路由与交换技术 第7章 网络安全接入管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
MEDICAL PRESENTATION
路由交换技术
第七章 网络安全接入管理
汇报人:千图网
目录
CONTENT
1 基于MAC地址绑定
的交换机端口安全
2 PVLAN技术
3 基于route-map的
多出口策略路由
4 PPPoE接入技术
本章要点
• 加强局域网的安全管理是一项重要的任务。本章主要介绍基于MAC地 址绑定的交换机端口安全、PVLAN技术、基于route-map的多出口策 略路由,以及PPPoE接入技术。
在动态绑定方式下,交换机会主动学习用户的MAC地址。当交换机断电重启、用户 更换计算机、网线重新拔插而导致交换机端口状态改变时,交换机将重新学习并更 新MAC地址表。 使用switchport port-security命令打开端口安全特性后,交换机就会自动进入MAC 地址动态绑定模式,因为这是交换机端口安全的默认方式。
5.最大MAC地址数
通过设置端口的最大MAC地址数,可以限制交换机每个端口接入计算机的数量。
命令格式:
switchport port-security maximum 数量 交换机可以在一个接入端口学习到多个MAC地址,如果向交换机的某个接口发送大量 的虚假源MAC地址的帧,这可能会导致MAC地址表被这些虚假的MAC地址填满,而 影响正常的通信,这是一种被称为MAC-address flood的二层Dos攻击。 如果给交换机端口设置一个可以学习到的最大MAC地址数量,就可以有效地防止这种 网络攻击。
7.1.2 惩罚措施
• 一旦某个端口下连接的计算机的MAC地址与绑定的MAC地址不符,或者某端口学习到的MAC
地址数量超过了设定值,将产生违规行为,交换机可以启用预先定义好的违规处理办法进行处
罚。违规处理的方式有以下几种:
Protect(保护):执行Protect惩罚措施将丢弃未允许的MAC地址数据帧,但不会创建日志消 息。
7.1 交换机端口安全
• 交换机端口安全主要是指根据MAC地址来对用户进行控制和管理,防止内部用 户IP地址借用、冒用,私自接入交换机等违规行为,同时防止来自内部的网络攻 击和破坏行为,从而提高网络的安全性和可靠性。
7.1.1 MAC地址绑定
• 把用户主机的MAC地址填写到交换机的MAC地址表中,交换机对端口接收到的数据 包进行检测,只允许本端口转发某个MAC地址的数据包,其他MAC地址发送的数据 包通过此端口时,交换机将启用预先配置好的违规处理策略进行处理,以此来防止未 经允许的用户访问网络,以增强网络的安全性。
7.1.3 交换机端口安全配置实例
• 例7.1 网络结构如图所示。
交换机端口安全特性配置示例
• S1是一台二层交换机,在交换机S1的f0/3端口下连接了一台Hub,这样交换机的f0/3端口就
可以学习到PC2、PC3和PC5的MAC地址。
(1)MAC地址静态绑定 首先查找PC0的MAC地址,假设为“0007.ECAA.D668”。 在交换机中输入以下命令,即可实现PC0的MAC地址静态绑定:
switchport port-security mac-address H.H.H
该命令不仅将端口与MAC地址的对应关系写入MAC地址表中,而且还会写入设备配置文件下次 重启交换机后依然有效。 通过静态绑定MAC地址的端口,如果用户更换了计算机或者更换了网卡,则需要网络管理员重 新进行绑定。
3.动态绑定
Restrict(限制):执行Restrict惩罚措施将丢弃未允许的MAC地址数据帧,创建日志消息并 发送SNMP Trap消息。 Shutdown(关闭):这是交换机端口安全的默认选项。执行Shutdown惩罚措施将关闭端口, 并将该端口置于err-disabled状态,创建日志消息并发送SNMP Trap消息。若要重新开启该端 口,需要先将该端口关闭,再打开该端口,或使用如下全局配置命令进行恢复: err-disable recovery psecure-violation 注:该命令在模拟环境下不能使用。
Switch(config)#interface f0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 0007.ECAA.D668 绑定以后,PC0可以ping通PC4,表明MAC地址绑定以后不影响正常的通信。 使用“show port-security address”命令查看端口安全情况。
