中職培訓(xùn)網(wǎng)絡(luò)路由交換技術(shù)(三)

1、湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院 中職計算機網(wǎng)絡(luò)教師培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院本講內(nèi)容本講內(nèi)容u交換機端口安全交換機端口安全uIPIP訪問控制列表訪問控制列表uNATNAT技術(shù)技術(shù)湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院課程議題課程議題交換機端口安全湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院交換機端口安全交換機端口安全u利用交換機的端口安全功能實現(xiàn)利用交換機的端口安全功能實現(xiàn)n防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MACMAC地址攻擊、地址攻擊、ARPARP攻擊、攻擊、IP/MACIP/MAC地址欺騙等。地址

2、欺騙等。u交換機端口安全的基本功能交換機端口安全的基本功能n限制交換機端口的最大連接數(shù)限制交換機端口的最大連接數(shù)n端口的安全地址綁定端口的安全地址綁定湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院交換機端口安全交換機端口安全u安全違例產(chǎn)生于以下情況：安全違例產(chǎn)生于以下情況：n如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個數(shù)許的最大個數(shù)n如果該端口收到一個源地址不屬于端口上的安全地址的包如果該端口收到一個源地址不屬于端口上的安全地址的包u當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例

3、：理違例：nProtectProtect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包端口的安全地址中的任何一個）的包nRestrictRestrict：當(dāng)違例產(chǎn)生時，將發(fā)送一個：當(dāng)違例產(chǎn)生時，將發(fā)送一個TrapTrap通知通知nShutdownShutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個TrapTrap通知通知湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置安全端口配置安全端口 u端口安全最大連接數(shù)配置端口安全最大連接數(shù)配置nswitchport port-secur

4、ity ！打開該接口的端口安全功能！打開該接口的端口安全功能nswitchport port-security maximum value！設(shè)置接口上安全地址的最大個數(shù)，范圍是！設(shè)置接口上安全地址的最大個數(shù)，范圍是1128，缺省值為，缺省值為128nswitchport port-security violationprotect|restrict |shutdown！設(shè)置處理違例的方式！設(shè)置處理違例的方式u注意：注意： 1、端口安全功能只能在、端口安全功能只能在access端口上進(jìn)行配置。端口上進(jìn)行配置。 2、當(dāng)端口因為違例而被關(guān)閉后，在全局配置模式下使用、當(dāng)端口因為違例而被關(guān)閉后，在全局配

5、置模式下使用命令命令errdisable recovery 來將接口從錯誤狀態(tài)中恢復(fù)來將接口從錯誤狀態(tài)中恢復(fù)過來。過來。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置安全端口配置安全端口u端口的安全地址綁定端口的安全地址綁定nswitchport port-security ！打開該接口的端口安全功能！打開該接口的端口安全功能nswitchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址！手工配置接口上的安全地址u注意：注意： 1、端口安全功能只能在、端口安全功能只能在access端口上進(jìn)行配置端口

6、上進(jìn)行配置 2、端口的安全地址綁定方式有、端口的安全地址綁定方式有:單單MAC、單、單IP、MAC+IP湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院案例（一）案例（一）u下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3上上的端口安全功能，設(shè)置最大地址個數(shù)為的端口安全功能，設(shè)置最大地址個數(shù)為8，設(shè)，設(shè)置違例方式為置違例方式為protectnSwitch# configure terminal nSwitch(config)# interface gigabitethernet 1/3 nSwitch(config-if)# switchport mode access nSwit

7、ch(config-if)# switchport port-security nSwitch(config-if)# switchport port-security maximum 8 nSwitch(config-if)# switchport port-security violation protect nSwitch(config-if)# end湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院案例（二）案例（二）u下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安全功能，上的端口安全功能，配置端口綁定地址，主機配置端口綁定地址，主機MAC為為00d0.f800.07

8、3c，IP為為192.168.12.202nSwitch# configure terminalnSwitch(config)# interface fastethernet 0/3nSwitch(config-if)# switchport mode accessnSwitch(config-if)# switchport port-securitynSwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202nSwitch(config-if)# endnSw

9、itch#show mac湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院查看配置信息查看配置信息查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等地址數(shù)以及違例處理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect查看安全地址信息查看安全地址信息Switch# show port-security address Vlan Mac Address IP Ad

10、dress Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院課程議題課程議題IP訪問控制列表湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院什么是訪問列表什么是訪問列表uIP Access-list：IP訪問列表或訪問控制列表，訪問列表或訪問控制列表，簡稱簡稱IP ACLnACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院訪問列表的組成

