任務(wù)17配置接入交換機(jī)安全-保障終端計(jì)算機(jī)安全接入教學(xué)教材

任務(wù)17配置接入交換機(jī)端口安全，保障終端計(jì)算機(jī)接入安全《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)》目錄一、任務(wù)描述 二、任務(wù)分析 三、知識(shí)準(zhǔn)備 17.1保護(hù)終端設(shè)備接入安全 17.2什么是交換機(jī)端口安全 17.3交換機(jī)安全端口安全技術(shù) 17.4配置端口最大連接數(shù) 17.5綁定交換機(jī)端口安全地址 四、任務(wù)實(shí)施 17.6綜合實(shí)訓(xùn)：配置接入交換機(jī)端口安全，保障終端計(jì)算機(jī)接入安全 知識(shí)拓展認(rèn)證測試

任務(wù)描述浙江科技工程學(xué)校多媒體實(shí)訓(xùn)中心機(jī)房，學(xué)生在上課期間使用U盤復(fù)制資料，經(jīng)常造成了機(jī)房病毒的傳播，特別是ARP病毒的攻擊，經(jīng)常造成全校的網(wǎng)絡(luò)中斷現(xiàn)象發(fā)生。為了避免各個(gè)多媒體教室計(jì)算機(jī)的ARP等病毒傳播，學(xué)校的網(wǎng)絡(luò)中心通過實(shí)施接入交換機(jī)的端口地址捆綁安全，防范接入設(shè)備的安全。。知識(shí)準(zhǔn)備17.1保護(hù)終端設(shè)備接入安全。交換機(jī)的端口安全是工作在交換機(jī)二層端口上一個(gè)安全特性，它主要有以下功能：只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，防止非法或未授權(quán)設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。知識(shí)準(zhǔn)備17.2什么是交換機(jī)端口安全。利用端口安全這個(gè)特性，可以實(shí)現(xiàn)網(wǎng)絡(luò)接入安全，通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP（可選），實(shí)現(xiàn)控制對(duì)該端口的輸入。為端口配置一些安全地址后，除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其他任何數(shù)據(jù)。此外，還可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站（其地址為配置的安全地址）將獨(dú)享該端口的全部帶寬。知識(shí)準(zhǔn)備17.3交換機(jī)安全端口安全技術(shù)。為了增強(qiáng)網(wǎng)絡(luò)的安全性，還可以將MAC地址和IP地址綁定起來，作為安全接入的地址，實(shí)施更為嚴(yán)格的訪問限制，當(dāng)然也可以只綁定其中一個(gè)地址，如只綁定MAC地址而不綁定IP地址，或者相反。知識(shí)準(zhǔn)備17.3交換機(jī)安全端口安全技術(shù)。2、配置端口安全地址個(gè)數(shù)交換機(jī)的端口安全功能還表現(xiàn)在，可以限制一個(gè)端口上能連接安全地址的最多個(gè)數(shù)。如果一個(gè)端口被配置為安全端口，配置有最多的安全地址的連接數(shù)量，當(dāng)連接的安全地址的數(shù)目達(dá)到允許的最多個(gè)數(shù)，或者該端口收到一個(gè)源地址不屬于該端口上的安全地址時(shí)，交換機(jī)將產(chǎn)生一個(gè)安全違例通知。知識(shí)準(zhǔn)備17.3交換機(jī)安全端口安全技術(shù)。3、端口安全檢查過程當(dāng)一個(gè)端口被配置成為一個(gè)安全端口后，交換機(jī)不僅將檢查從此端口接收到幀的源MAC地址，還檢查該端口上配置的允許通過最多安全地址個(gè)數(shù)。如果安全地址數(shù)沒有超過配置最大值，交換機(jī)還將檢查安全地址表。若此幀源MAC地址沒有被包含在安全地址表中，那么交換機(jī)將自動(dòng)學(xué)習(xí)此MAC地址，并將它加入到安全地址表中，標(biāo)記為安全地址，進(jìn)行后續(xù)轉(zhuǎn)發(fā)；若幀的源MAC地址已經(jīng)存在于安全地址表中，那么交換機(jī)將直接轉(zhuǎn)發(fā)該幀。知識(shí)準(zhǔn)備17.4配置端口最大連接數(shù)。要想使交換機(jī)的端口成為一個(gè)安全端口，需要在端口模式下，啟用端口安全特性：Switch(config-if)#switchportport-security

