《网络设备安装与调试（锐捷版）》项目6 配置网络安全技术

项目6：配置网络安全技术《网络设备安装与调试》一期建设完成的北京延庆某中心小学校园网采用三层架构部署，使用高性能的交换机连接，保障网络的稳定性，实现校园网的高速传输。为保障中心小学校园网在使用的过程中，需要校园网的接入设备上实施接入端口安全防范；在核心网络中实施访问控制安全，避免遭受网络安全事件发生，如图6-1-1所示。项目背景目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务1配置网络设备登录安全6.1.1配置交换机控制台密码交换机和路由器设备默认没有控制台密码，用户可以直接登录，可通过以下方式给交换机设置密码。设置了密码后，用户登录交换机时，需要先输入密码才能进入用户模式。一般还会设置特权密码，这样用户从用户模式到特权模式时还需要输入密码。6.1.2配置路由器控制台密码1．设置路由器控制台密码目前，锐捷路由器及交换机设备使用的操作系统都是RGOS。因此，路由器设置控制台密码的方法与交换机基本一致，即在控制台模式下配置密码。2．设置控制台超时时间管理员配置设备时，如果已经登录到设备上，若管理员离开计算机后有外人靠近计算机对网络设备进行配置，则可能会出现问题。因此网络中的用户需要给控制台设置超时时间，也就是说，在一段时间没有配置网络设备的会自动退出，如果需要配置，则需再次输入密码。【综合实训1】：配置控制台密码【综合实训1】：配置控制台密码【综合实训1】：配置控制台密码目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务2配置交换机端口安全6.2.1配置交换机端口安全1．端口安全

网络中的交换机有端口安全功能，利用端口安全这个特性，可以实现网络接入安全，可以通过限制允许访问交换机上某个端口的MAC地址，以及IP地址（可选），来实现严格控制对该端口的输入。当为安全端口打开了端口安全功能，并配置了一些安全地址后，除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。6.2.1配置交换机端口安全如果一个端口被配置为安全端口，当其安全地址的数目已经达到允许的最大个数后，当该端口收到一个源地址，不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例产生时，可以选择多种方式来处理违例，如丢弃接收到的数据包、发送违例通知或关闭相应端口等。当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址。使用接口配置模式下的命令“switchportport-securitymac-addressmac-address[ip-addressip-address]”，来手工配置端口的所有安全地址。6.2.1配置交换机端口安全2．端口安全违例端口安全主要有以下两种作用。Ø 限制交换机端口能接入的最大主机数。Ø 根据需要针对端口绑定用户地址。当用户发出不符合交换机端口安全的数据时，交换机会进行违例处理，方法如下。Ø Protect：当安全地址个数满后，安全端口将丢弃所有新接入的用户数据流。该处理模式为默认的对违例的处理模式。Ø Restrict：当违例产生时，将发送一个Trap通知。Ø Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。6.2.1配置交换机端口安全3．配置端口安全（1）开启端口安全。Switch(config-if-FastEthernet0/1)#switchportport-security（2）配置安全策略。其中一个方式是配置最大安全地址数。Switch(config-if-FastEthernet0/1)#switchportport-securitymaximumnumber一个千兆接口上最多支持120个同时申明IP地址和MAC地址的安全地址。（3）绑定用户信息。针对端口进行MAC地址绑定（只绑定并检查二层源MAC）：Switch(config-if-FastEthernet0/1)#switchportport-securitymac-addressmac-addressvlanvlan-id6.2.1配置交换机端口安全3．配置端口安全针对端口绑定IP（只绑定并检查源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingip-address针对端口绑定IP+MAC（绑定并检查源MAC和源IP）：Switch(config-if-FastEthernet0/1)#switchportport-securitybindingmac-addressvlanvlan-idip-address6.2.1配置交换机端口安全4.设置违例方式。Switch(config-if-FastEthernet0/1)#switchportport-securityviolation{protect|restrict|shutdown}如果上述违例方式设为shutdown且出现违例后，要恢复端口的操作，即：Switch(config)#errdisablerecovery备注：关于端口和接口区别：接口主要为设备的物理口，例如：Fa0/1或Gi0/1；而端口的表现范围更加广泛，不仅仅包括物理接口，还包括虚拟的口，例如：vlan10或loopback0等。6.2.2配置交换机保护端口安全在将某些端口设为保护口之后，保护口之间无法互相通信，保护口与非保护口之间已经可以正常通信。如图所示。6.2.2配置交换机保护端口安全在接口下将其配置为保护口：switch(config-if-FastEthernet0/1)#switchportprotected查看信息的命令如下：switch#showinterfacesswitchport

