任務(wù)17配置接入交換機安全-保障終端計算機安全接入教學教材_第1頁
任務(wù)17配置接入交換機安全-保障終端計算機安全接入教學教材_第2頁
任務(wù)17配置接入交換機安全-保障終端計算機安全接入教學教材_第3頁
任務(wù)17配置接入交換機安全-保障終端計算機安全接入教學教材_第4頁
任務(wù)17配置接入交換機安全-保障終端計算機安全接入教學教材_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

任務(wù)17配置接入交換機端口安全,保障終端計算機接入安全《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)》目錄一、任務(wù)描述 二、任務(wù)分析 三、知識準備 17.1保護終端設(shè)備接入安全 17.2什么是交換機端口安全 17.3交換機安全端口安全技術(shù) 17.4配置端口最大連接數(shù) 17.5綁定交換機端口安全地址 四、任務(wù)實施 17.6綜合實訓(xùn):配置接入交換機端口安全,保障終端計算機接入安全 知識拓展認證測試

任務(wù)描述浙江科技工程學校多媒體實訓(xùn)中心機房,學生在上課期間使用U盤復(fù)制資料,經(jīng)常造成了機房病毒的傳播,特別是ARP病毒的攻擊,經(jīng)常造成全校的網(wǎng)絡(luò)中斷現(xiàn)象發(fā)生。為了避免各個多媒體教室計算機的ARP等病毒傳播,學校的網(wǎng)絡(luò)中心通過實施接入交換機的端口地址捆綁安全,防范接入設(shè)備的安全。。知識準備17.1保護終端設(shè)備接入安全。交換機的端口安全是工作在交換機二層端口上一個安全特性,它主要有以下功能:只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中,防止非法或未授權(quán)設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量,防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。知識準備17.2什么是交換機端口安全。利用端口安全這個特性,可以實現(xiàn)網(wǎng)絡(luò)接入安全,通過限制允許訪問交換機上某個端口的MAC地址以及IP(可選),實現(xiàn)控制對該端口的輸入。為端口配置一些安全地址后,除了源地址為這些安全地址的包外,這個端口將不轉(zhuǎn)發(fā)其他任何數(shù)據(jù)。此外,還可以限制一個端口上能包含的安全地址最大個數(shù),如果將最大個數(shù)設(shè)置為1,并且為該端口配置一個安全地址,則連接到這個口的工作站(其地址為配置的安全地址)將獨享該端口的全部帶寬。知識準備17.3交換機安全端口安全技術(shù)。為了增強網(wǎng)絡(luò)的安全性,還可以將MAC地址和IP地址綁定起來,作為安全接入的地址,實施更為嚴格的訪問限制,當然也可以只綁定其中一個地址,如只綁定MAC地址而不綁定IP地址,或者相反。知識準備17.3交換機安全端口安全技術(shù)。2、配置端口安全地址個數(shù)交換機的端口安全功能還表現(xiàn)在,可以限制一個端口上能連接安全地址的最多個數(shù)。如果一個端口被配置為安全端口,配置有最多的安全地址的連接數(shù)量,當連接的安全地址的數(shù)目達到允許的最多個數(shù),或者該端口收到一個源地址不屬于該端口上的安全地址時,交換機將產(chǎn)生一個安全違例通知。知識準備17.3交換機安全端口安全技術(shù)。3、端口安全檢查過程當一個端口被配置成為一個安全端口后,交換機不僅將檢查從此端口接收到幀的源MAC地址,還檢查該端口上配置的允許通過最多安全地址個數(shù)。如果安全地址數(shù)沒有超過配置最大值,交換機還將檢查安全地址表。若此幀源MAC地址沒有被包含在安全地址表中,那么交換機將自動學習此MAC地址,并將它加入到安全地址表中,標記為安全地址,進行后續(xù)轉(zhuǎn)發(fā);若幀的源MAC地址已經(jīng)存在于安全地址表中,那么交換機將直接轉(zhuǎn)發(fā)該幀。知識準備17.4配置端口最大連接數(shù)。要想使交換機的端口成為一個安全端口,需要在端口模式下,啟用端口安全特性:Switch(config-if)#switchportport-security

當交換機端口上所連接安全地址數(shù)目,達到允許的最多個數(shù),交換機將產(chǎn)生一個安全違例通知。啟用端口端口安全特性后,使用如下命令為端口配置允許最多的安全地址數(shù):Switch(config-if)#switchportport-securitymaximumnumber默認情況下,端口的最多安全地址個數(shù)為128個。

知識準備17.4配置端口最大連接數(shù)。當安全違例產(chǎn)生后,可以設(shè)置交換機,針對不同的網(wǎng)絡(luò)安全需求,采用不同安全違例的處理模式,其中:Protect:當所連接端口通過安全地址,達到最大的安全地址個數(shù)后,安全端口將丟棄其余未知名地址(不是該端口的安全地址中任何一個)數(shù)據(jù)包,但交換機將不作出任何通知以報告違規(guī)的產(chǎn)生。RestrictTrap:當安全端口產(chǎn)生違例事件后,交換機不但丟棄接收到的幀(MAC地址不在安全地址表中),而且將發(fā)送一個SNMPTrap報文,等候處理。Shutdown:當安全端口產(chǎn)生違例事件后,交換機將丟棄接收到的幀(MAC地址不在安全地址表中),發(fā)送一個SNMPTrap報文,而且將端口關(guān)閉,端口將進入“err-disabled”狀態(tài),之后端口將不再接收任何數(shù)據(jù)幀。

知識準備17.4配置端口最大連接數(shù)。在特權(quán)模式下,通過以下步驟,配置安全端口和違例處理方式。switchportport-security!打開接口的端口安全功能。switchportport-securitymaximumvalue!設(shè)置接口上安全地址最多個數(shù),范圍是1-128,默認值為128。switchportport-securityviolation{protect|restrict|shutdown}!設(shè)置接口違例方式,當接口因為違例而被關(guān)閉后選擇方式。

知識準備17.5綁定交換機端口安全地址。在交換機上配置端口安全地址的綁定操作,通過以下命令和步驟手工配置。Switchportport-securitymac-addressmac-address[ip-addressip-address]!手工配置接口上的安全地址。Switch(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1!配置端口的安全MAC地址。Switchportport-securitymaximum1!限制此端口允許通過MAC地址數(shù)為1。

任務(wù)實施【網(wǎng)絡(luò)場景】如圖所示網(wǎng)絡(luò)場景是浙江科技工程學校多媒體實訓(xùn)中心機房,由于學生在上課期間使用U盤復(fù)制資料,經(jīng)常造成了機房病毒的傳播。為了避免各個多媒體教室計算機ARP等病毒傳播,學校網(wǎng)絡(luò)中心通過實施接入交換機的端口地址捆綁安全,設(shè)置最多地址個數(shù)為1,設(shè)置安全違例方式為protect,防范接入設(shè)備的安全。任務(wù)實施【設(shè)備清單】:交換機(1臺)、計算機(2臺)、網(wǎng)線(若干)?!緦嵤┻^程】1、配置接入交換機的安全端口

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論