பைடு நூலகம்
4.黏性绑定
在黏性绑定方式下,交换机首次会主动学习用户计算机的MAC地址,并与连接的端
口进行绑定,当端口状态再次改变时,该端口不再主动学习。命令格式:
switchport port-security mac-address sticky
如果将端口设置为黏性绑定,需要在执行上述命令后保存配置文件,这样它会把学习到的MAC 地址与端口的对应关系写入配置文件中,下次无论是重启交换机还是重启计算机,都不用再次学 习了。 采用黏性绑定方法可以一次性把全部MAC地址进行绑定,再保存一遍配置文件就可以了,省时 省力。
1.启用交换机端口安全特性
交换机在默认情况下没有打开端口安全管理特性,如果需要使用端口与MAC地址的绑定
功能,必须先打开端口安全,其命令格式为 switchport port-security
2.静态绑定
静态绑定是管理员通过手工方式将某个端口与某个MAC地址进行绑定,并加入MAC地址表中,
该端口不再主动学习用户的MAC地址。命令格式:
现在将PC0删除,重新添加一台PC终端,还是连接在f0/1端口,配置相同的IP地址。使用ping 命令再次从PC0访问 PC4,发现PC0无法ping通PC4,因为新的PC0的MAC地址和前一次的不 一样了,表明静态绑定有效。
(2)MAC地址黏性绑定
在交换机中输入以下命令:
Switch(config)#interface f0/2 Switch(config-if)#switchport mode access Switch(config-if)# switchport port-security Switchport port-security mac-address sticky 在PC1的命令窗口中,通过ping命令访问PC4,应该可以正常访问。 再用show run命令查看交换机的配置文件,发现端口f0/2黏性绑定了PC1的MAC地址。 将PC1删除,重新添加一台PC终端,连接到f0/2端口,配置与原先相同的IP地址,再测试PC1与 PC4的连通性,发现不能访问,表明黏性绑定成功。
路由交换技术
第七章 网络安全接入管理
汇报人:千图网
目录
CONTENT
1 基于MAC地址绑定
的交换机端口安全
2 PVLAN技术
3 基于route-map的
多出口策略路由
4 PPPoE接入技术
本章要点
• 加强局域网的安全管理是一项重要的任务。本章主要介绍基于MAC地 址绑定的交换机端口安全、PVLAN技术、基于route-map的多出口策 略路由,以及PPPoE接入技术。
在动态绑定方式下,交换机会主动学习用户的MAC地址。当交换机断电重启、用户 更换计算机、网线重新拔插而导致交换机端口状态改变时,交换机将重新学习并更 新MAC地址表。 使用switchport port-security命令打开端口安全特性后,交换机就会自动进入MAC 地址动态绑定模式,因为这是交换机端口安全的默认方式。
5.最大MAC地址数
通过设置端口的最大MAC地址数,可以限制交换机每个端口接入计算机的数量。
命令格式:
switchport port-security maximum 数量 交换机可以在一个接入端口学习到多个MAC地址,如果向交换机的某个接口发送大量 的虚假源MAC地址的帧,这可能会导致MAC地址表被这些虚假的MAC地址填满,而 影响正常的通信,这是一种被称为MAC-address flood的二层Dos攻击。 如果给交换机端口设置一个可以学习到的最大MAC地址数量,就可以有效地防止这种 网络攻击。
7.1.2 惩罚措施
• 一旦某个端口下连接的计算机的MAC地址与绑定的MAC地址不符,或者某端口学习到的MAC
地址数量超过了设定值,将产生违规行为,交换机可以启用预先定义好的违规处理办法进行处
罚。违规处理的方式有以下几种:
Protect(保护):执行Protect惩罚措施将丢弃未允许的MAC地址数据帧,但不会创建日志消 息。
7.1 交换机端口安全
• 交换机端口安全主要是指根据MAC地址来对用户进行控制和管理,防止内部用 户IP地址借用、冒用,私自接入交换机等违规行为,同时防止来自内部的网络攻 击和破坏行为,从而提高网络的安全性和可靠性。