11、訪問列表的組成u定義訪問列表的步驟定義訪問列表的步驟n第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）n第二步，將規(guī)則應(yīng)用在路由器（或交換機）的接口上第二步，將規(guī)則應(yīng)用在路由器（或交換機）的接口上u訪問控制列表規(guī)則的分類：訪問控制列表規(guī)則的分類：n1 1、標(biāo)準(zhǔn)訪問控制列表、標(biāo)準(zhǔn)訪問控制列表n2 2、擴展訪問控制列表、擴展訪問控制列表湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院 訪問列表規(guī)則的應(yīng)用訪問列表規(guī)則的應(yīng)用u路由器應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制路由器應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制n1.1.入棧應(yīng)用（入棧應(yīng)用（inin）經(jīng)

12、某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾n2.2.出棧應(yīng)用（出棧應(yīng)用（outout）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時進(jìn)行安全規(guī)則過濾設(shè)備從某接口向外發(fā)送數(shù)據(jù)時進(jìn)行安全規(guī)則過濾u一個接口在一個方向只能應(yīng)用一組訪問控制列表一個接口在一個方向只能應(yīng)用一組訪問控制列表湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院IP ACLIP ACL的基本準(zhǔn)則的基本準(zhǔn)則u一切未被允許的就是禁止的一切未被允許的就是禁止的n定義訪問控制列表規(guī)則時，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過定義訪問控制列表規(guī)則時，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過u按規(guī)則鏈來進(jìn)行匹配按規(guī)則鏈來進(jìn)行匹配n使用源地址、目的

13、地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配u規(guī)則匹配原則規(guī)則匹配原則n從頭到尾，至頂向下的匹配方式從頭到尾，至頂向下的匹配方式n匹配成功馬上停止匹配成功馬上停止n立刻使用該規(guī)則的立刻使用該規(guī)則的“允許允許/ /拒絕拒絕”湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院 IP IP標(biāo)準(zhǔn)訪問列表的配置標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)定義標(biāo)準(zhǔn)ACLn編號的標(biāo)準(zhǔn)訪問列表編號的標(biāo)準(zhǔn)訪問列表Router(config)#access-list permit|deny 源地址源地址 反掩碼反掩碼n命名的標(biāo)準(zhǔn)訪問列表命名的標(biāo)準(zhǔn)訪問列表 switch(config)#

14、 ip access-list standard switch(config-std-nacl)#permit|deny 源地址源地址 反掩碼反掩碼2.應(yīng)用應(yīng)用ACL到接口到接口nRouter(config-if)#ip access-group in | out 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP ACLIP ACL配置示例配置示例湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP ACLIP ACL配置示例配置示例R(configR(config)#)# 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院 IP IP擴展訪問列表的配置擴展訪問列表的配置1.定義擴展的定義擴展的ACLn編號的擴展編號的擴展

15、ACLRouter(config)#access-list permit /deny 協(xié)議協(xié)議 源地址源地址 反掩碼反掩碼 源端口源端口 目的地址目的地址 反掩碼反掩碼 目的端口目的端口 n命名的擴展命名的擴展ACLip access-list extended name permit /deny 協(xié)議協(xié)議 源地址源地址 反掩碼反掩碼源端口源端口 目的地目的地址址 反掩碼反掩碼 目的端口目的端口 2.應(yīng)用應(yīng)用ACL到接口到接口nRouter(config-if)#ip access-group in | out 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院擴展擴展IP ACLIP ACL配置示例配置示例湖

16、南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院名稱名稱IP ACLIP ACL配置示例配置示例Router(config)#access-list 100 permit ip any any 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院 訪問列表的驗證訪問列表的驗證u顯示全部的訪問列表顯示全部的訪問列表nRouter#show access-listsu顯示指定的訪問列表顯示指定的訪問列表nRouter#show access-lists u顯示接口的訪問列表應(yīng)用顯示接口的訪問列表應(yīng)用nRouter#show ip interface 接口名稱接口名稱 接口編號接口編號湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院IPIP訪問列表配置

17、注意事項訪問列表配置注意事項1 1、一個端口在一個方向上只能應(yīng)用一組、一個端口在一個方向上只能應(yīng)用一組ACLACL2 2、銳捷全系列交換機可針對物理接口和、銳捷全系列交換機可針對物理接口和SVISVI接口應(yīng)接口應(yīng)用用ACLACLn針對物理接口，只能配置入棧應(yīng)用針對物理接口，只能配置入棧應(yīng)用(In)(In)n針對針對SVISVI（虛擬（虛擬VLANVLAN）接口，可以配置入棧（）接口，可以配置入棧（InIn）和出棧（）和出棧（OutOut）應(yīng)用）應(yīng)用3 3、訪問列表的缺省規(guī)則是：拒絕所有、訪問列表的缺省規(guī)則是：拒絕所有湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院基于時間的基于時間的ACLACL基于時間的AC

18、L時間段湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置時間段配置時間段配置時間段time-range time-range-nameRouter(config)#配置絕對時間absolute start time date end time date | end time date Router(config-time-range)#湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置時間段（續(xù)）配置時間段（續(xù)）配置周期時間periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm t

