校園安全控制實驗

1、實驗三實驗三 校園安全控制實驗校園安全控制實驗校園網(wǎng)安全控制校園網(wǎng)安全控制管理設(shè)備控制臺安全管理設(shè)備控制臺安全 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述交換機(jī)端口安全交換機(jī)端口安全 訪問控制列表技術(shù)訪問控制列表技術(shù) 端口安全概述端口安全概述端口安全配置與維護(hù)端口安全配置與維護(hù)標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表命名訪問控制列表命名訪問控制列表校園安全控制實驗校園安全控制實驗1.端口安全概述端口安全概述 大部分網(wǎng)絡(luò)攻擊行為都采用欺騙源欺騙源IP或源源MAC地址地址的方法，對網(wǎng)絡(luò)的進(jìn)行連續(xù)的數(shù)據(jù)包攻擊，如典型的ARP攻擊、MAC攻擊和DHCP攻擊等。 這些針對交換機(jī)端口產(chǎn)生的攻擊行為，

2、可以通過啟用交換機(jī)端口安全功能特性交換機(jī)端口安全功能特性加以防范。校園安全控制實驗校園安全控制實驗校園安全控制實驗校園安全控制實驗MAC攻擊攻擊MAC地址：鏈路層唯一標(biāo)識地址：鏈路層唯一標(biāo)識 00.d0.f8. 00.07.3c前前3個字節(jié)：個字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制分配給網(wǎng)絡(luò)設(shè)備制造廠商的造廠商的后后3個字節(jié)：網(wǎng)絡(luò)設(shè)備制個字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不造廠商自行分配的，不重復(fù)，生產(chǎn)時寫入設(shè)備重復(fù)，生產(chǎn)時寫入設(shè)備 MAC地址表空間是有限，地址表空間是有限，MAC攻擊會占滿交換機(jī)地址表，使得攻擊會占滿交換機(jī)地址表，使得單播包單播包在交在交換機(jī)內(nèi)部也變成換機(jī)內(nèi)部也變成廣播包廣播包，向所

3、有端口轉(zhuǎn)發(fā)，每個連在端口上客戶端都可以收到，向所有端口轉(zhuǎn)發(fā)，每個連在端口上客戶端都可以收到該報文；交換機(jī)變成了一個該報文；交換機(jī)變成了一個Hub（網(wǎng)絡(luò)集線器網(wǎng)絡(luò)集線器），用戶的信息傳輸也沒有安全），用戶的信息傳輸也沒有安全保障了。保障了。校園安全控制實驗校園安全控制實驗端口安全配置方式：端口安全配置方式： 配置安全地址配置安全地址：當(dāng)開啟交換機(jī)端口安全功能并為交換機(jī)端口配置安全MAC地址，則這個端口將不轉(zhuǎn)發(fā)除安全源MAC地址外的其他任何數(shù)據(jù)幀。 配置安全地址數(shù)配置安全地址數(shù)：交換機(jī)安全端口不僅可以配置安全MAC地址，也可以設(shè)置安全地址數(shù)目，也就是說，一個安全端口可以配置多個安全MAC地址。校園

4、安全控制實驗校園安全控制實驗 配置安全違例處理方式配置安全違例處理方式：當(dāng)發(fā)生安全違規(guī)事件時，可以指定不同的處理方式。 配置老化時間和處理方式配置老化時間和處理方式：可以為安全端口設(shè)置老化時間和處理方式，可以清除長時間不活動的安全MAC地址。 將將IP地址綁定到地址綁定到MAC地址地址：可以在交換機(jī)上將IP地址綁定到MAC地址，以實現(xiàn)在特定端口上允許特定的IP終端接入。校園安全控制實驗校園安全控制實驗端口安全的配置和維護(hù)端口安全的配置和維護(hù) 配置安全端口的過程包括：配置安全端口的過程包括：啟用端口安全，設(shè)置安全MAC地址的最大數(shù)量、配置安全地址、設(shè)置違例發(fā)生后的處理方式、配置老化時間和將MAC

5、地址與IP地址綁定等。 對于對于Cisco交換機(jī)，需要注意的是：交換機(jī)，需要注意的是： Cisco系列交換機(jī)可以做基于2層的端口安全，即MAC地址與端口進(jìn)行綁定。 Cisco3550以上交換機(jī)均可做基于2層和3層的端口安全，即MAC地址與端口綁定以及MAC地址與IP地址綁定。校園安全控制實驗校園安全控制實驗交換機(jī)端口安全功能交換機(jī)端口安全功能 交換機(jī)的端口安全功能，防止網(wǎng)內(nèi)部攻擊交換機(jī)的端口安全功能，防止網(wǎng)內(nèi)部攻擊, 如如MAC地址攻地址攻擊、擊、ARP攻擊、攻擊、IP/MAC欺騙等。欺騙等。 交換機(jī)端口安全的基本功能交換機(jī)端口安全的基本功能 1、端口安全地址綁定, 解決網(wǎng)中IP地址沖突、AR

