模塊三任務3(端口安全)_第1頁
模塊三任務3(端口安全)_第2頁
模塊三任務3(端口安全)_第3頁
模塊三任務3(端口安全)_第4頁
模塊三任務3(端口安全)_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

模塊三優(yōu)化網絡任務3端口安全任務引入1任務分析2任務實施3小結與練習4任務引入

最近網絡管理員發(fā)現(xiàn)了一個新的問題,就是有員工私自將自己部門的計算機搬到別的部門去使用或帶自己的筆記本電腦隨意使用公司的網絡,這樣使得之前所做的網絡規(guī)劃,失去了原有的意義,使得財務部和經理室的資料得不到安全保證。網絡管理員決定使用端口安全的方法,徹底解決公司內部各項數(shù)據(jù)安全性的問題。網絡簡單拓撲結構如圖所示。任務分析可能有人認為既然已經劃分了VLAN,使得各部門之間無法直接通信,可以說已經很好地保證了公司資料的安全??梢栽O想一下,如果有人對公司財務部的賬目資料很感興趣,同時公司的安全意識不強烈的話,他只需要隨便帶一臺計算機接入財務部的VLAN,那么根據(jù)同一個VLAN間可以直接訪問的特性,所有財務部的資料對他來說都是開放的。而這時只需要把財務部的十一臺計算機與交換機S7中的FA0/10—FA0/20端口進行安全綁定,那么其他計算機就無法在財務部門使用。這能最大程度上保證公司數(shù)據(jù)的安全。相關知識一、端口安全交換機端口安全功能,是指針對交換機的端口進行安全屬性的配置,從而控制用戶的安全接入。交換機的端口安全主要有兩種類型:一是限制交換機端口的最大連入數(shù),二是針對交換端口進行MAC地址、IP地址的綁定。交換機端口的地址綁定,可以針對MAC地址、IP地址、IP+MAC地址進行靈活的綁定??梢詫崿F(xiàn)對用戶的嚴格控制,保證用戶的安全接入和防止常見的內網網絡攻擊。配置了交換機端口安全后,當實際應用超出配置要求時,將會產生一個安全違例,有以下三種:1.protect當安全地址個數(shù)滿后,安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包。2.restrict當違例產生時,將發(fā)送一個通知Trap。3.shutdown當違例產生時,將關閉端口并發(fā)送一個通知。當端口因為安全違例而被關閉后,在全局模式下使用errdisablerecovery命令將端口錯誤恢復。二、管理MAC地址表可以使用如下命令來查看MAC地址表里的信息,命令格式如下:Switch#show

mac-address-table也可以使用如下命令來手動清空MAC地址表,命令格式如下:Switch#clear

mac-address-table可以手動地添加一條MAC地址與端口的映射到MAC地址表。通過使用靜態(tài)MAC地址,可以達到以下好處:1.使該MAC地址不會因為超時而被自動清除。2.一臺工作站必須連接在交換機的某一個端口上,而且MAC地址是網絡里的主機眾所周知的。3.增加安全性。可以使用如下命令在MAC地址表里添加一條靜態(tài)MAC地址。Switch(config)#mac-address-tablestatic<mac-addresssofhost>interfacefastenthernet<interfacenumber>vlan<vlannumber>。在該命令前加“no”可以從MAC地址表里刪除配置的靜態(tài)MAC地址。任務實施此任務以交換機S7為例,其它交換機參照實施。步驟1:配置交換機S7端口的最大連接數(shù)限制。S7#configureterminal!進入全局配置模式S7(config)#interfacerangefa0/10-20!進入一組的端口配置模式S7(config-if-range)#switchportport-security!開啟交換機的端口安全功能S7(config-if-range)#switchportport-securitymaximm1!配置端口的最大連接數(shù)為1S7(config-if-range)#switchportport-securityviolationshutdown!配置安全違例為shutdown步驟2:驗證交換機S7的端口安全配置。此截圖中,可以看出MaxSecureAddr的值都為1,其表示為最大連入數(shù)為1。SecurityAction的值為shutdown,表示當違例時,都是關閉端口步驟3:配置交換機S7端口的地址綁定。先查看主機的IP和MAC地址信息然后配置交換機S7端口的地址綁定。S7#configureterminal!進入全局配置模式S7(config)#interfacefa0/10!進入端口配置模式S7(config-if-range)#switchportport-security!開啟交換機的端口安全功能S7(config-if-range)#switchportport-securitymac-address0024.7e10.ea91!配置MAC地址的綁定!此配置中所使用的MAC地址為筆者做實驗時所用計算機的MAC地址,學生們做實驗時請根據(jù)實際情況加以更換。步驟4:利用步驟3的方法,將其他端口分別與主機的MAC地址進行綁定。步驟5:驗證交換機S7的地址安全綁定。步驟6:測試換用一臺非綁定計算機,測試其端口狀態(tài)如下:通過上面的任務實施步驟,可以很清楚地看到,將交換機的端口和計算機的MAC地址進行綁定,并且設定安全違例處置方法,可以有效地對局域網內的計算機進行管理。任務小結從網絡管理的安全性考慮,某企業(yè)網絡管理員可以對交換機上端口的訪問權限做些限制,通過限制允許訪問交換機某個端口的MAC地址以及IP地址(可選)來實現(xiàn)嚴格控制對該端口的輸入。課堂練習一、選擇1.交換機端口安全主要有哪些類型?()A.限制最大連入數(shù)B.劃分虛擬局域網C.對端口進行MAC地址和IP地址的綁定D.A和C2.switch(config-if)#是()模式。A.用戶B.特權C.接口配置D.全局3.交換機不可能將所有的MAC地址都加入到MAC地址表中,是因為受到()限制。A.COMB.CMDC.CAM

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論