4.2 保护企业内部网络的访问安全

单元2网络综合布线系统设计单元1网络安全系统集成概述目录单元3网络工程设计单元5网络工程的实施与测试验收单元4网络系统安全设计单元6网络系统安全管理

某公司局域网内部采用如图所示的网络拓扑结构，假定你是该公司的一名网络安全管理员，请你规划网络安全措施，确保公司局域网内部网络设备的安全和网络访问安‍全。

任务场景

探究安全访问网络设备的主要技术措施。

探究增强局域网安全的措‍施。

任务布置

配置健壮的系统密码（1）配置密码考虑事项（2）配置安全访问端口密码4.2.1网络设备安全管理

1．端口安全防护技术端口安全特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址，并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。4.2.2内部网络安全机制

1．端口安全防护技术某企业采用如图 所示的网络拓扑结构，交换机连接集线器来扩展一个端口上接入用户终端的数量。为了解决这些攻击带来的危害，需要在接入层交换机上启用端口安全机制。4.2.2内部网络安全机制

1．端口安全防护技术（1）将交换机S1 的Fa0/1-3 端口配置为接入端‍口（2）端口安全参数配置（3）配置安全端口的安全地址（4）配置结果验‍证4.2.2内部网络安全机制

1．端口安全防护技术（1）将交换机S1 的Fa0/1-3 端口配置为接入端‍口（2）端口安全参数配置（3）配置安全端口的安全地址（4）配置结果验‍证4.2.2内部网络安全机制

2．DHCPSnooping如图所示的网络拓扑结构，Router 模拟一台合法的DHCP服务器，向用户PC动态分配IP地址。在交换机Switch 上规划了VLAN5，将端口Fa0/1、Fa0/2 和Fa0/3 划分至VLAN5 中。网络中模拟了一台攻击服务器接入Switch 的Fa0/3，将造成合法用户主机获取错误的IP地‍址。4.2.2内部网络安全机制

2．DHCPSnooping（1）网络基本配置（2）DHCP服务配置（3）验证用户PC获取的IP地址（4）配置DHCPSnooping

（5）配置结果验证4.2.2内部网络安全机制

2．DHCPSnooping（1）网络基本配置（2）DHCP服务配置（3）验证用户PC获取的IP地址（4）配置DHCPSnooping

（5）配置结果验证4.2.2内部网络安全机制

3．使用 802.1X实现安全访问控制如图所示的网络拓扑结构，接入层交换机SW支持 802.1X，RADIUSServer 实现用户的集中管理，管理员不必考虑用户连接到哪个端口上，因此将与RADIUS服务器相连的接口配置为非受控端口，以便SW能正常地与RADIUS服务器进行通信，使验证用户能通过该端口访问网络资源；将与用户PC相连的端口配置为受控端口，实现对用户的控制，用户必须通过验证后才能访问网络资‍源。4.2.2内部网络安全机制

3．使用 802.1X实现安全访问控制（1）配置接口IP地址和主机IP地址（2）升级交换机IOS（3）配置RADIUS服务器（4）在交换机上配置 802.1X

（5）验证配置结果4.2.2内部网络安全机制

SW(config)#aaanew-model //启用AAA功能SW(config)#radius-serverhost1.1.1.1auth-port1645key123456//配置RADIUS服务器的IP地址、设置认证端口与通信密‍钥SW(config)#aaaauthenticationdot1xdefaultgroupradius //使用默认的认证方法列表SW(config)#dot1xsystem-auth-control //启用系统认证控制命‍令SW(config)#intFa0/2 //选定Fa0/2 端口SW(config-if)#authenticationport-controlauto //启用 802.1X功能SW(config