6、P欺騙 例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。 2、限制端口最大連接數(shù) ，控制惡意擴(kuò)展接入 例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對網(wǎng)絡(luò)造成破壞。實驗內(nèi)容實驗內(nèi)容1 1 管理管理MACMAC地址表地址表觀察交換機(jī)觀察交換機(jī)MAC地址表地址表 Switch#show mac-address-table 檢查交換機(jī)所學(xué)到的檢查交換機(jī)所學(xué)到的MAC地址地址 Switch#clear mac-address-table 清除交換機(jī)清除交換機(jī)MAC地址表中的動態(tài)條目地址表中的動態(tài)條目添加與刪除靜態(tài)

7、添加與刪除靜態(tài)MAC地址地址 Switch#config terminal 進(jìn)入全局配置模式進(jìn)入全局配置模式 Switch(config)#mac-address-table ? 查看查看“mac-address-table”的命令子集的命令子集，并觀察，并觀察其命令子集的功能描述其命令子集的功能描述 Switch(config)#mac-address-table static 0000.f079.7ee8 vlan 1 interface fa0/6 為屬于為屬于VLAN1的交換機(jī)的交換機(jī)fa0/6端口添加靜態(tài)端口添加靜態(tài)MAC地地址為址為0000.f079.7ee8。 Switch(co

8、nfig)#no mac-address-table static 0000.f079.7ee8 interface fa0/6 vlan vlan1 刪除屬于刪除屬于VLAN1的交換機(jī)的交換機(jī)fa0/6端口的靜態(tài)端口的靜態(tài)MAC地地址址0000.f079.7ee8。Catalyst 2950Catalyst 2950端口綁定端口綁定MACMAC Switch#config t /進(jìn)入配置模式進(jìn)入配置模式 Switch(config)# int f0/1 /進(jìn)入具體端口配置模式進(jìn)入具體端口配置模式 Switch(config-if)#switchport mode access Switch(

9、config-if)#switchport port-security /配置配置端口安全模式端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主機(jī)的主機(jī)的MAC地址地址) /配置該端口要綁定配置該端口要綁定的主機(jī)的的主機(jī)的MAC地址地址 Switch(config-if )no switchport port-security mac-address MAC(主機(jī)的主機(jī)的MAC地址地址) /刪除綁定刪除綁定主機(jī)的主機(jī)的MAC地址地址 IP地址綁定地址綁定MAC地址地址 在在cisco交換機(jī)中為了防止交換機(jī)中為了

10、防止IP地址被盜地址被盜用或亂改用或亂改IP地址地址,可以將可以將IP與與MAC地址的綁地址的綁定，和定，和IP與交換機(jī)端口的綁定。與交換機(jī)端口的綁定。switch(config)#arp 192.168.1.2 0000.e268.9980 arpa /將將192.168.1.2 與與mac:0000.e268.9980 綁定綁定設(shè)置安全端口最大連接數(shù)設(shè)置安全端口最大連接數(shù) 可以通過可以通過MAC地址來限制端口流量。以下配置允許一接地址來限制端口流量。以下配置允許一接口最多通過口最多通過100個個MAC地址，超過地址，超過100時，來自新主機(jī)的時，來自新主機(jī)的數(shù)據(jù)幀將丟失。具體配置如下：數(shù)據(jù)

11、幀將丟失。具體配置如下： Switch#config terminal Switch(config)#in f0/1 Switch(config)#switchport mode access Switch(config-if)#switchport port-security maximum 100 / 允許通過的最大MAC地址數(shù)目為100 Switch(config-if)#switchport port-security violation protect / 當(dāng)主機(jī)MAC地址數(shù)超過100時，交換機(jī)繼續(xù)工作，但來自新主機(jī)的數(shù)據(jù)幀將丟失查看端口安全設(shè)置查看端口安全設(shè)置 在完成端口安全相關(guān)設(shè)

12、置后，可用下列命令查看在完成端口安全相關(guān)設(shè)置后，可用下列命令查看端口安全配置：端口安全配置： Switch#show port-security /查看哪些接口查看哪些接口啟用了端口安全啟用了端口安全 Switch#show port-security address /查看安查看安全端口全端口mac地址綁定關(guān)系地址綁定關(guān)系實驗拓?fù)鋱D：實驗拓?fù)鋱D：PC0：IP：192.168.1.2 PC1：IP:192.168.1.3 MAC：0001.C70B.A6C3 MAC：0001.4278.1C95如何查看如何查看MAC地址？地址？在命令提示符下輸入：在命令提示符下輸入：ipconfig /all

13、 回車回車Switch#config t Switch#config t /進(jìn)入配置模式進(jìn)入配置模式Switch(config)# int f0/2 Switch(config)# int f0/2 /進(jìn)入具體端口配置模式進(jìn)入具體端口配置模式Switch(config-if)#switchport mode accessSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security /配置配置端口安全模式端口