6.2.3配置交换机镜像端口安全端口镜像主要用于监控，主要是把交换机一个或多个端口的数据镜像到另一个端口的方法。也就是说，交换机把某一个端口接收或发送的数据帧完全相同地复制给另一个端口。其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口。镜像是将交换机某个端口的流量复制到另一个端口（镜像端口），并进行监测。

6.2.3配置交换机镜像端口安全交换机的镜像技术是将交换机某个端口的数据流量，复制到另一个端口（镜像端口）进行监测的安全防范技术。大多数交换机支持镜像技术，称为Mirroring或Spanning，默认情况下交换机上的这种功能是被屏蔽的。通过配置交换机端口镜像，允许管理人员设置监视管理端口，监视被监视的端口的数据流量，将复制到镜像端口的数据通过PC上安装的网络分析软件进行查看。通过对捕获到的数据进行分析，可以实时查看被监视端口的情况。如图6-2-3所示场景。

6.2.3配置交换机镜像端口安全大多数交换机支持镜像技术，这可以方便地对交换机进行故障诊断。通过分析故障交换机的数据包信息，了解故障的原因。这种通过一台交换机监控同网络中另一台的过程，称之为“Mirroring”或“Spanning”。如图所示场景。6.2.3配置交换机镜像端口安全大多数交换机支持镜像技术，这可以方便地对交换机进行故障诊断。通过分析故障交换机的数据包信息，了解故障的原因。这种通过一台交换机监控同网络中另一台的过程，称之为“Mirroring”或“Spanning”。如图所示场景。（1）配置源端口。switch(config)#monitorsessionsessionsourceinterfacexx（2）配置镜像目的端口。switch(config)#monitorsessionsessiondestinationinterfacexxswitch

【综合实训2】：配置交换机端口安全网络场景如图所示，两个房间的用户接到Switch的Fa0/1和Fa0/2口，其中一个房间由于用户过多，所以使用Hub进行连接。正常情况下，PC1和PC2可以通信。为保证网络安全，要求Fa0/1下不能超过10个用户，特别要求在Fa0/2下必须使用PC2连接且PC2的IP地址为，MAC地址为00-1b-b3-02-12-18。如果出现问题，则将接口直接关闭。【综合实训2】：配置交换机端口安全1．配置Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intfa0/1switch(config-if-FastEthernet0/1)#switchportport-security！开启端口安全功能switch(config-if-FastEthernet0/1)#switchportport-securitymaximum10！端口下最多学习10个MAC地址switch(config-if-FastEthernet

0/1)#switchport

port-security

violationshutdown

！出现问题时，将接口关闭switch(config-if-FastEthernet0/1)#exit【综合实训2】：配置交换机端口安全switch(config)#intfa0/2switch(config-if-FastEthernet0/2)#switchportport-security！开启端口安全switch(config-if-FastEthernet0/2)#switchportport-securitybinding001b.b302.1218vlan1！端口绑定上网用户的MAC地址、IP地址、VLAN等switch(config-if-FastEthernet0/2)#switchportport-securityviolationshutdown

