路由交換設(shè)備項目化管理與配置 課件 項目3 安全小型局域網(wǎng)組建

項目3安全小型局域網(wǎng)組建目錄CONTENTS知識鏈接交換基礎(chǔ)知識項目設(shè)計拓撲圖、項目方案設(shè)計及配置參數(shù)項目描述組建安全小型局域網(wǎng)項目實施與驗證接口安全功能驗證0103020401PART020304知識鏈接1.1MAC地址基礎(chǔ)知識01021.1.1MAC（MediaAccessControl）地址MAC地址也叫物理地址、硬件地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時燒寫在硬件內(nèi)部，網(wǎng)絡(luò)中每臺設(shè)備都有一個唯一的MAC地址，用于定義設(shè)備在網(wǎng)絡(luò)中的位置。MAC地址的長度為6Byte即48bit，通常表示為12個16進制數(shù)，每2個或4個16進制數(shù)之間用冒號或連接號隔開。第二第二層交換過程通過使用MAC地址在低層實現(xiàn)通信，即是說，交換機是通過MAC地址找到目標(biāo)電腦，再把數(shù)據(jù)送達的。知識鏈接1.1MAC地址基礎(chǔ)知識01021.1.2MAC（MediaAccessControl）地址表

交換機內(nèi)部都有一張MAC地址表知識鏈接E0/3E0/5E0/7E0/16MAC：M1MAC：M2MAC：M3MAC：M4目的MAC地址發(fā)送端口號M1E0/3M2E0/5M3E0/7M4E0/16PC1PC2PC4PC31.1MAC地址基礎(chǔ)知識01021.1.3MAC（MediaAccessControl）地址表形成識別數(shù)據(jù)幀的源MAC地址，學(xué)習(xí)MAC地址和端口對應(yīng)關(guān)系通過MAC地址表實現(xiàn)數(shù)據(jù)幀的單點轉(zhuǎn)發(fā)MAC地址表的維護：(1)更改剛使用過的記錄的“年齡”(2)刪除“年齡”大的記錄知識鏈接1.2交換機轉(zhuǎn)發(fā)技術(shù)0102局域網(wǎng)交換機的三種主要的交換方式：存儲轉(zhuǎn)發(fā)(StoreandForward)直通(CutThrough)自由分段(FragmentFree)知識鏈接1.2交換機轉(zhuǎn)發(fā)技術(shù)01021.2.1存儲轉(zhuǎn)發(fā)LANswitch復(fù)制整個幀到它的緩沖區(qū)里。然后計算CRC。幀的長短可能不一樣,所以延時根據(jù)幀的長短而變化。如果CRC不正確,幀將被丟棄;如果正確，LANswitch查找硬件目標(biāo)地址然后轉(zhuǎn)發(fā)它們。交換機需要解讀數(shù)據(jù)幀的目的地址與源地址，并在MAC地址列表中進行適當(dāng)?shù)倪^濾。如果所接收到的數(shù)據(jù)幀存在錯誤、太短(小于64B)或太長(大于l518B)，最終都會被拋棄。采用這種轉(zhuǎn)發(fā)方式的交換機在接收數(shù)據(jù)幀時延遲較大，且越大的數(shù)據(jù)幀延遲時間越長。知識鏈接1.2交換機轉(zhuǎn)發(fā)技術(shù)01021.2.2直通采用直通方式時，交換機一旦解讀到數(shù)據(jù)幀的目的地址，就開始向目的接口發(fā)送數(shù)據(jù)幀。通常，交換機在接收到數(shù)據(jù)幀的前6B時，就已經(jīng)知道目的地址了，從而可以決定向哪個接口轉(zhuǎn)發(fā)這個數(shù)據(jù)幀。直通轉(zhuǎn)發(fā)技術(shù)的優(yōu)點是轉(zhuǎn)發(fā)速率快、減少延時和提高整體吞吐率。其缺點是交換機在沒有完全接收并檢查數(shù)據(jù)幀的正確性之前就已經(jīng)開始了數(shù)據(jù)轉(zhuǎn)發(fā)。在通信質(zhì)量不高的環(huán)境下交換機會轉(zhuǎn)發(fā)所有的完整數(shù)據(jù)幀和錯誤數(shù)據(jù)幀，這實際上是給整個交換網(wǎng)絡(luò)帶來了許多垃圾通信包。知識鏈接直通轉(zhuǎn)發(fā)技術(shù)在減少傳輸延遲的同時也削減了對數(shù)據(jù)幀的錯誤檢測能力。1.2交換機轉(zhuǎn)發(fā)技術(shù)01021.2.3