14、安全模式Switch(config-if )switchport port-security Switch(config-if )switchport port-security 0001.C70B.A6C3(0001.C70B.A6C3(主機(jī)的主機(jī)的MACMAC地址地址) ) /配置該端口要綁定的配置該端口要綁定的主機(jī)的主機(jī)的MACMAC地址地址Switch(config)# int f0/3 Switch(config)# int f0/3 /進(jìn)入具體端口配置模式進(jìn)入具體端口配置模式Switch(config-if)#switchport mode accessSwitch(config-

15、if)#switchport mode accessSwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security /配置配置端口安全模式端口安全模式Switch(config-if )switchport port-security Switch(config-if )switchport port-security 0001.4278.1C95(0001.4278.1C95(主機(jī)的主機(jī)的MACMAC地址地址) ) /配置該端口要綁定的配置該端口要綁定的主機(jī)的主機(jī)的MACMAC地址地址

16、分別將分別將PC0與與PC1相連的端口綁定相連的端口綁定MAC地址地址測試：測試：1. PC0 ping PC1,查看結(jié)果是否查看結(jié)果是否ping通。通。2. 將兩臺將兩臺PC機(jī)的端口交換，然后機(jī)的端口交換，然后PC0 ping PC1，查，查看結(jié)果是否看結(jié)果是否ping通。通。實驗內(nèi)容實驗內(nèi)容2 以太網(wǎng)通道聚合技術(shù)以太網(wǎng)通道聚合技術(shù) 在局域網(wǎng)組網(wǎng)中，時常用到交換機(jī)的在局域網(wǎng)組網(wǎng)中，時常用到交換機(jī)的級連級連，交換機(jī)的級連通常會涉及到通信瓶，交換機(jī)的級連通常會涉及到通信瓶頸的問題。如圖所示：頸的問題。如圖所示：瓶頸100M/1000M100M/1000M鏈路鏈路為了解決前面提到的通信瓶頸問題，可

17、以采用為了解決前面提到的通信瓶頸問題，可以采用鏈路聚鏈路聚合技術(shù)合技術(shù)來解決。來解決。鏈路聚合鏈路聚合就是把多條鏈路聚合成一條鏈路就是把多條鏈路聚合成一條鏈路進(jìn)行管理，以實現(xiàn)高帶寬通道的需求，同時也增加了可靠進(jìn)行管理，以實現(xiàn)高帶寬通道的需求，同時也增加了可靠性。性。Link1Link3Link2SW1SW2一條邏輯鏈路交換機(jī)之間物理鏈路交換機(jī)之間物理鏈路Link1、Link2和和Link3組成一條組成一條聚合鏈路。該聚合鏈路。該鏈路在鏈路在邏輯上是一個整體邏輯上是一個整體，合成一條鏈路，但這三條，合成一條鏈路，但這三條路又是路又是相互獨立，互為備份相互獨立，互為備份，其中的其中的 一條或是兩條

18、鏈路斷一條或是兩條鏈路斷開不會造成整個網(wǎng)絡(luò)的中斷，斷開鏈路的數(shù)據(jù)會轉(zhuǎn)移到其開不會造成整個網(wǎng)絡(luò)的中斷，斷開鏈路的數(shù)據(jù)會轉(zhuǎn)移到其它未斷開的鏈路上它未斷開的鏈路上。通道聚合的優(yōu)點：通道聚合的優(yōu)點： 提高鏈路可用性提高鏈路可用性 增加鏈路容量增加鏈路容量 價格便宜，提高網(wǎng)絡(luò)性能價格便宜，提高網(wǎng)絡(luò)性能 不需重新布線，也無須考慮千兆網(wǎng)令人頭疼的傳不需重新布線，也無須考慮千兆網(wǎng)令人頭疼的傳輸距離極限輸距離極限 可以捆綁任何相關(guān)的端口，也可以隨時取消設(shè)置，可以捆綁任何相關(guān)的端口，也可以隨時取消設(shè)置，這樣提供了很高的靈活性這樣提供了很高的靈活性 可以提供負(fù)載均衡能力以及系統(tǒng)容錯可以提供負(fù)載均衡能力以及系統(tǒng)容錯

19、通道聚合的配置通道聚合的配置 設(shè)置通道聚合協(xié)商協(xié)議：設(shè)置通道聚合協(xié)商協(xié)議：Switch(config-if)#Channel-protocol lacp|pagpPAGP為Cisco專用技術(shù)，而LACP為IEEE 802.3ad中定義，為了保持不同設(shè)備的兼容性，推薦使用LACP。設(shè)置通道工作模式：設(shè)置通道工作模式：Switch(config-if)# Channel-group number modeon|off|desirable|auto|active|passive 如果希望用LACP處理通道，可以使用active（主動）和passive（被動）兩種通道模式。 實例實例 配置以太網(wǎng)通道聚合配置以太網(wǎng)通道聚合 F0/23F0/23F0/24F0/24F0/1F0/1PC_APC_BS1S配置交換機(jī)配置交換機(jī)S1：S1(config-if)#interface range f0/23 - 24S1(config-if-range)#switchportS1(config-if-range)#channel