！出现问题时，将接口关闭switch(config-if-FastEthernet0/2)#exit【综合实训2】：配置交换机端口安全2．验证（1）在交换机Fa0/1口下连接超过10台PC，则超出限制的PC无法连接到网络。（2）将Fa0/2口下的PC换成其它PC或修改该PC的IP地址，则该PC无法连接到网络。（3）如果出现PC数量超过限制数量或修改地址的情况，则该接口被关闭。【综合实训3】：配置交换机保护端口网络场景如图所示，PC1和PC2连接在交换机的Fa0/1和Fa0/2口，Server连接在Gi0/25口。要求两台PC都能访问服务器但两台PC不能互访。【综合实训3】：配置交换机保护端口1．配置交换机Ruijie#configRuijie(config)#hostnameswitchswitch(config)#intrangefa0/1-2switch(config-if-range)#switchportprotected！Fa0/1和Fa0/2口配置为保护端口switch(config-if-range)#exit【综合实训3】：配置交换机保护端口2．验证（1）PC1和PC2不能通信，但PC可以和服务器通信。（2）查看信息，如图所示。【综合实训】：配置交换机端口镜像网络场景如图所示，PC1和PC2连接在交换机的Fa0/1和Fa0/2口，Server连接在Gi0/25口。其中PC2为管理员，目前要求管理员可以看到PC1的所有上网信息。【综合实训】：配置交换机端口镜像1．配置端口镜像Ruijie#configRuijie(config)#hostnameswitchswitch(config)#monitorsession1sourceinterfa0/1！设置镜像源端口switch(config)#monitorsession1destintfa0/2switch！设置镜像目的端口备注：若镜像目的端口加“switch”参数，则在查看其它端口数据的过程中其也可以上网。【综合实训】：配置交换机端口镜像2．验证在PC2上开启抓包软件，在PC1上访问服务器，则PC1的数据PC2也能收到。目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务3配置编号访问控制列表安全6.3.1配置标准访问控制列表访问控制列表提供了一种机制，它可以控制和过滤通过路由器或交换机的不同接口，去往不同方向的信息流。这种机制允许用户使用访问控制列表来管理信息流，以制定内部网络的相关策略。通过ACL可以限制网络中的通信数据类型及网络的使用者。ACL在数据流通过路由器或交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件决定是允许（Permit）其通过还是丢弃（Deny）。6.3.1配置标准访问控制列表2．访问控制列表ACL最直接的功能便是包过滤。通过访问控制列表可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流的过滤。过滤输入数据流的定义可以基于网络地址、TCP/UDP的应用等。IPACL安全技术简单地说就是数据包过滤技术。网络管理人员通过配置网络设备，来实施对网络中通过的数据包的过滤，从而实现对网络资源的安全访问控制。IPACL安全实施的内容是编制一张规则检查表，这张表中包含了很多简单指令规则，告诉设备哪些数据包可以接收，哪些数据包需要被拒绝。6.3.1配置标准访问控制列表3．ACL的类型

最为常见的IPACL使用编号来进行区分，一般可以分为两类：标准访问控制列表（StandardACL）和扩展访问控制列表（ExtendedACL）。在规则中使用不同的编号区别它们，其中标准访问控制列表的编号取值范围为1～99；扩展访问控制列表的编号取值范围为100～199。6.3.1配置标准访问控制列表4．ACL组成一个ACL由一系列的表项组成，ACL中的每个表项称之为存取控制项（AccessControlEntry，ACE），主要的动作为允许和拒绝；主要的应用方法是入栈（In）应用和出栈（Out）应用，如图所示。6.3.1配置标准访问控制列表5．部署标准ACL标准ACL，只检查收到的IP数据包中的源IP地址信息，以控制网络中数据包的流向。在安全设施的过程中，如果要阻止来自某一特定网络中的所有通信流，或者允许来自某一特定网络的所有通信流，可以使用标准访问控制列表来实现。

在编制标准IPACL规则时，使用编号1～99，区别同一设备不同的IPACL列表条数。6.3.1配置标准访问控制列表5．部署标准ACL在编制标准IPACL规则时，使用编号1～99，区别同一设备不同的IPACL列表条数。（1）配置标准ACL。ruijie(config)#access-listnumber{deny|permit}

源地址（2）将ACL应用到接口。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.2配置扩展访问控制列表基于编号的扩展访问控制列表的重要特征如下：通过编号100～199来区别不同的IPACL；不仅检查数据包源IP地址，还检查数据包中目的IP地址、源端口、目的端口、建立连接和IP优先级等特征信息。数据包在通过网络设备时，设备解析IP数据包中的多种类型信息特征，对匹配成功的数据包采取拒绝或允许操作。6.3.2配置扩展访问控制列表和标准ACL相比，扩展ACL也存在一些缺点：配置管理难度加大，考虑不周容易限制正常访问；扩展ACL会消耗路由器更多的CPU资源。所以，中低档路由器进行网络连接时，应尽量减少扩展ACL条数，以提高工作效率。6.3.2配置扩展访问控制列表（1）配置ACL。ruijie(config)#access-listnumber{deny|permit}