7.1.1 MAC地址绑定
• 把用户主机的MAC地址填写到交换机的MAC地址表中,交换机对端口接收到的数据 包进行检测,只允许本端口转发某个MAC地址的数据包,其他MAC地址发送的数据 包通过此端口时,交换机将启用预先配置好的违规处理策略进行处理,以此来防止未 经允许的用户访问网络,以增强网络的安全性。
7.1.3 交换机端口安全配置实例
• 例7.1 网络结构如图所示。
交换机端口安全特性配置示例
• S1是一台二层交换机,在交换机S1的f0/3端口下连接了一台Hub,这样交换机的f0/3端口就
可以学习到PC2、PC3和PC5的MAC地址。
(1)MAC地址静态绑定 首先查找PC0的MAC地址,假设为“0007.ECAA.D668”。 在交换机中输入以下命令,即可实现PC0的MAC地址静态绑定:
switchport port-security mac-address H.H.H
该命令不仅将端口与MAC地址的对应关系写入MAC地址表中,而且还会写入设备配置文件下次 重启交换机后依然有效。 通过静态绑定MAC地址的端口,如果用户更换了计算机或者更换了网卡,则需要网络管理员重 新进行绑定。
3.动态绑定
Restrict(限制):执行Restrict惩罚措施将丢弃未允许的MAC地址数据帧,创建日志消息并 发送SNMP Trap消息。 Shutdown(关闭):这是交换机端口安全的默认选项。执行Shutdown惩罚措施将关闭端口, 并将该端口置于err-disabled状态,创建日志消息并发送SNMP Trap消息。若要重新开启该端 口,需要先将该端口关闭,再打开该端口,或使用如下全局配置命令进行恢复: err-disable recovery psecure-violation 注:该命令在模拟环境下不能使用。
Switch(config)#interface f0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 0007.ECAA.D668 绑定以后,PC0可以ping通PC4,表明MAC地址绑定以后不影响正常的通信。 使用“show port-security address”命令查看端口安全情况。
பைடு நூலகம்
4.黏性绑定
在黏性绑定方式下,交换机首次会主动学习用户计算机的MAC地址,并与连接的端
口进行绑定,当端口状态再次改变时,该端口不再主动学习。命令格式:
switchport port-security mac-address sticky
如果将端口设置为黏性绑定,需要在执行上述命令后保存配置文件,这样它会把学习到的MAC 地址与端口的对应关系写入配置文件中,下次无论是重启交换机还是重启计算机,都不用再次学 习了。 采用黏性绑定方法可以一次性把全部MAC地址进行绑定,再保存一遍配置文件就可以了,省时 省力。
1.启用交换机端口安全特性
交换机在默认情况下没有打开端口安全管理特性,如果需要使用端口与MAC地址的绑定
功能,必须先打开端口安全,其命令格式为 switchport port-security
2.静态绑定
静态绑定是管理员通过手工方式将某个端口与某个MAC地址进行绑定,并加入MAC地址表中,
该端口不再主动学习用户的MAC地址。命令格式:
现在将PC0删除,重新添加一台PC终端,还是连接在f0/1端口,配置相同的IP地址。使用ping 命令再次从PC0访问 PC4,发现PC0无法ping通PC4,因为新的PC0的MAC地址和前一次的不 一样了,表明静态绑定有效。
(2)MAC地址黏性绑定
在交换机中输入以下命令:
Switch(config)#interface f0/2 Switch(config-if)#switchport mode access Switch(config-if)# switchport port-security Switchport port-security mac-address sticky 在PC1的命令窗口中,通过ping命令访问PC4,应该可以正常访问。 再用show run命令查看交换机的配置文件,发现端口f0/2黏性绑定了PC1的MAC地址。 将PC1删除,重新添加一台PC终端,连接到f0/2端口,配置与原先相同的IP地址,再测试PC1与 PC4的连通性,发现不能访问,表明黏性绑定成功。