校园安全控制实验

1、实验三实验三 校园安全控制实验校园安全控制实验校园网安全控制校园网安全控制管理设备控制台安全管理设备控制台安全 网络安全概述网络安全概述交换机端口安全交换机端口安全 访问控制列表技术访问控制列表技术 端口安全概述端口安全概述端口安全配置与维护端口安全配置与维护标准访问控制列表标准访问控制列表扩展访问控制列表扩展访问控制列表命名访问控制列表命名访问控制列表校园安全控制实验校园安全控制实验1.端口安全概述端口安全概述 大部分网络攻击行为都采用欺骗源欺骗源IP或源源MAC地址地址的方法，对网络的进行连续的数据包攻击，如典型的ARP攻击、MAC攻击和DHCP攻击等。 这些针对交换机端口产生的攻击行为，

2、可以通过启用交换机端口安全功能特性交换机端口安全功能特性加以防范。校园安全控制实验校园安全控制实验校园安全控制实验校园安全控制实验MAC攻击攻击MAC地址：链路层唯一标识地址：链路层唯一标识 00.d0.f8. 00.07.3c前前3个字节：个字节：IEEE分配给网络设备制分配给网络设备制造厂商的造厂商的后后3个字节：网络设备制个字节：网络设备制造厂商自行分配的，不造厂商自行分配的，不重复，生产时写入设备重复，生产时写入设备 MAC地址表空间是有限，地址表空间是有限，MAC攻击会占满交换机地址表，使得攻击会占满交换机地址表，使得单播包单播包在交在交换机内部也变成换机内部也变成广播包广播包，向所

3、有端口转发，每个连在端口上客户端都可以收到，向所有端口转发，每个连在端口上客户端都可以收到该报文；交换机变成了一个该报文；交换机变成了一个Hub（网络集线器网络集线器），用户的信息传输也没有安全），用户的信息传输也没有安全保障了。保障了。校园安全控制实验校园安全控制实验端口安全配置方式：端口安全配置方式： 配置安全地址配置安全地址：当开启交换机端口安全功能并为交换机端口配置安全MAC地址，则这个端口将不转发除安全源MAC地址外的其他任何数据帧。 配置安全地址数配置安全地址数：交换机安全端口不仅可以配置安全MAC地址，也可以设置安全地址数目，也就是说，一个安全端口可以配置多个安全MAC地址。校园

4、安全控制实验校园安全控制实验 配置安全违例处理方式配置安全违例处理方式：当发生安全违规事件时，可以指定不同的处理方式。 配置老化时间和处理方式配置老化时间和处理方式：可以为安全端口设置老化时间和处理方式，可以清除长时间不活动的安全MAC地址。 将将IP地址绑定到地址绑定到MAC地址地址：可以在交换机上将IP地址绑定到MAC地址，以实现在特定端口上允许特定的IP终端接入。校园安全控制实验校园安全控制实验端口安全的配置和维护端口安全的配置和维护 配置安全端口的过程包括：配置安全端口的过程包括：启用端口安全，设置安全MAC地址的最大数量、配置安全地址、设置违例发生后的处理方式、配置老化时间和将MAC

5、地址与IP地址绑定等。 对于对于Cisco交换机，需要注意的是：交换机，需要注意的是： Cisco系列交换机可以做基于2层的端口安全，即MAC地址与端口进行绑定。 Cisco3550以上交换机均可做基于2层和3层的端口安全，即MAC地址与端口绑定以及MAC地址与IP地址绑定。校园安全控制实验校园安全控制实验交换机端口安全功能交换机端口安全功能 交换机的端口安全功能，防止网内部攻击交换机的端口安全功能，防止网内部攻击, 如如MAC地址攻地址攻击、击、ARP攻击、攻击、IP/MAC欺骗等。欺骗等。 交换机端口安全的基本功能交换机端口安全的基本功能 1、端口安全地址绑定, 解决网中IP地址冲突、AR