自由分段在轉(zhuǎn)發(fā)數(shù)據(jù)之前，過濾有包錯誤的沖突分段(長度為64B)。通常認為數(shù)據(jù)幀的錯誤總是發(fā)生在開始的64B內(nèi)。該方式的錯誤檢測級別要高于直通交換方式。交換機延時：交換機延時是指從交換機接收到數(shù)據(jù)幀到開始向目的接口復(fù)制數(shù)據(jù)幀之間的時間間隔。采用直通轉(zhuǎn)發(fā)技術(shù)的交換機有固定的延時，因為直通式交換機不管數(shù)據(jù)幀的整體大小，而只據(jù)目的地址來決定轉(zhuǎn)發(fā)方向。延時取決于交換機解讀數(shù)據(jù)幀前6B中目的地址的速率。采用存儲轉(zhuǎn)發(fā)技術(shù)的交換機由于必須要接收完了完整的數(shù)據(jù)幀才開始轉(zhuǎn)發(fā)數(shù)據(jù)幀，所以它的延時與數(shù)據(jù)幀大小有關(guān)。數(shù)據(jù)幀大，則延時大，數(shù)據(jù)幀小，則延時小。知識鏈接1.3接口安全基礎(chǔ)知識0102接口安全（PortSecurity）通過將接口學(xué)習(xí)到的動態(tài)MAC地址轉(zhuǎn)換為安全MAC地址，阻止非法用戶通過本接口和交換機通信，從而增強設(shè)備的安全性。知識鏈接指定哪些MAC地址的電腦數(shù)據(jù)可以連接本端口指定任一時刻允許幾個MAC地址訪問本端口發(fā)現(xiàn)來自非法MAC地址的數(shù)據(jù)時：關(guān)閉端口/上報網(wǎng)管/無視02PART010304項目描述2.1項目簡介0102

公司局域網(wǎng)由三臺S3700交換機和4臺員工計算機：財務(wù)員工1、財務(wù)員工2、員工3和員工4組成，如圖3-3所示。交換機LSW3提供給外部客戶訪問公司網(wǎng)絡(luò)，公司的財務(wù)員工涉及公司重要隱私，外部客戶不能訪問，與其他員工主機訪問不受限制，即連接在交換機LSW3的外來客戶計算機不能與財務(wù)員工1和財務(wù)員工2通信，與員工3和員工4可以正常通信，公司內(nèi)部員工計算機可以正常通信。為了實現(xiàn)上述需求，需要在交換機LSW1的接口Ethernet0/0/1使能接口安全功能和配置StickyMAC功能，設(shè)置接口學(xué)習(xí)MAC地址數(shù)的上限為2，且接口綁定允許通過的PC的Mac地址，這樣其他外來人員使用自己帶來的PC無法訪問公司的財務(wù)員工。項目描述03PART010204項目設(shè)計單擊輸入你的正文3.1總體設(shè)計及設(shè)計參數(shù)項目設(shè)計設(shè)備名IP地址設(shè)備名IP地址財務(wù)員工1192.168.1.1/24財務(wù)員工2192.168.1.2/24員工3192.168.1.3/24員工4192.168.1.4/24客戶192.168.1.254/24表1-1網(wǎng)絡(luò)設(shè)備詳細設(shè)計參數(shù)第一部分實驗環(huán)境搭建，配置終端計算機的IP地址并檢測網(wǎng)絡(luò)連通性第二部分在交換機LSW1的接口Ethernet0/0/1配置StickyMAC接口安全第三部分項目實施結(jié)果驗證：客戶計算機不能與財務(wù)員工1、2通信，但能與員工3、4通信，公司內(nèi)部員工能互相通信04PART010203項目實施與驗證單擊輸入你的正文4.1配置計算機0102根據(jù)

IP地址規(guī)劃，設(shè)置IP地址、子網(wǎng)掩碼和DNS服務(wù)器IP地址。左圖為配置界面，右圖為連通性檢測。項目實施與驗證4.1配置計算機0102查看交換機的MAC地址表displaymac-address交換機LSW1的MAC地址表中已經(jīng)自動學(xué)習(xí)并保存了所有通信計算機的MAC地址，而且MAC地址表記錄都是動態(tài)學(xué)習(xí)到的，即MAC地址的類型是dynamic。項目實施與驗證[LSW1]displaymac-addressMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9877-2b211--Eth0/0/1dynamic0/-5489-9813-7aa61--Eth0/0/3dynamic0/-5489-98bc-682b1--Eth0/0/1dynamic0/-5489-98a0-25331--Eth0/0/1dynamic0/-5489-9896-40191--Eth0/0/2dynamic0/--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=54.2配置交換機接口安全功能01024.2.1端口安全配置命令項目實施與驗證設(shè)置某端口的安全性Switchportport-security設(shè)置安全的MAC地址Switchportport-securitymac-address<MAC地址>設(shè)置某端口允許最多的MAC地址數(shù)量Switchportport-securitymaximum<數(shù)量>發(fā)生違規(guī)的應(yīng)對措施Switchportport-securityviolation{shutdown|restrict|protect}4.2配置交換機接口安全功能01024.2.2端口安全配置步驟步驟1：使能端口的安全功能步驟2：設(shè)置允許的最多mac地址數(shù)步驟3：設(shè)置安全mac地址步驟4：設(shè)置發(fā)生安全違規(guī)時的措施步驟5：查看端口安全信息步驟6：查看mac地址表項目實施與驗證4.3結(jié)果驗證0102客戶計算機與財務(wù)員工1計算機不能ping通客戶計算機與員工3計算機能ping通財務(wù)員工1與員工3互訪結(jié)果

項目實施與驗證4.3結(jié)果驗證0102查看交換機的MAC地址表displaymac-address配置完交換機接口安全后，交換機當(dāng)前MAC地址表中員工3和員工4的MAC地址類型已經(jīng)成為StickyMAC地址，保存后重啟設(shè)備MAC地址表項不會刷新或者丟失。項目實施與驗證[Huawei]dismac-addressMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-98a0-25331--Eth0/0/1sticky-5489-98bc-682b1--Eth0/0/1sticky--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=2MACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9896-40191