协议源地址[eq源端口]目的地址[eq目的端口]（2）调用。ruijie(config)#interfaceinterface-idruijie(config-if-FastEthernet0/1)#ipaccess-groupnumber{int|out}6.3.3配置时间访问控制列表基于时间的IPACL，对于编号IPACL和名称IPACL均适用。实现所配置的ACL只在一个特定的时间段内生效，如在办公时间（9:00～18:00）只允许访问Web网页，其它应用则被禁止。除了办公时间外，任何网络应用都可以使用。这时需要配置基于时间的ACL，再将时间信息调用到相关ACE条目上。6.3.3配置时间访问控制列表创建基于时间的IPACL，需要依据两个要点：使用参数time-range定义一个时间段；编制编号IPACL或者名称IPACL，再将IPACL规则和时间段结合起来应用。ACL需要和时间段结合起来应用，即基于时间的ACL。事实上，基于时间的ACL只是在ACL规则后，使用time-range选项为此规则指定一个时间段，只有在此时间范围内，此规则才会生效，各类ACL规则均可以使用时间段。时间段可分为三种类型：绝对（Absolute）时间段、周期（periodic）时间段和混合时间段。6.3.3配置时间访问控制列表绝对时间段：表示一个时间范围，即从某时刻开始到某时刻结束，如1月5日早晨8点到3月6日早晨8点。周期时间段：表示一个时间周期，如每天早晨8点到晚上6点，或每周一到每周五的早晨8点到晚上6点。混合时间段：可以将绝对时间段与周期时间段结合起来，称为混合时间段，如1月5日到3月6日每周一至周五早晨8点到晚上6点。6.3.3配置时间访问控制列表（1）正确配置设备时间。ruijie#clocksetXX:XX:XXmouthdayyear（2）定义时间段。ruijie(config)#time-rangenameruijie(config-time-range)#periodic时间段（3）为ACL中特定ACE关联定义好的时间段。ruijie(config)#access-listnumber{deny|permit}

条件time-rangename【综合实训4】：配置编号标准访问控制列表网络场景

如图所示，PCA连接在路由器的Fa0/1口，PCB连接在路由器的Fa0/2口。PCA的IP地址为/24，PCB的IP地址是/24。路由器Fa0/1口IP地址为54/24，充当PCA的网关；路由器Fa0/2口IP地址为54/24，充当PCB的网关。正常情况下，两台PC可以通信，要求PCA和PCB不能通信，但PCA换成同网段其它设备时可以和PCB通信。【综合实训4】：配置编号标准访问控制列表1．配置交换机的IP地址Ruijie#configRuijie(config)#hostnamerouterrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaddress54router(config-if-FastEthernet0/1)#exitrouter(config)#intfa0/2router(config-if-FastEthernet0/2)#ipaddress54router(config-if-FastEthernet0/2)#exitrouter(config)#【综合实训4】：配置编号标准访问控制列表2．配置编号标准访问控制列表router(config)#access-list1denyhost！该表不允许源地址为的数据通过router(config)#access-list1permit55

