任務17：配置接入交換機安全,保障終端計算機安全接入

1、任務17 配置接入交換機端口安全，保障終端計算機接入安全,網(wǎng)絡設備安裝與調(diào)試技術,目錄,一、任務描述 二、任務分析 三、知識準備 17.1 保護終端設備接入安全 17.2 什么是交換機端口安全 17.3 交換機安全端口安全技術 17.4 配置端口最大連接數(shù) 17.5 綁定交換機端口安全地址 四、任務實施 17.6 綜合實訓：配置接入交換機端口安全，保障終端計算機接入安全 知識拓展 認證測試,任務描述,浙江科技工程學校多媒體實訓中心機房，學生在上課期間使用U盤復制資料，經(jīng)常造成了機房病毒的傳播，特別是ARP病毒的攻擊，經(jīng)常造成全校的網(wǎng)絡中斷現(xiàn)象發(fā)生。 為了避免各個多媒體教室計算機的ARP等病毒傳

2、播，學校的網(wǎng)絡中心通過實施接入交換機的端口地址捆綁安全，防范接入設備的安全。 。,任務分析,安裝在網(wǎng)絡中的交換機設備能幫助接入設備高速的傳輸。默認的情況下，交換機的所有端口不提供任何安全檢查措施，允許所有的數(shù)據(jù)流通過。 但這樣一來，終端計算機一旦感染上病毒，就會通過接入交換機設備，傳播到整個網(wǎng)絡中，影響網(wǎng)絡的正常運行。因此為保護網(wǎng)絡內(nèi)的用戶安全，對交換機的端口增加安全訪問功能，可以有效保護網(wǎng)絡安全。 。,知識準備,17.1 保護終端設備接入安全 。,交換機的端口安全是工作在交換機二層端口上一個安全特性，它主要有以下功能： 只允許特定MAC地址的設備接入到網(wǎng)絡中，防止非法或未授權設備接入網(wǎng)絡。

3、限制端口接入的設備數(shù)量，防止用戶將過多的設備接入到網(wǎng)絡中。,知識準備,17.2 什么是交換機端口安全 。,利用端口安全這個特性，可以實現(xiàn)網(wǎng)絡接入安全，通過限制允許訪問交換機上某個端口的MAC地址以及IP（可選），實現(xiàn)控制對該端口的輸入。 為端口配置一些安全地址后，除了源地址為這些安全地址的包外，這個端口將不轉發(fā)其他任何數(shù)據(jù)。此外，還可以限制一個端口上能包含的安全地址最大個數(shù)，如果將最大個數(shù)設置為1，并且為該端口配置一個安全地址，則連接到這個口的工作站（其地址為配置的安全地址）將獨享該端口的全部帶寬。,知識準備,17.3 交換機安全端口安全技術 。,為了增強網(wǎng)絡的安全性，還可以將MAC地址和IP

4、地址綁定起來，作為安全接入的地址，實施更為嚴格的訪問限制，當然也可以只綁定其中一個地址，如只綁定MAC地址而不綁定IP地址，或者相反。,知識準備,17.3 交換機安全端口安全技術 。,2、配置端口安全地址個數(shù) 交換機的端口安全功能還表現(xiàn)在，可以限制一個端口上能連接安全地址的最多個數(shù)。如果一個端口被配置為安全端口，配置有最多的安全地址的連接數(shù)量，當連接的安全地址的數(shù)目達到允許的最多個數(shù)，或者該端口收到一個源地址不屬于該端口上的安全地址時，交換機將產(chǎn)生一個安全違例通知。,知識準備,17.3 交換機安全端口安全技術 。,3、端口安全檢查過程 當一個端口被配置成為一個安全端口后，交換機不僅將檢查從此端

5、口接收到幀的源MAC地址，還檢查該端口上配置的允許通過最多安全地址個數(shù)。 如果安全地址數(shù)沒有超過配置最大值，交換機還將檢查安全地址表。若此幀源MAC地址沒有被包含在安全地址表中，那么交換機將自動學習此MAC地址，并將它加入到安全地址表中，標記為安全地址，進行后續(xù)轉發(fā)；若幀的源MAC地址已經(jīng)存在于安全地址表中，那么交換機將直接轉發(fā)該幀。,知識準備,17.4 配置端口最大連接數(shù) 。,要想使交換機的端口成為一個安全端口，需要在端口模式下，啟用端口安全特性： Switch(config-if)#switchport port-security 當交換機端口上所連接安全地址數(shù)目，達到允許的最多個數(shù)，交換

6、機將產(chǎn)生一個安全違例通知。啟用端口端口安全特性后，使用如下命令為端口配置允許最多的安全地址數(shù)： Switch(config-if)#switchport port-security maximum number 默認情況下，端口的最多安全地址個數(shù)為128個。,知識準備,17.4 配置端口最大連接數(shù) 。,當安全違例產(chǎn)生后，可以設置交換機，針對不同的網(wǎng)絡安全需求，采用不同安全違例的處理模式，其中： Protect ： 當所連接端口通過安全地址，達到最大的安全地址個數(shù)后，安全端口將丟棄其余未知名地址（不是該端口的安全地址中任何一個）數(shù)據(jù)包，但交換機將不作出任何通知以報告違規(guī)的產(chǎn)生。 Restrict

7、Trap ：當安全端口產(chǎn)生違例事件后，交換機不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個SNMP Trap報文，等候處理。 Shutdown ： 當安全端口產(chǎn)生違例事件后，交換機將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMP Trap報文，而且將端口關閉，端口將進入“err-disabled”狀態(tài)，之后端口將不再接收任何數(shù)據(jù)幀。,知識準備,17.4 配置端口最大連接數(shù) 。,在特權模式下，通過以下步驟，配置安全端口和違例處理方式。 switchport port-security ! 打開接口的端口安全功能。 switchport port-security

8、 maximum value ! 設置接口上安全地址最多個數(shù)，范圍是1128，默認值為128。 switchport port-security violation protect | restrict | shutdown ! 設置接口違例方式，當接口因為違例而被關閉后選擇方式。,知識準備,17.5 綁定交換機端口安全地址 。,在交換機上配置端口安全地址的綁定操作，通過以下命令和步驟手工配置。 Switchport port-security mac-address mac-address ip-address ip-address ! 手工配置接口上的安全地址。 Switch (confi

9、g-if)#switchport port-security mac-address 00-90-F5-10-79-C1 ! 配置端口的安全MAC地址。 Switchport port-security maximum 1 ! 限制此端口允許通過MAC地址數(shù)為1。,任務實施,【網(wǎng)絡場景】 如圖所示網(wǎng)絡場景是浙江科技工程學校多媒體實訓中心機房，由于學生在上課期間使用U盤復制資料，經(jīng)常造成了機房病毒的傳播。為了避免各個多媒體教室計算機ARP等病毒傳播，學校網(wǎng)絡中心通過實施接入交換機的端口地址捆綁安全，設置最多地址個數(shù)為1，設置安全違例方式為protect，防范接入設備的安全。,任務實施,【設備清單】：交換機（1臺）、計算機（2臺）、網(wǎng)線（若干）。 【實施過程】 1、配