任務(wù)4.1 交換機端口安全配置_第1頁
任務(wù)4.1 交換機端口安全配置_第2頁
任務(wù)4.1 交換機端口安全配置_第3頁
任務(wù)4.1 交換機端口安全配置_第4頁
任務(wù)4.1 交換機端口安全配置_第5頁
已閱讀5頁,還剩18頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

Module4網(wǎng)絡(luò)安全技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)4.1

交換機端口安全配置以太網(wǎng)安全隱患端口安全基本概念端口安全工作原理端口安全配置流程端口安全配置命令對于安全性要求較高的網(wǎng)絡(luò)環(huán)境,通常要對用戶的接入進行基本的安全管控,以防止非法用戶的接入及惡意的網(wǎng)絡(luò)攻擊。通過對交換機配置端口安全功能來增強網(wǎng)絡(luò)的安全性,可有效避免信息泄露、MAC地址泛洪攻擊等安全問題。本次任務(wù)介紹交換機端口安全的基本原理和配置方法。任務(wù)背景準(zhǔn)備知識1.以太網(wǎng)安全隱患MAC地址泛洪攻擊攻擊者發(fā)送大量的虛假源MAC地址數(shù)據(jù)幀,導(dǎo)致MAC地址表快速填滿,使得交換機將無法再學(xué)習(xí)新的MAC地址。交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀時失去了“依據(jù)”,只能以廣播的方式將數(shù)據(jù)幀從其余接口發(fā)送出去。攻擊者利用此原理,竊取用戶的通信數(shù)據(jù)。MAC地址泛洪攻擊1.以太網(wǎng)安全隱患終端接入隱患用戶私自擴充網(wǎng)絡(luò),導(dǎo)致終端數(shù)量增大,給通信環(huán)境帶來了不穩(wěn)定因素;非信任終端的接入,可能導(dǎo)致信息的泄露。終端接入隱患2.端口安全基本概念端口安全作用限制接口學(xué)習(xí)MAC地址的數(shù)量。端口安全的默認(rèn)安全MAC地址的限制數(shù)是1個,即只能學(xué)習(xí)一個MAC地址表項。限制非信任終端接入網(wǎng)絡(luò)。任何源MAC地址為非安全MAC地址的報文將會被丟棄。限制信任終端切換連接端口。即信任終端只能在通過指定的端口接入網(wǎng)絡(luò)。違例通信的保護動作Restrict:丟棄源MAC地址為非安全MAC地址的報文并上報告警,此為默認(rèn)的處理動作;Protect:只丟棄源MAC地址為非安全MAC地址的報文,不上報告警;Shutdown:接口狀態(tài)被置為error-down,并上報告警。默認(rèn)情況下,接口關(guān)閉后不會自動恢復(fù),只能由網(wǎng)絡(luò)管理人員手動恢復(fù)。3.端口安全工作原理工作原理交換機開啟端口安全功能后,接口學(xué)習(xí)到的MAC地址會被轉(zhuǎn)換為安全MAC地址。接口學(xué)習(xí)的MAC數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址。如果交換機收到源MAC地址不屬于安全MAC地址的報文,交換機認(rèn)為有非法用戶攻擊,就會根據(jù)配置的動作對接口做保護處理。3.端口安全工作原理安全MAC地址安全MAC地址分為安全動態(tài)MAC地址和StickyMAC地址。當(dāng)接口使能端口安全功能后,該接口上學(xué)習(xí)到的MAC地址將變?yōu)榘踩珓討B(tài)MAC地址,此時該接口僅允許源MAC地址匹配安全MAC地址或靜態(tài)MAC地址的報文通過。若接口使能StickyMAC功能,安全動態(tài)MAC地址表項將轉(zhuǎn)化為StickyMAC表項,之后學(xué)習(xí)到的MAC地址也變?yōu)镾tickyMAC地址。安全動態(tài)MAC地址在設(shè)備重啟后表項會丟失。StickyMAC地址可由安全動態(tài)MAC地址轉(zhuǎn)換而來,也可以手動添加。StickyMAC地址在手動保存之后,設(shè)備重啟不會丟失。安全MAC地址4.端口安全配置流程端口安全配置流程如下:端口開啟安全功能;端口配置MAC地址學(xué)習(xí)的限制數(shù)量;配置StickyMAC功能;動態(tài)轉(zhuǎn)化手工添加設(shè)置接口安全保護動作(可選)。(1)開啟端口安全功能命令:port-securityenable說明:缺省情況下,交換機接口未使能端口安全功能;通常對連接終端的接口進行配置視圖:接口視圖舉例:交換機S1的G0/0/1使能接口安全功能。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]port-securityenable5.端口安全配置命令(2)配置接口安全動態(tài)MAC地址學(xué)習(xí)限制數(shù)量命令:port-securitymax-mac-nummax-number

