园区网的安全(路由器和交换机的配置)

第2步：配置交换机端口的地址绑定 步 SwitchA#configure terminal SwitchA(config)#interface fastethernet 0/1 SwitchA(config-if)# switchport port-security SwitchA(config-if)# switchport port-security macaddress 0006.1bde.13b4 ip-address 192.168.0.10 SwitchA(config-if)# no shutdown SwitchA(config-if)#end SwitchA#show port-security address
园区网安全解决方案的整体思路
制定一个严格的安全策略
可以通过交换机端口安全、配置访问控件列表 可以通过交换机端口安全、配置访问控件列表ACL、在防火墙实 、 现包过滤等技术来实现一套可行的园区网安全解决方案。 现包过滤等技术来实现一套可行的园区网安全解决方案。
宣传教育
模块1 交换机端口 模块 安全
Switch(conifg-if)#switchport port-security violation {protect |restrict|shutdown}
案例1： 案例 ：
在交换机商品fa0/3上配置端口安全功能，设置最大地址 上配置端口安全功能， 在交换机商品 上配置端口安全功能 个数为8，设置违例方式为 个数为 ，设置违例方式为protect。 。
图8.1 交换机端口安全功能配置
第1步：配置交换机端口的最大连接数限制 步 SwitchA#configure terminal SwitchA(config)#interface range fastethernet 0/1-23
SwitchA(config)# switch mode access
限制交换机端口的最大连接数 端口的安全地址绑定
交换机端口安全概述 交换机的端口安全机制是工作在交换机二层端口上的一个 安全特性
只允许选定MAC地址的设备接入到网络中，从而防止用户将非法 地址的设备接入到网络中， 只允许选定 地址的设备接入到网络中 或未授权的设备接入网络。 或未授权的设备接入网络。 限制端口接入的设备数量、防止用户将过多的设备接入到网络中。 限制端口接入的设备数量、防止用户将过多的设备接入到网络中。
Switch(conifg-if)#errdisable recovery
设置端口从“ 设置端口从“err-disabled”状态自动恢复所等待的时间 状态自动恢复所等待的时间
Switch(conifg-if)#errdisable recovery interval time
配置安全地址的老化时间
网络设备管理与调试
项目8 园区网的安全 项目
为了帮助保护您的隐私，PowerPoint 禁止自动下载此外部图片。若要下载并显示此图片，请单击消息栏中的 “选项”，然后单击 “启用外部内容 ”。
教学目标
通过本章的学习，希望你能够 通过本章的学习，希望你能够: （1）了解园区网的安全隐患 ） （2）掌握交换机端口安全原理及配置方法 ） （3）掌握 ）掌握ACL的工作原理及配置方法 的工作原理及配置方法
8.1.4. 相关理论知识
交换机端口安全 利用交换机的端口安全功能实现
防止局域网大部分的内部攻击对用户、 防止局域网大部分的内部攻击对用户、网络设备造成的破 地址攻击、 攻击、 地址欺骗等。 坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 地址攻击 攻击 地址欺骗等
交换机端口安全的基本功能
为了帮助保护您的隐私，PowerPoint 禁止自动下载此外部图片。若要下载并显示此图片，请单击消息栏中的 “选项”，然后单击 “启用外部内容 ”。
8.1.3. 相关实践知识
公司网络接入交换机的所有端口配置最大连接数为1， 公司网络接入交换机的所有端口配置最大连接数为 ，并 对公司每台主机连接的交换机端口进行IP+MAC地址绑定， 地址绑定， 对公司每台主机连接的交换机端口进行 地址绑定 模拟网络拓朴结构如图8.1所示。假设PC1的IP地址为 模拟网络拓朴结构如图 所示。假设 的 地址为 所示 192.168.0.10/24，PC2的IP地址为 ， 地址为192.168.0.20/24， 的 地址为 ， PC3的IP地址为 的 地址为 地址为192.168.0.30/24。 。
配置端口安全存在以下限制
一个安全端口必须是一个Access端口，及连接终端设备的端口， 端口，及连接终端设备的端口， 一个安全端口必须是一个 端口 而非Trunk端口。 而非 端口。 端口 一个安全端口不能是一个聚合端口（ 一个安全端口不能是一个聚合端口（Aggregate Port）。 ）。 一个安全端口不能是SPAN的目的端口。 的目的端口。 一个安全端口不能是 的目的端口
Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end
使老化时间仅应用于动态学习到的安全地址
Switch(conifg-if)# no switchport port-security aging static
案例2： 案例 ：
在交换机端口fastethernet 0/3上配置一个安全地址： 上配置一个安全地址： 在交换机端口 上配置一个安全地址 00d0.f800.073c，并为其绑定一个IP地址：192.168.12.202 。 ，并为其绑定一个 地址 地址：