6、P欺骗 例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。 2、限制端口最大连接数 ，控制恶意扩展接入 例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。实验内容实验内容1 1 管理管理MACMAC地址表地址表观察交换机观察交换机MAC地址表地址表 Switch#show mac-address-table 检查交换机所学到的检查交换机所学到的MAC地址地址 Switch#clear mac-address-table 清除交换机清除交换机MAC地址表中的动态条目地址表中的动态条目添加与删除静态

7、添加与删除静态MAC地址地址 Switch#config terminal 进入全局配置模式进入全局配置模式 Switch(config)#mac-address-table ? 查看查看“mac-address-table”的命令子集的命令子集，并观察，并观察其命令子集的功能描述其命令子集的功能描述 Switch(config)#mac-address-table static 0000.f079.7ee8 vlan 1 interface fa0/6 为属于为属于VLAN1的交换机的交换机fa0/6端口添加静态端口添加静态MAC地地址为址为0000.f079.7ee8。 Switch(co

8、nfig)#no mac-address-table static 0000.f079.7ee8 interface fa0/6 vlan vlan1 删除属于删除属于VLAN1的交换机的交换机fa0/6端口的静态端口的静态MAC地地址址0000.f079.7ee8。Catalyst 2950Catalyst 2950端口绑定端口绑定MACMAC Switch#config t /进入配置模式进入配置模式 Switch(config)# int f0/1 /进入具体端口配置模式进入具体端口配置模式 Switch(config-if)#switchport mode access Switch(

9、config-if)#switchport port-security /配置配置端口安全模式端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的主机的MAC地址地址) /配置该端口要绑定配置该端口要绑定的主机的的主机的MAC地址地址 Switch(config-if )no switchport port-security mac-address MAC(主机的主机的MAC地址地址) /删除绑定删除绑定主机的主机的MAC地址地址 IP地址绑定地址绑定MAC地址地址 在在cisco交换机中为了防止交换机中为了

10、防止IP地址被盗地址被盗用或乱改用或乱改IP地址地址,可以将可以将IP与与MAC地址的绑地址的绑定，和定，和IP与交换机端口的绑定。与交换机端口的绑定。switch(config)#arp 192.168.1.2 0000.e268.9980 arpa /将将192.168.1.2 与与mac:0000.e268.9980 绑定绑定设置安全端口最大连接数设置安全端口最大连接数 可以通过可以通过MAC地址来限制端口流量。以下配置允许一接地址来限制端口流量。以下配置允许一接口最多通过口最多通过100个个MAC地址，超过地址，超过100时，来自新主机的时，来自新主机的数据帧将丢失。具体配置如下：数据

11、帧将丢失。具体配置如下： Switch#config terminal Switch(config)#in f0/1 Switch(config)#switchport mode access Switch(config-if)#switchport port-security maximum 100 / 允许通过的最大MAC地址数目为100 Switch(config-if)#switchport port-security violation protect / 当主机MAC地址数超过100时，交换机继续工作，但来自新主机的数据帧将丢失查看端口安全设置查看端口安全设置 在完成端口安全相关设

12、置后，可用下列命令查看在完成端口安全相关设置后，可用下列命令查看端口安全配置：端口安全配置： Switch#show port-security /查看哪些接口查看哪些接口启用了端口安全启用了端口安全 Switch#show port-security address /查看安查看安全端口全端口mac地址绑定关系地址绑定关系实验拓扑图：实验拓扑图：PC0：IP：192.168.1.2 PC1：IP:192.168.1.3 MAC：0001.C70B.A6C3 MAC：0001.4278.1C95如何查看如何查看MAC地址？地址？在命令提示符下输入：在命令提示符下输入：ipconfig /all

13、 回车回车Switch#config t Switch#config t /进入配置模式进入配置模式Switch(config)# int f0/2 Switch(config)# int f0/2 /进入具体端口配置模式进入具体端口配置模式Switch(config-if)#switchport mode accessSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security /配置配置端口安全模式端口