說明:缺省情況下,交換機接口學(xué)習(xí)MAC地址限制為1視圖:接口視圖舉例:設(shè)置交換機S1的G0/0/1限制MAC地址數(shù)量為2。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]port-securitymax-mac-num2

5.端口安全配置命令(3)配置StickyMAC功能命令:port-securitymac-addresssticky[mac-addressvlanvlan-id]說明:sticky后不加參數(shù),表示將動態(tài)安全MAC轉(zhuǎn)化為stickyMAC;sticky后加MAC地址及VLAN參數(shù),表示手動添加stickyMAC表項視圖:接口視圖舉例1:設(shè)置交換機S1的G0/0/1開啟StickyMAC功能,將動態(tài)安全MAC轉(zhuǎn)化為stickyMAC。舉例2:為交換機S1的VLAN10接口G0/0/1手動添加stickyMAC表項AAAA-BBBB-0001。[S1-GigabitEthernet0/0/1]port-securityenable[S1-GigabitEthernet0/0/1]port-securitymac-addresssticky[S1-GigabitEthernet0/0/1]port-securityenable[S1-GigabitEthernet0/0/1]port-securitymac-addressstickyAAAA-BBBB-0001vlan105.端口安全配置命令(4)設(shè)置接口安全保護動作命令:port-securityprotect-action{shutdown|protect|restrict}說明:缺省情況下,交換機接口保護動作為restrict視圖:接口視圖舉例1:設(shè)置交換機S1的G0/0/1接口保護動作為shutdown。舉例2:設(shè)置交換機S1的G0/0/2接口保護動作為protect。設(shè)置交換機S1的G0/0/3接口保護動作為restrict。[S1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown[S1-GigabitEthernet0/0/2]port-securityprotect-actionprotect[S1-GigabitEthernet0/0/3]port-securityprotect-actionrestrict5.端口安全配置命令(5)啟動靜態(tài)MAC地址漂移的檢測功能命令:port-securitystatic-flappingprotect說明:開啟了端口安全的接口才支持靜態(tài)MAC漂移的檢測功能視圖:系統(tǒng)視圖舉例:設(shè)置交換機S1靜態(tài)MAC地址漂移的檢測功能。[S1]port-securitystatic-flappingprotect5.端口安全配置命令6.任務(wù)實施:交換機端口安全配置(1)掌握交換機端口安全的基本原理;(2)掌握交換機端口安全的配置方法。(一)任務(wù)目的

