模块三任务3(端口安全)

模块三优化网络任务3端口安全任务引入1任务分析2任务实施3小结与练习4任务引入

最近网络管理员发现了一个新的问题，就是有员工私自将自己部门的计算机搬到别的部门去使用或带自己的笔记本电脑随意使用公司的网络，这样使得之前所做的网络规划，失去了原有的意义，使得财务部和经理室的资料得不到安全保证。网络管理员决定使用端口安全的方法，彻底解决公司内部各项数据安全性的问题。网络简单拓扑结构如图所示。任务分析可能有人认为既然已经划分了VLAN，使得各部门之间无法直接通信，可以说已经很好地保证了公司资料的安全。可以设想一下，如果有人对公司财务部的账目资料很感兴趣，同时公司的安全意识不强烈的话，他只需要随便带一台计算机接入财务部的VLAN，那么根据同一个VLAN间可以直接访问的特性，所有财务部的资料对他来说都是开放的。而这时只需要把财务部的十一台计算机与交换机S7中的FA0/10—FA0/20端口进行安全绑定，那么其他计算机就无法在财务部门使用。这能最大程度上保证公司数据的安全。相关知识一、端口安全交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机的端口安全主要有两种类型：一是限制交换机端口的最大连入数，二是针对交换端口进行MAC地址、IP地址的绑定。交换机端口的地址绑定，可以针对MAC地址、IP地址、IP+MAC地址进行灵活的绑定。可以实现对用户的严格控制，保证用户的安全接入和防止常见的内网网络攻击。配置了交换机端口安全后，当实际应用超出配置要求时，将会产生一个安全违例，有以下三种：1.protect当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。2.restrict当违例产生时，将发送一个通知Trap。3.shutdown当违例产生时，将关闭端口并发送一个通知。当端口因为安全违例而被关闭后，在全局模式下使用errdisablerecovery命令将端口错误恢复。二、管理MAC地址表可以使用如下命令来查看MAC地址表里的信息，命令格式如下：Switch#show

mac-address-table也可以使用如下命令来手动清空MAC地址表，命令格式如下：Switch#clear

mac-address-table可以手动地添加一条MAC地址与端口的映射到MAC地址表。通过使用静态MAC地址，可以达到以下好处：1.使该MAC地址不会因为超时而被自动清除。2.一台工作站必须连接在交换机的某一个端口上，而且MAC地址是网络里的主机众所周知的。3.增加安全性。可以使用如下命令在MAC地址表里添加一条静态MAC地址。Switch(config)#mac-address-tablestatic<mac-addresssofhost>interfacefastenthernet<interfacenumber>vlan<vlannumber>。在该命令前加“no”可以从MAC地址表里删除配置的静态MAC地址。任务实施此任务以交换机S7为例，其它交换机参照实施。步骤1：配置交换机S7端口的最大连接数限制。S7#configureterminal！进入全局配置模式S7（config）#interfacerangefa0/10-20！进入一组的端口配置模式S7（config-if-range）#switchportport-security！开启交换机的端口安全功能S7（config-if-range）#switchportport-securitymaximm1！配置端口的最大连接数为1S7（config-if-range）#switchportport-securityviolationshutdown！配置安全违例为shutdown步骤2：验证交换机S7的端口安全配置。此截图中，可以看出MaxSecureAddr的值都为1，其表示为最大连入数为1。SecurityAction的值为shutdown，表示当违例时，都是关闭端口步骤3：配置交换机S7端口的地址绑定。先查看主机的IP和MAC地址信息然后配置交换机S7端口的地址绑定。S7#configureterminal！进入全局配置模式S7（config）#interfacefa0/10！进入端口配置模式S7（config-if-range）#switchportport-security！开启交换机的端口安全功能S7（config-if-range）#switchportport-securitymac-address0024.7e10.ea91！配置MAC地址的绑定！此配置中所使用的MAC地址为笔者做实验时所用计算机的MAC地址，学生们做实验时请根据实际情况加以更换。步骤4：利用步骤3的方法，将其他端口分别与主机的MAC地址进行绑定。步骤5：验证交换机S7的地址安全绑定。步骤6：测试换用一台非绑定计算机，测试其端口状态如下：通过上面的任务实施步骤，可以很清楚地看到，将交换机的端口和计算机的MAC地址进行绑定，并且设定安全违例处置方法，可以有效地对局域网内的计算机进行管理。任务小结从网络管理的安全性考虑，某企业网络管理员可以对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。课堂练习一、选择1.交换机端口安全主要有哪些类型？（）A.限制最大连入数B.划分虚拟局域网C.对端口进行MAC地址和IP地址的绑定D.A和C2.switch(config-if)#是（）模式。A.用户B.特权C.接口配置D.全局3.交换机不可能将所有的MAC地址都加入到MAC地址表中，是因为受到（）限制。A.COMB.CMDC.CAM