！但允许/24其它地址数据通过备注：该ACL可以配置多条规则，但标号要相同。【综合实训4】：配置编号标准访问控制列表3．部署ACLrouter(config)#intfa0/1router(config-if-FastEthernet0/1)#ipaccess-group1in！将访问控制列表用到F0/1口的入方向router(config-if-FastEthernet0/1)#exit备注：可调用到Fa0/2的out方向。4．验证PC1不能Ping通PC2，但将PC1的IP地址变为后可以和PC2通信。【综合实训5】：配置标准访问控制列表网络场景如图所示，PC1、PC2和PC3连接在交换机Fa0/1、Fa0/2和Fa0/3口上。其中，PC1的IP地址为/24，PC2的IP地址为/24，PC3的IP地址为/24。保证PC1和PC3不能通信，PC2和PC3可以通信，PC1和PC2可以通信。【综合实训5】：配置标准访问控制列表1．配置访问控制列表Ruijie(config)#hostnameswitchswitch(config)#access-list101denyiphosthostswitch(config)#access-list101permitiphosthostswitch(config)#备注：可简化配置，即配置“permitiphosthost”实现该功能。【综合实训5】：配置标准访问控制列表2．应用到Fa0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group101in3．验证PC1不能和PC3通信、PC1可以和PC2通信、PC2可以和PC3通信。【综合实训6】：配置时间访问控制列表网络场景如图所示，PC1、PC2连接在交换机Fa0/1、Fa0/2口上。PC1的IP地址为/24，PC2的IP地址为/24。每天上午9:00～12:00两个用户可以通信，其它时间不能通信。【综合实训6】：配置时间访问控制列表1．配置计算机的IP地址按图配置PC的IP地址。2．配置时间段Ruijie#configRuijie(config)#hostnameswitchswitch(config)#time-rangedingxiligongxuexiaoswitch(config-time-range)#periodicweekdays9:00to12:00switch(config-time-range)#exit【综合实训6】：配置时间访问控制列表3．配置访问控制列表switch(config)#access-list1permithosttime-rangedingxiligongxuexiao4．应用到F0/1的in方向switch(config)#intfa0/1switch(config-if-FastEthernet0/1)#ipaccess-group1in备注：需要先保证时间正确。4．验证在规定时间内PC1可以Ping通PC2。目录Contents任务1：配置网络设备登录安全。任务2：配置交换机端口安全。任务3：配置编号访问控制列表安全任务4：配置名称访问控制列表安全任务4配置名称访问控制列表安全6.4.1配置标准名称访问控制列表安全1．概述基于编号的ACL是访问控制列表发展早期应用最为广泛的技术之一。其中，标准的IPACL使用数字编号1～99和1300～1999；扩展IPACL使用数字编号100～199和2000～2699。但使用编号IPACL不容易识别，数字编号不容易区分，有耗尽的可能，特别是基于编号的IPACL在修改上非常不方便。近些年来，随着设备的性能改善以及技术的进步，基于名称的IPACL应运而生，基于名称的IPACL在技术开发上避免了以上基于编号的IPACL在应用上的不足。6.4.1配置标准名称访问控制列表安全2．基于名称的访问控制列表规则基于名称的IPACL在规则编辑上使用了一组字符串，来标识编制完成的安全规则，具有“见名识意”的效果，方便了网络管理人员管理。除了命名，以及在编写规则的语法上稍有不同外，其它诸如检查的元素、默认的规则等都与编号的访问控制列表相同。6.4.1配置标准名称访问控制列表安全3．配置方案创建名称IPACL与编号IPACL的语法命令不同，名称IPACL使用ipaccess-list命令开头。在配置标准ACL时，可使用编号来命名ACL。为了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL时写法如下。ruijie(config)#ipaccess-liststandardname

！创建IP的标准访问控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置标准名称访问控制列表安全3．配置方案创建名称IPACL与编号IPACL的语法命令不同，名称IPACL使用ipaccess-list命令开头。在配置标准ACL时，可使用编号来命名ACL。为了表明ACL的作用，也可以用字母表示ACL。使用字母表示ACL时写法如下。ruijie(config)#ipaccess-liststandardname

！创建IP的标准访问控制列表ruijie(config-acl)#{deny|permit}

源地址

！在列表中配置ACE6.4.1配置标准名称访问控制列表安全3．配置方案创建名称IPACL与编号IPACL命令不同，名称IPACL使用ipaccess-list开头。配置标准ACL时，可使用编号来命名ACL。为了表明ACL作用，也可以用字母表示ACL。在接口模式中，应用名称IPACL与应用编号IPACL的方法和命令一样，只是此处将编号替换为名称“name”了。Router(config)#ipaccess-groupname{in|out}！name表示ACL名称，与之前创建的ACL名称要保持一致6.4.2配置扩展名称访问控制列表安全使用“ipaccess-listextended”命令建立命名的扩展ACL，后面跟ACL名称，执行该命令时，进入子配置模式，输入permit或deny语句，其语法和编号的ACL相同，并且支持相同的选项。如果使用字母表示ACL，其写法如下。ruijie(config)#ipaccess-listextendedname

！创建IP扩展访问控制列表ruijie(config-acl)#{deny|permit}

协议源地址[