某公司出于網(wǎng)絡(luò)安全的考慮,希望對員工終端的網(wǎng)絡(luò)接入進行基本的安全管控,要求接入層交換機限制非信任終端的接入,每個端口只能連接一臺固定的員工終端。(二)任務(wù)描述(1)拓?fù)鋱D(2)操作流程終端配置網(wǎng)絡(luò)參數(shù);交換機配置VLAN;S1的G0/0/1-3開啟端口安全功能,限制連接數(shù)為1,分別只能允許PC1-PC3接入網(wǎng)絡(luò);G0/0/1-2:開啟StickyMAC功能,自動將動態(tài)安全MAC轉(zhuǎn)化為StickyMAC;G0/0/3:手動添加StickyMAC表項;S1的G0/0/1-3配置違例保護模式均為shutdown。(三)實施規(guī)劃6.任務(wù)實施:交換機端口安全配置(四)操作步驟交換機配置VLAN配置網(wǎng)絡(luò)參數(shù)[S1]vlan10[S1-vlan10]intg0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan10[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan10[S1-GigabitEthernet0/0/2]intg0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/3]portdefaultvlan10[S1-GigabitEthernet0/0/3]intg0/0/24[S1-GigabitEthernet0/0/24]portlink-typetrunk[S1-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S1-GigabitEthernet0/0/24]quitS1配置:S1配置端口安全功能6.任務(wù)實施:交換機端口安全配置(四)操作步驟[S2]vlanbatch10100[S2]intg0/0/24[S2-GigabitEthernet0/0/24]portlink-typetrunk[S2-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S2-GigabitEthernet0/0/24]intg0/0/1[S2-GigabitEthernet0/0/1]portlink-typeaccess[S2-GigabitEthernet0/0/1]portdefaultvlan100[S2-GigabitEthernet0/0/1]intvlanif100[S2-Vlanif100]ipadd10.0.0.25424[S2-Vlanif100]intvlanif10[S2-Vlanif10]ipadd10.1.1.25424[S2-Vlanif10]quitS2配置:交換機配置VLAN配置網(wǎng)絡(luò)參數(shù)S1配置端口安全功能6.任務(wù)實施:交換機端口安全配置(四)操作步驟[S1]intg0/0/1[S1-GigabitEthernet0/0/1]port-securityenable//開啟端口安全功能[S1-GigabitEthernet0/0/1]port-securitymax-mac-num1//默認(rèn)為1[S1-GigabitEthernet0/0/1]port-securitymac-addresssticky

//將動態(tài)安全MAC轉(zhuǎn)換為StickyMAC[S1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown

//設(shè)置違例保護模式為shutdown[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]port-securityenable[S1-GigabitEthernet0/0/2]port-securitymac-addresssticky[S1-GigabitEthernet0/0/2]port-securityprotect-actionshutdown[S1-GigabitEthernet0/0/2]intg0/0/3[S1-GigabitEthernet0/0/3]port-securityenable[S1-GigabitEthernet0/0/3]port-securitymac-addresssticky[S1-GigabitEthernet0/0/3]port-securitymac-addresssticky5489-9809-79B1vlan10//手動添加StickyMAC[S1-GigabitEthernet0/0/3]port-securityprotect-actionshutdownS1配置:交換機配置VLAN配置網(wǎng)絡(luò)參數(shù)S1配置端口安全功能6.任務(wù)實施:交換機端口安全配置(五)實驗測試

StickyMAC信息查看[S1]dismac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9809-79b110--GE0/0/3sticky-5489-98c3-248710--GE0/0/1sticky-5489-987b-548710--GE0/0/2sticky--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=3

S1查看StickyMAC信息

連通性測試非信任終端接入G0/0/36.任務(wù)實施:交換機端口安全配置(五)實驗測試StickyMAC信息查看PC>ping10.0.0.1From10.0.0.1:bytes=32seq=1ttl=127time=62msFrom10.0.0.1:bytes=32seq=2ttl=127time=62ms......PC1ping服務(wù)器10.0.0.1連通性測試PC>ping10.0.0.1From10.0.0.1:bytes=32seq=1ttl=127time=125msFrom10.0.0.1:bytes=32seq=2ttl=127time=78ms......PC2ping服務(wù)器10.0.0.1PC>ping10.0.0.1From10.0.0.1:bytes=32seq=2ttl=127time=78msFrom10.0.0.1:bytes=32seq=3ttl=127time=63ms......PC3ping服務(wù)器10.0.0.1非信任終端接入G0/0/36.任務(wù)實施:交換機端口安全配置6.任務(wù)實施:交換機端口安全配置(五)實驗測試StickyMAC信息查看PC>ping10.0.0.1Ping10.0.0.1:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---10.0.0.1pingstatistics---5pac

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論