中职的培训网络路由交换技术应用三

1、中职的培训网络路由交换技术应用三本讲内容交换机端口安全IP访问控制列表NAT技术课程议题交换机端口安全交换机端口安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定交换机端口安全安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端

2、口的安全地址中的任何一个）的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知配置安全端口 端口安全最大连接数配置switchport port-security ！打开该接口的端口安全功能switchport port-security maximum value！设置接口上安全地址的最大个数，范围是1128，缺省值为128switchport port-security violationprotect|restrict |shutdown！设置处理违例的方式注意： 1、端口安全功能只能在access端口上进行配置。 2

3、、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。配置安全端口端口的安全地址绑定switchport port-security ！打开该接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址注意： 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置

4、最大地址个数为8，设置违例方式为protectSwitch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Sw

5、itch(config-if)# end案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-addres

6、s 00d0.f800.073c ip-address 02Switch(config-if)# endSwitch#show mac查看配置信息查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect查看安全地址信息Switch# show port-security address Vlan Mac Address IP Address Type Port

7、Remaining Age(mins) - - - - - - 1 00d0.f800.073c 02 Configured Fa0/3 8 1课程议题IP访问控制列表什么是访问列表IP Access-list：IP访问列表或访问控制列表，简称IP ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：1、标准访问控制列表2、扩展访问控制列表 访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（

8、in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUTIP ACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝” IP标准访问列表的配置1.定义标准ACL编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩

9、码命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in | out 标准IP ACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。 标准IP ACL配置示例R(config)# access-list 1 deny host IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit

10、/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Router(config-if)#ip access-group in | out 扩展IP ACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。 名称IP ACL配置示例Router(config)#access-list 100 permit ip any any 访问列表的验证显示

11、全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 接口名称 接口编号IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的AC

12、L都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段配置时间段配置时间段time-range time-range-name Router(config)#配置绝对时间absolute start time date end time date | end time date Router(config-time-range)#start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年” end time date：表示时间段的结束时间，格式与起始时间相同示例：absolute s

13、tart 08:00 1 Jan 2010 end 10:00 1 Feb 2010配置时间段（续）配置周期时间periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm Router(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到

14、周五weekend：表示周六到周日 daily：表示一周中的每一天示例：periodic weekdays 09:00 to 18:00配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！基于时间的ACL配置示例在上班时间（9：0018：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。 课程议题网络地址转换NATNAT实施NAT优点：节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，

15、无需要重新进行编址NAT缺点：NAT会增加延迟无法进行端到端的IP跟踪配置静态NAT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ip nat inside | outside 。第三步：使用全局命令ip nat inside source static local-ip interface interface | global-ip 配置静态转换条目。配置静态端口地址转换第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat inside | outside

16、 。第三步：使用全局命令ip nat inside source static tcp | udp local-ip local-port interface interface | global-ip global-port指定静态PAT条目。配置静态外部源地址转换 第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ip nat inside | outside 。第三步：使用全局命令ip nat outside source static global-ip local-ip指定静态转换条目。配置动态NAT第一步：

17、在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ip nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定义一个地址池，用于转换地址。配置动态NAT第五步：使用命令ip nat inside

18、 source list access-list-number interface interface | pool pool-name 将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。配置NAPT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ip nat pool pool-name start-

19、ip end-ip netmask netmask | prefix-length prefix-length 定义一个地址池，用于转换地址。第五步：使用命令ip nat inside source list access-list-number interface interface | pool pool-name 将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。 配置NAPT课程议题策略路由策略路由策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制，应用了策略路由，路由器将通过路由图决定如何对需要路由的数据进行处理，路由图决定了一个数据包的下一跳转发路由器。配置任务分为四个部分，定义重分布路由图，一个路由图