Switch(conifg-if)#switchportport-security aging {static|time time }
关闭一个接口的安全地址老化功能（老化时间为0） 关闭一个接口的安全地址老化功能（老化时间为0）
Switch(conifg-if)#no switchport port-security aging time
查看端口安全信息 显示所有接口的安全设置状态， 显示所有接口的安全设置状态，违例处理等信息
Switch#show port-security interface [interface-id]
来查看安全地址信息， 来查看安全地址信息，显示安全地址及老化时间
Switch#show port-security address
交换机端口安全概述
当配置完成端口安全之后，如果当违例产生时， 当配置完成端口安全之后，如果当违例产生时，可以设置下面几种 针对违例的处理模式： 针对违例的处理模式： protect：当安全地址个数满后，安全端口将丢弃未知名地址 ：当安全地址个数满后， (不是该端口的安全地址中的任何一个 的包 不是该端口的安全地址中的任何一个) 不是该端口的安全地址中的任何一个 restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC ：当违例产生时，交换机不但丢弃接收到的帧（ 地址不在安全地址表中），而且将发送一个SNMP Trap报文 地址不在安全地址表中），而且将发送一个 ），而且将发送一个 报文 shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC ：当违例产生时，交换机将丢弃接收到的帧（ 地址不在安全地址表中），发送一个SNMP Trap通知。 通知。 地址不在安全地址表中），发送一个 ），发送一个 通知
端口安全的配置 1、打开该接口的端口安全功能 、
Switch(conifg-if)#switchportport-security
2、设置接口上安全地址的最大个数 、
Switch(conifg-if)#switchport port-security maximun number
3、配置处理违例的方式 、
8.1.1 教学目标
了解交换机端口在网络安全中的重要作用， 了解交换机端口在网络安全中的重要作用，掌握交换机端 口安全功能配置方法，具体如下： 口安全功能配置方法，具体如下： （1）认识交换机端口安全功能用途 ） （2）掌握交换机端口安全功能配置方法 ）
8.1.2. 工作任务
你是某公司的网络管理员， 你是某公司的网络管理员，公司要求对网络进行严格控 地址冲突， 制。为了防止公司内部用户的IP地址冲突，防止公司内 为了防止公司内部用户的 地址冲突 部的网络攻击和破坏行为。为每一位员工分配了固定的 部的网络攻击和破坏行为。 IP地址，并且限制只允许公司员工主机可以使用网络， 地址，并且限制只允许公司员工主机可以使用网络， 地址 不得随意连接其他主机。 不得随意连接其他主机。
配置安全端口上的安全地址 配置安全端口上的安全地址
Switch(conifg-if)#switchportport-security mac-address macaddress[ip addrቤተ መጻሕፍቲ ባይዱss ip address]
当端口由于违例操作而进入“err-disabled”状态后 状态后， 当端口由于违例操作而进入“err-disabled”状态后，必 须在全局模式下使用命令手工将其恢复为UP状态 须在全局模式下使用命令手工将其恢复为 状态
SwitchA(config-if-range)#switchport port-security SwitchA(config-if-range)# switchport port-security maximum 1 SwitchA(config-if-range)# switchport port-security violation shutdown SwitchA(config-if-range)#end SwitchA#show port-security
Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end
园区网的常见安全隐患
网络安全的隐患是指计算机或其他通信设备利用网络进行 交互可能受到的窃听、攻击或破坏， 交互可能受到的窃听、攻击或破坏，它是指具有侵犯系统 安全或危害系统资源的潜在的环境、条件或事件。 安全或危害系统资源的潜在的环境、条件或事件。
园区网络安全隐患包括的范围比较广、如自然自灾、意外事件、 园区网络安全隐患包括的范围比较广、如自然自灾、意外事件、人为行 如使用不当，安全意识等）、黑客行为、内部泄密、外部泄密、 ）、黑客行为 为（如使用不当，安全意识等）、黑客行为、内部泄密、外部泄密、信 息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 非为人或自然办造成的硬件故障、电源故障、软件错误、火灾、 非为人或自然办造成的硬件故障、电源故障、软件错误、火灾、水 风暴和工业事故等。 灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 人为但属于操作人员无意的失误造成的数据丢失或损坏。 来自园区网外部和内部人员的恶意攻击和破坏。 来自园区网外部和内部人员的恶意攻击和破坏。