第5章 网络互联安全03.PPT
《第5章 网络互联安全03.PPT》由会员分享,可在线阅读,更多相关《第5章 网络互联安全03.PPT(38页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、课程主讲人:第第5章章 网络互联安全网络互联安全03网络设备与配置网络设备与配置网络互联安全网络互联安全 第五章第五章交换机端口安全交换机端口安全 5.35.3项目目标项目目标v理解交换机转发与过滤数据包的过程理解交换机转发与过滤数据包的过程v理解交换机的端口安全理解交换机的端口安全v配置交换机的端口安全特性配置交换机的端口安全特性v掌握交换机的端口安全在实际工作环境中的应用掌握交换机的端口安全在实际工作环境中的应用项目描述项目描述某小型企业利用一台宽带路由某小型企业利用一台宽带路由器接入器接入Internet和一台三层交换机和一台三层交换机接入企业网络,公司要求对网络进接入企业网络,公司要求
2、对网络进行严格控制,为了防止公司内部用行严格控制,为了防止公司内部用户的户的IP地址冲突,防止公司内部的地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员网络攻击和破坏行为。为每一位员工分配了固定的工分配了固定的IP地址,并且限制地址,并且限制只允许公司员工主机可以使用网络,只允许公司员工主机可以使用网络,不得随意连接其他主机。您作为公不得随意连接其他主机。您作为公司的网络管理员,如何利用交换机司的网络管理员,如何利用交换机的端口安全处理这些问题。的端口安全处理这些问题。 项目实施环境项目实施环境v宽带路由器宽带路由器1台,三层交换机一台,普通交换机台,三层交换机一台,普通交换机若干台,电
3、脑若干台。若干台,电脑若干台。v实验室环境:锐捷路由器实验室环境:锐捷路由器1台,三层交换机台,三层交换机1台,台,普通交换机普通交换机1台,网线若干根,电脑若干台。台,网线若干根,电脑若干台。 项目实施理论基础项目实施理论基础v端口安全的作用端口安全的作用 v交换机地址学习功能交换机地址学习功能 v端口安全的原理端口安全的原理v端口安全的配置命令端口安全的配置命令 v端口安全的配置实例端口安全的配置实例v注意事项注意事项 端口安全的作用端口安全的作用v交换机端口安全功能,是指针对交换机的端口进交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入,行安全属性的配置
4、,从而控制用户的安全接入,减少交换机被黑客攻击,增强交换机的安全性,减少交换机被黑客攻击,增强交换机的安全性,提高局域网的安全性。提高局域网的安全性。交换机地址学习功能交换机地址学习功能v交换机是通过学习获得交换机是通过学习获得MAC地址和转发与过滤数地址和转发与过滤数据包的。据包的。1.当一个交换机首次初始化时,交换机地址表是空当一个交换机首次初始化时,交换机地址表是空的如图所示。用一个空的如图所示。用一个空MAC地址表,基于地址的地址表,基于地址的源过滤或转发决策是不可能的,因此交换机将每源过滤或转发决策是不可能的,因此交换机将每一帧转发给所有连接的端口而不只是接收的端口。一帧转发给所有连
5、接的端口而不只是接收的端口。交换机地址学习功能交换机地址学习功能2.假设主机假设主机A向主机向主机C发送数据包,因为现在发送数据包,因为现在MAC地址表为地址表为空,所以端口空,所以端口E0将从数据包中提取源将从数据包中提取源MAC地址,将此地址,将此MAC地址记录到地址记录到MAC地址表中,同时向其它所有的端口地址表中,同时向其它所有的端口发送此数据包,如果某一主机在接收到此数据包后,将提发送此数据包,如果某一主机在接收到此数据包后,将提取目标取目标MAC地址,并与自己网卡的地址,并与自己网卡的MAC地址进行比较,地址进行比较,如果相等,则接收此数据包;否则丢弃此数据包。如果相等,则接收此数
6、据包;否则丢弃此数据包。交换机地址学习功能交换机地址学习功能3.如果主机如果主机A、B、C、D都已经向其它主机发送数都已经向其它主机发送数据包,则据包,则MAC地址表将会有地址表将会有4条记录。条记录。 交换机地址学习功能交换机地址学习功能4.现在假设主机现在假设主机A向主机向主机C发送数据包,交换机会提取数据包发送数据包,交换机会提取数据包的目的的目的MAC地址,通过查找地址,通过查找MAC地址表,有一条记录的地址表,有一条记录的MAC地址与目的地址与目的MAC地址相等,而且知道此目的地址相等,而且知道此目的MAC所所对应的端口为对应的端口为E2,此时,此时E0端口会将数据包直接转发到端口会
7、将数据包直接转发到E2端口,端口, 端口安全的原理端口安全的原理 v端口安全是根据端口安全是根据MAC地址表来确定允许访问网络地址表来确定允许访问网络的设备,其中的设备,其中MAC地址表记录的是地址表记录的是MAC地址与交地址与交换机端口的映射,可对交换机的任一端口进行端换机端口的映射,可对交换机的任一端口进行端口安全配置,交换机端口安全主要有两种类项:口安全配置,交换机端口安全主要有两种类项:1.限制交换机端口的最大连接数,限制交换机端口的最大连接数, 限制交换机端口的最大连接数可以控制交换机端限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的口下连的主机数,并防
