模块三任务3(端口安全)技巧.ppt

任务引入 最近网络管理员发现了一个新的问题，就是有员工私自将自己部门的计算机搬到别的部门去使用或带自己的笔记本电脑随意使用公司的网络，这样使得之前所做的网络规划，失去了原有的意义，使得财务部和经理室的资料得不到安全保证。网络管理员决定使用端口安全的方法，彻底解决公司内部各项数据安全性的问题。网络简单拓扑结构如图所示。 任务分析 相关知识 1. protect 当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包。 2. restrict 当违例产生时，将发送一个通知Trap。 3. shutdown 当违例产生时，将关闭端口并发送一个通知。 当端口因为安全违例而被关闭后，在全局模式下使用errdisable recovery命令将端口错误恢复。 二、管理MAC地址表 可以使用如下命令来查看MAC地址表里的信息，命令格式如下： Switch#show mac-address-table 也可以使用如下命令来手动清空MAC地址表，命令格式如下： Switch#clear mac-address-table 可以手动地添加一条MAC地址与端口的映射到MAC地址表。通过使用静态 MAC地址，可以达到以下好处： 1. 使该MAC地址不会因为超时而被自动清除。 2. 一台工作站必须连接在交换机的某一个端口上，而且MAC地址是网络里的 主机众所周知的。 3. 增加安全性。 可以使用如下命令在MAC地址表里添加一条静态MAC地址。 Switch(config)#mac-address-table static mac-addresss of host interface fastenthernet interface number vlan vlan number。 在该命令前加“no”可以从MAC地址表里删除配置的静态MAC地址。 任务实施 步骤3：配置交换机S7端口的地址绑定。先查看主机的IP和MAC地址信息 步骤4：利用步骤3的方法，将其他端口分别与主机的MAC地址进行绑定。 步骤5：验证交换机S7的地址安全绑定。 步骤6：测试换用一台非绑定计算机，测试其端口状态如下： 任务小结 课堂练习 COMPANYL O G O 模块三 优 化 网 络 任务3 端口安全 任务引入 1 任务分析 2 任务实施 3 小结与练习 4 可能有人认为既然已经划分了VLAN，使得各部门之间无法直接通信，可以说已经很好地保证了公司资料的安全。可以设想一下，如果有人对公司财务部的账目资料很感兴趣，同时公司的安全意识不强烈的话，他只需要随便带一台计算机接入财务部的VLAN，那么根据同一个VLAN间可以直接访问的特性，所有财务部的资料对他来说都是开放的。 而这时只需要把财务部的十一台计算机与交换机S7中的FA0/10—FA0/20端口进行安全绑定，那么其他计算机就无法在财务部门使用。这能最大程度上保证公司数据的安全。 一、端口安全 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机的端口安全主要有两种类型：一是限制交换机端口的最大连入数，二是针对交换端口进行MAC地址、IP地址的绑定。 交换机端口的地址绑定，可以针对MAC地址、IP地址、IP+MAC地址进行灵活的绑定。可以实现对用户的严格控制，保证用户的安全接入和防止常见的内网网络攻击。 配置了交换机端口安全后，当实际应用超出配置要求时，将会产生一个安全违例，有以下三种： 此任务以交换机S7为例，其它交换机参照实施。 步骤1：配置交换机S7端口的最大连接数限制。 S7#configure terminal ！进入全局配置模式 S7（config）#interface range fa 0/10 - 20 ！进入一组的端口配置模式 S7（config-if-range）#switchport port-security ！开启交换机的端口安全功能 S7（config-if-range）#switchport port-security maximm 1 ！配置端口的最大连接数为1 S7（config-if-range）#switchport port-security violation shutdown ！配置安全违例为shutdown 步骤2：验证交换机S7的端口安全配置。 此截图中，可以看出MaxSecureAddr的值都为1，其表示为最大连入数为1。 Security Action的值为shutdown，表示当违例时，都是关闭端口 然后配置交换机S7端口的地址绑定。 S7#configure termi