，计算机之间可以互相通信，如图5.1.4所示。
图5.1.4 测试PC1与PC2之间的连通性
任务1 交换机端口安全的配置
（2）在PC2上Ping PC3，可以看出，计算机不可以互相通信，如图 5.1.5所示。因为SWB的G0/1接口将学习MAC地址的数量限制为1，当有多于1台计算机通过时，交换机发出告警，并关闭接口。
图5.1.5 测试PC2与PC3之间的连通性
（3）查看SWB的端口安全配置。
任务1 交换机端口安全的配置
（4）查看SWB上的G0/1接口的端口安全配置是否生效。
通过回显可以看出，端口安全配置已经生效，状态为关闭。
3．更换计算机，测试连通性
把PC1更换为PC4，IP地址相同，MAC地址不同，连接到交换机Fa0/1接口上。可以看出，在更换计算机后，MAC 地址不同，计算机之间不能互相通信，如图 5.1.6所示。
图5.1.6 测试PC4与PC2之间的连通性
任务1 交换机端口安全的配置
知识链接
1．端口安全概念
交换机端口安全是指针对交换机的接口进行安全属性的配置，从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该接口。当接口上配置了安全的MAC地址后，定义之外的源MAC地址发送的数据包将被接口丢弃。交换机端口安全主要有两种类型：一是限制交换机接口的最大连接数；二是针对交换机接口进行MAC地址、IP地址（可选）的绑定。
限制交换机接口的最大连接数可以控制交换机接口下连的主机数，并防止用户进行恶意ARP欺骗。
交换机接口的地址绑定可以针对MAC地址、IP地址（可选）、IP+MAC地址（可选）进行灵活的绑定，它可以对用户进行严格的控制，从而保证用户的安全接入和防止常见的内部网络的网络攻击。
安全的MAC地址类型有如下3种。
（1）静态安全的MAC地址：手工配置，存储在MAC地址表内并加入交换机的配置文件中。
（2）动态安全的MAC地址：动态学习，只存储在MAC地址表中，在交换机重启后丢失。
（3）粘性安全的 MAC 地址：可以动态学习，也可以手工配置，存储在 MAC 地址表内并加入交换机的配置文件中，如果配置被保存，则即使交换机重启也无须重新配置。
任务1 交换机端口安全的配置
安全MAC地址的老化时间：在没有为一个接口上的所有安全地址配置老化时间时，所有的安全地址永远不失效。但是由于有些安全地址很长时间未访问接口，此安全地址由于没有失效还要占用安全接口的个数。如果设置了老化时间，在老化时间内，安全地址没有访问接口，则将此安全地址从安全地址表中删除，空出一个安全地址位置，以使其他地址成为安全地址。当设置安全地址的最大个数后，可以使交换机自动地增加和删除接口上的安全地址。安全MAC地址默认的老化时间为300s。
若一个接口配置了port-security，则在其安全地址的数目已经达到允许的最大个数后，如果该接口再收到一个源地址不属于接口的安全地址的数据包，则安全违例将产生。
当安全违例产生时，处理方式有如下3种。
（1）protect：当安全地址的个数满后，安全接口将丢弃未知名地址（不是该接口的安全地址中的任何一个）的包。
（2）restrict：当安全违例产生时，将发送一个trap通知。
（3）shutdown：当安全违例产生时，将关闭接口并发送一个trap通知。
当接口因违例而被关闭后，在全局配置模式下使用errdisable recovery命令来将接口从错误状态恢复过来。
交换机端口安全的注意事项如下所述。
（1）交换机端口安全功能只能配置在访问接口、干道接口和IEEE 802.1Q的隧道接口上，不能配置在动态接口上。
（2）端口安全的接口不能是SPAN的目的接口。
（3）端口安全的接口不能属于聚合链路接口组。
（4）交换机最大连接数限制取值范围为1～128，默认是128。
（5）交换机最大连接数限制默认的处理方式是protect。
（6）交换机不支持针对粘性安全MAC地址的老化。
任务1 交换机端口安全的配置
2．端口安全配置
（1）开启端口安全。
（2）配置端口安全地址的最大个数。
value为安全地址的最大值，取值范围为1～128。
（3）配置处理违例的方式。
（4）配置接口与MAC地址的绑定。
（5）在MAC地址表中添加接口与MAC地址的绑定。
（6）开启粘性地址学习功能。
任务1 交换机端口安全的配置
（7）配置安全地址的老化时间（Cisco Packet Tracer暂不支持此功能）。
static表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则只应用于自动学习的地址。
time表示这个接口上安全地址的老化时间，单位是s，默认为300s。当用户设置此值为0时，地址老化功能将被关闭，学习到的地址将不会被老化。
（8）查看端口安全信息。
任务小结
本任务主要介绍了交换机端口安全功能的启用，并且介绍了如何配置端口安全功能中的最大连接数与违例处理方式，以及端口与MAC地址的绑定，从而实现控制用户的安全接入，防止非法用户进行的网络攻击。

展开更多......

收起↑