14、安全模式Switch(config-if )switchport port-security Switch(config-if )switchport port-security 0001.C70B.A6C3(0001.C70B.A6C3(主机的主机的MACMAC地址地址) ) /配置该端口要绑定的配置该端口要绑定的主机的主机的MACMAC地址地址Switch(config)# int f0/3 Switch(config)# int f0/3 /进入具体端口配置模式进入具体端口配置模式Switch(config-if)#switchport mode accessSwitch(config-

15、if)#switchport mode accessSwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security /配置配置端口安全模式端口安全模式Switch(config-if )switchport port-security Switch(config-if )switchport port-security 0001.4278.1C95(0001.4278.1C95(主机的主机的MACMAC地址地址) ) /配置该端口要绑定的配置该端口要绑定的主机的主机的MACMAC地址地址

16、分别将分别将PC0与与PC1相连的端口绑定相连的端口绑定MAC地址地址测试：测试：1. PC0 ping PC1,查看结果是否查看结果是否ping通。通。2. 将两台将两台PC机的端口交换，然后机的端口交换，然后PC0 ping PC1，查，查看结果是否看结果是否ping通。通。实验内容实验内容2 以太网通道聚合技术以太网通道聚合技术 在局域网组网中，时常用到交换机的在局域网组网中，时常用到交换机的级连级连，交换机的级连通常会涉及到通信瓶，交换机的级连通常会涉及到通信瓶颈的问题。如图所示：颈的问题。如图所示：瓶颈100M/1000M100M/1000M链路链路为了解决前面提到的通信瓶颈问题，可

17、以采用为了解决前面提到的通信瓶颈问题，可以采用链路聚链路聚合技术合技术来解决。来解决。链路聚合链路聚合就是把多条链路聚合成一条链路就是把多条链路聚合成一条链路进行管理，以实现高带宽通道的需求，同时也增加了可靠进行管理，以实现高带宽通道的需求，同时也增加了可靠性。性。Link1Link3Link2SW1SW2一条逻辑链路交换机之间物理链路交换机之间物理链路Link1、Link2和和Link3组成一条组成一条聚合链路。该聚合链路。该链路在链路在逻辑上是一个整体逻辑上是一个整体，合成一条链路，但这三条，合成一条链路，但这三条路又是路又是相互独立，互为备份相互独立，互为备份，其中的其中的 一条或是两条

18、链路断一条或是两条链路断开不会造成整个网络的中断，断开链路的数据会转移到其开不会造成整个网络的中断，断开链路的数据会转移到其它未断开的链路上它未断开的链路上。通道聚合的优点：通道聚合的优点： 提高链路可用性提高链路可用性 增加链路容量增加链路容量 价格便宜，提高网络性能价格便宜，提高网络性能 不需重新布线，也无须考虑千兆网令人头疼的传不需重新布线，也无须考虑千兆网令人头疼的传输距离极限输距离极限 可以捆绑任何相关的端口，也可以随时取消设置，可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性这样提供了很高的灵活性 可以提供负载均衡能力以及系统容错可以提供负载均衡能力以及系统容错

19、通道聚合的配置通道聚合的配置 设置通道聚合协商协议：设置通道聚合协商协议：Switch(config-if)#Channel-protocol lacp|pagpPAGP为Cisco专用技术，而LACP为IEEE 802.3ad中定义，为了保持不同设备的兼容性，推荐使用LACP。设置通道工作模式：设置通道工作模式：Switch(config-if)# Channel-group number modeon|off|desirable|auto|active|passive 如果希望用LACP处理通道，可以使用active（主动）和passive（被动）两种通道模式。 实例实例 配置以太网通道聚合配置以太网通道聚合 F0/23F0/23F0/24F0/24F0/1F0/1PC_APC_BS1S配置交换机配置交换机S1：S1(config-if)#interface range f0/23 - 24S1(config-if-range)#switchportS1(config-if-range)#channel