網(wǎng)絡(luò)設(shè)備配置與管理項目式教程（第3版） 課件 3.1交換機端口安全配置

交換機端口安全配置教學(xué)目標(biāo)能夠執(zhí)行限制交換機端口最大連接數(shù)的配置工作；能夠?qū)⒅鳈CMAC地址與交換機端口進行綁定；能夠?qū)⒅鳈CIP地址與交換機端口進行綁定；能夠描述網(wǎng)絡(luò)安全隱患，能夠規(guī)劃網(wǎng)絡(luò)安全解決方案；能夠描述交換機端口安全的基本工作原理；培養(yǎng)網(wǎng)絡(luò)管理員的責(zé)任心和信息安全意識。工作任務(wù)

企業(yè)基于信息安全的考慮，希望加強網(wǎng)絡(luò)管理，實行嚴(yán)格的網(wǎng)絡(luò)接入控制。規(guī)定每個交換機端口只能接入一臺主機，員工不能私自對網(wǎng)絡(luò)擴展連接；每個工位接入網(wǎng)絡(luò)的計算機固定，不能隨意改變；接入網(wǎng)絡(luò)的計算機需要登記，不能隨意改變。作為網(wǎng)絡(luò)管理員，請?zhí)岢鼋鉀Q方案。網(wǎng)絡(luò)拓?fù)浣粨Q機端口安全配置網(wǎng)絡(luò)拓?fù)鋱D操作步驟（演示）

步驟1、配置交換機端口的最大連接數(shù)限制。步驟2、查看接入網(wǎng)絡(luò)計算機的MAC地址和IP地址。步驟3、配置交換機端口的地址綁定。步驟4、查看交換機的端口安全配置。步驟5、測試交換機的端口安全配置。操作要領(lǐng)

交換機端口安全只能在Access模式端口配置；交換機出廠時默認(rèn)關(guān)閉端口安全功能；交換機端口最大連接數(shù)的取值范圍是1~128，默認(rèn)值是128；交換機默認(rèn)的違例處理方式是保護protect）。相關(guān)知識—常見的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊手段多種多樣，以上是最常見的幾種相關(guān)知識—攻擊不可避免攻擊工具體系化

網(wǎng)絡(luò)攻擊原理日趨復(fù)雜，攻擊操作卻變得越來越簡單相關(guān)知識—額外的不安全因素

DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部個體外部/組織內(nèi)部個體內(nèi)部/組織相關(guān)知識—現(xiàn)有網(wǎng)絡(luò)安全體制現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS/IPS68%殺毒軟件99%防火墻98%ACL71%相關(guān)知識—交換機端口安全利用交換機端口安全功能實現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)；端口的安全地址綁定。相關(guān)知識—交換機端口安全以下情況產(chǎn)生安全違例：端口的連接數(shù)已經(jīng)超過允許的最大連接數(shù)；端口收到數(shù)據(jù)包源地址不屬于端口上的安全地址。產(chǎn)生違例時，可以選擇下列方式處理：Protect：違例產(chǎn)生時，丟棄數(shù)據(jù)幀；Restrict：違例產(chǎn)生時，丟棄數(shù)據(jù)幀并發(fā)送Trap通知；Shutdown：違例產(chǎn)生時，將關(guān)閉端口并發(fā)送Trap通知。相關(guān)知識—配置安全端口

端口安全最大連接數(shù)配置switchportport-security

！打開該接口的端口安全功能switchportport-securitymaximumvalue

！設(shè)置接口上最大連接數(shù)，范圍是1－128switchportport-securityviolation{protect|restrict|shutdown}

！設(shè)置處理違例的方式注意：

1、端口安全功能只能在access端口上配置。

2、端口因為違例而被關(guān)閉后，在全局配置模式下使用命令

errdisablerecovery來將接口從錯誤狀態(tài)中恢復(fù)過來。相關(guān)知識—配置安全端口端口的安全地址綁定switchportport-security

！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上進行配置

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP相關(guān)知識—案例（一）

下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end相關(guān)知識—案例（二）

下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end相關(guān)知識—查看配置信息查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddress

VlanMacAddressIPAddressTypePortRemainingAge(mins)