當(dāng)交換機(jī)端口上所連接安全地址數(shù)目，達(dá)到允許的最多個(gè)數(shù)，交換機(jī)將產(chǎn)生一個(gè)安全違例通知。啟用端口端口安全特性后，使用如下命令為端口配置允許最多的安全地址數(shù)：Switch(config-if)#switchportport-securitymaximumnumber默認(rèn)情況下，端口的最多安全地址個(gè)數(shù)為128個(gè)。

知識(shí)準(zhǔn)備17.4配置端口最大連接數(shù)。當(dāng)安全違例產(chǎn)生后，可以設(shè)置交換機(jī)，針對(duì)不同的網(wǎng)絡(luò)安全需求，采用不同安全違例的處理模式，其中：Protect：當(dāng)所連接端口通過安全地址，達(dá)到最大的安全地址個(gè)數(shù)后，安全端口將丟棄其余未知名地址（不是該端口的安全地址中任何一個(gè)）數(shù)據(jù)包，但交換機(jī)將不作出任何通知以報(bào)告違規(guī)的產(chǎn)生。RestrictTrap：當(dāng)安全端口產(chǎn)生違例事件后，交換機(jī)不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個(gè)SNMPTrap報(bào)文，等候處理。Shutdown：當(dāng)安全端口產(chǎn)生違例事件后，交換機(jī)將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個(gè)SNMPTrap報(bào)文，而且將端口關(guān)閉，端口將進(jìn)入“err-disabled”狀態(tài)，之后端口將不再接收任何數(shù)據(jù)幀。

知識(shí)準(zhǔn)備17.4配置端口最大連接數(shù)。在特權(quán)模式下，通過以下步驟，配置安全端口和違例處理方式。switchportport-security!打開接口的端口安全功能。switchportport-securitymaximumvalue!設(shè)置接口上安全地址最多個(gè)數(shù)，范圍是1－128，默認(rèn)值為128。switchportport-securityviolation{protect|restrict|shutdown}!設(shè)置接口違例方式，當(dāng)接口因?yàn)檫`例而被關(guān)閉后選擇方式。

知識(shí)準(zhǔn)備17.5綁定交換機(jī)端口安全地址。在交換機(jī)上配置端口安全地址的綁定操作，通過以下命令和步驟手工配置。Switchportport-securitymac-addressmac-address[ip-addressip-address]!手工配置接口上的安全地址。Switch(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1!配置端口的安全MAC地址。Switchportport-securitymaximum1!限制此端口允許通過MAC地址數(shù)為1。

任務(wù)實(shí)施【網(wǎng)絡(luò)場景】如圖所示網(wǎng)絡(luò)場景是浙江科技工程學(xué)校多媒體實(shí)訓(xùn)中心機(jī)房，由于學(xué)生在上課期間使用U盤復(fù)制資料，經(jīng)常造成了機(jī)房病毒的傳播。為了避免各個(gè)多媒體教室計(jì)算機(jī)ARP等病毒傳播，學(xué)校網(wǎng)絡(luò)中心通過實(shí)施接入交換機(jī)的端口地址捆綁安全，設(shè)置最多地址個(gè)數(shù)為1，設(shè)置安全違例方式為protect，防范接入設(shè)備的安全。任務(wù)實(shí)施【設(shè)備清單】：交換機(jī)（1臺(tái)）、計(jì)算機(jī)（2臺(tái)）、網(wǎng)線（若干）?！緦?shí)施過程】1、配置接入交換機(jī)的安全端口