19、o hh:mm Router(config-time-range)#湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置時間段（續(xù)）配置時間段（續(xù)）應(yīng)用時間段湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院基于時間的基于時間的ACLACL配置示例配置示例湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院課程議題課程議題湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院NATNAT實施實施uNATNAT優(yōu)點：優(yōu)點：n節(jié)省公共地址節(jié)省公共地址n可減少編址方案重疊的情況發(fā)生可減少編址方案重疊的情況發(fā)生n將私有網(wǎng)絡(luò)轉(zhuǎn)化成公網(wǎng)時，無需要重新進(jìn)行編址將私有網(wǎng)絡(luò)轉(zhuǎn)化成公網(wǎng)時，無需要重新進(jìn)行編址uNATNAT缺點：缺點：nNATNAT會增加延遲會增加延遲n無法進(jìn)行端到端的無法

20、進(jìn)行端到端的IPIP跟蹤跟蹤湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置靜態(tài)配置靜態(tài)NATNATu第一步：在路由器上配置第一步：在路由器上配置IPIP路由選擇和路由選擇和IPIP地址。地址。u第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進(jìn)第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進(jìn)入接口配置模式下，執(zhí)行命令入接口配置模式下，執(zhí)行命令ipip natnat inside | inside | outside outside 。u第三步：使用全局命令第三步：使用全局命令ipip natnat inside source static inside source static local-lo

21、cal-ipip interfaceinterface interfaceinterface | global- | global-ipip 配置靜配置靜態(tài)轉(zhuǎn)換條目。態(tài)轉(zhuǎn)換條目。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置靜態(tài)端口地址轉(zhuǎn)換配置靜態(tài)端口地址轉(zhuǎn)換u第一步：在路由器上配置第一步：在路由器上配置IP路由選擇和路由選擇和IP地址。地址。u第二步：至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命第二步：至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命令令ip nat inside | outside 。u第三步：使用全局命令第三步：使用全局命令ip nat inside source static tcp

22、 | udp local-ip local-port interface interface | global-ip global-port指定靜態(tài)指定靜態(tài)PAT條目。條目。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置靜態(tài)外部源地址轉(zhuǎn)換配置靜態(tài)外部源地址轉(zhuǎn)換u 第一步：在路由器上配置在路由器上配置IPIP路由選擇和路由選擇和IPIP地址。地址。u第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進(jìn)至少指定一個內(nèi)部接口和一個外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令入接口配置模式下，并執(zhí)行命令ip nat inside | | outside 。u第三步：使用全局命令使用全局命令ip nat out

23、side source static global-global-ipip local- local-ipip指定靜態(tài)轉(zhuǎn)換條目。指定靜態(tài)轉(zhuǎn)換條目。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置動態(tài)配置動態(tài)NATNATu第一步：在路由器上配置在路由器上配置IP路由選擇和路由選擇和IP地址。地址。u第二步：至少指定一個內(nèi)部接口和一個外部接口，方法至少指定一個內(nèi)部接口和一個外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令是進(jìn)入接口配置模式下，并執(zhí)行命令ip nat inside | outside 。u第三步：使用命令使用命令access-list access-list-number permit | den

24、y 定義定義IP訪問控制列表，以明確哪些報文訪問控制列表，以明確哪些報文將被進(jìn)行將被進(jìn)行NAT轉(zhuǎn)換。轉(zhuǎn)換。u第四步：使用命令使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定義定義一個地址池，用于轉(zhuǎn)換地址。一個地址池，用于轉(zhuǎn)換地址。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置動態(tài)配置動態(tài)NATNATu第五步：使用命令使用命令ip nat inside source list access-list-number interface interface | pool pool-

25、name 將符合訪將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。地址。湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置配置NAPTNAPTu第一步：在路由器上配置在路由器上配置IP路由選擇和路由選擇和IP地址。地址。u第二步：至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命令至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命令ip nat inside | outside 。u第三步：使用命令使用命令access-list access-list-number permit | deny 定義定義IP訪問控制列表，以明確哪些報文將被進(jìn)行訪問控制

26、列表，以明確哪些報文將被進(jìn)行NAT轉(zhuǎn)換。轉(zhuǎn)換。u第四步：使用命令使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個地址池，定義一個地址池，用于轉(zhuǎn)換地址。用于轉(zhuǎn)換地址。u第五步：使用命令使用命令ip nat inside source list access-list-number interface interface | pool pool-name 將符合訪問控制列表條件將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。 湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院配置配置NAPTNAPT湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院課程議題課程議題湖南科技職業(yè)學(xué)院湖南科技職業(yè)學(xué)院策略路由策略路由u策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制，應(yīng)用了策略路由，路由器將通數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制，應(yīng)用了策略路由，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)進(jìn)行處理，路由過路由圖決定