8、止用户进行恶意的ARP欺骗。欺骗。2.针对交换机端口进行针对交换机端口进行MAC地址、地址、IP地址的绑定。地址的绑定。端口安全的原理端口安全的原理 v 配置了交换机的端口安全功能后,当实际应用超出配置的配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有要求,将产生一个安全违例,产生安全违例的处理方式有3种:种:Protect:当:当mac地址的数量达到了这个端口所最大允地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的除了足够数量的mac地址,来降下最
9、大数值之后才会不地址,来降下最大数值之后才会不丢弃。丢弃。Restrict:当违例产生时,将发送一个:当违例产生时,将发送一个Trap通知。通知。Shutdown:当违例产生时,将导致接口马上:当违例产生时,将导致接口马上shutdown,并且发送,并且发送SNMP陷阱的端口安全违规动作。陷阱的端口安全违规动作。当一个安全端口处在当一个安全端口处在error-disable状态,要恢复正常必状态,要恢复正常必须在全局配置模式下使用命令须在全局配置模式下使用命令errdisable recovery,也,也可以手动的可以手动的shutdown再再no shutdown端口。端口。端口安全的配置命
10、令端口安全的配置命令 三层交换机端口配置命令格式:三层交换机端口配置命令格式:1. Switch(config-if)# switchport port-security开启端口安全2. Switch(config-if)# no switchport port-security关闭端口安全3. Switch(config-if)# switchport port-security maximumvalue指定MAC地址的数量端口安全的配置命令端口安全的配置命令 三层交换机端口配置命令格式:三层交换机端口配置命令格式:4. Switch(config-if)# switchport port-
11、security mac-address 手工指定可靠的MAC地址5. Switch(config-if)# switchport port-security mac-address mac地址ip-address ip地址mac-address mac地址:为这个安全地址绑定的Mac 地址。ip-address ip地址:为这个安全地址绑定的IP 地址。端口安全的配置命令端口安全的配置命令 三层交换机端口配置命令格式:三层交换机端口配置命令格式:6. Switch(config-if)# switchport port-security violation protect | shutdow
12、n| restrict 指定端口违例所采取的措施,违例处理方式有: protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。 restrict:当违例产生时,将发送一个Trap通知。 shutdown:当违例产生时,将关闭端口并发送一个Trap通知。端口安全的配置命令端口安全的配置命令 三层交换机端口配置命令格式:三层交换机端口配置命令格式:7. Switch(config-if)# Switchport port-security agingstatic | time time 为一个接口上的所有安全地址配置老化时间。static: 加上这个关键字,表示
13、老化时间将同时应用于手工配置的安全地址和自动学习的地址,否则只应用于自动学习的地址。Time :表示这个端口上安全地址的老化时间,范围是01440,单位是分钟。如果您设置为0,则老则老化功能实际上被关闭。端口安全的配置命令端口安全的配置命令 三层交换机端口配置命令格式:三层交换机端口配置命令格式:8. Switch# show port-security interface interface-id address 显示端口安全配置信息9. Switch# show port-security address 显示端口安全地址信息端口安全的配置实例端口安全的配置实例 1. MAC+端口端口例:
14、 在交换机端口f0/12上最大mac地址数目为5的端口安全,违规动作为默认。 switch#configure terminalswitch(config)# interface fastethernet 0/12switch(config-if)# switchport mode accessswitch(config-if)# switchport port-securityswitch(config-if)# switchport port-security maximum 5switch(config-if)#endswitch#show port-security interface
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第5章 网络互联安全03 网络 安全 03
限制150内