任务7.2 保护交换机端口安全.pptx

项目7保护网络设备安全;;为了防止公司内部用户IP地址冲突，防止内部员工随意修改办公网IP地址，为员工分配固定IP地址，只允许公司的计算机才可以接入网络，不得随意连接其他主机，捆绑该IP地址以及MAC地址到对应端口上，保护网络安全。;默认交换机所有端口完全开放，允许所有数据流通过。对交换机端口增加安全功能，捆绑IP地址及MAC地址，只允许特定MAC接入到网络，防止未授权接入。;7.2.1了解交换机的端口安全功能

大部分网络攻击行为，都采用欺骗源IP或源MAC地址方法，对核心设备进连续攻击，耗尽核心设备资源，如典型ARP攻击、MAC攻击、DHCP攻击。针对交换机端口攻击行为，可以启用交换机端口安全防范。;7.2.1了解交换机的端口安全功能

1.配置端口安全地址

在交换机端口配置限制访问MAC地址以及IP，控制端口数据输入。除源地址为安全地址数据包，这端口不转发其他任何包。;7.2.1了解交换机的端口安全功能

2.配置端口安全地址个数

交换机的端口安全功能还表现在，限制一个端口上连接安全地址最多个数。

如果一个端口配置有最多安全地址连接数量，当连接安全地址数目达到允许的最多个数，交换机将产生一个安全违例通知。;7.2.2配置端口最大连接数

默认接口上的最多安全地址个数为128。针对不同网络安全需求，设置交换机不同安全违例处理模式，其中：

?Protect：将丢弃未知地址（非端口安全地址中任何一个）数据包，不产生任何违规通知报告。

?RestrictTrap：交换机不但丢弃收到帧（MAC地址不在安全地址表中），而且将发送SNMPTrap报文，等候处理。

?Shutdown：将端口关闭，端口将进入“err-disabled”状态，之后端口将不再接收任何数据帧。

;7.2.2配置端口最大连接数

从特权模式开始，通过以下步骤配置安全端口和违例处理方式。;7.2.3配置端口安全地址

根据MAC地址限制端口接入，实施安全：把主机MAC地址与交换机端口绑定。在指定端口限制某些设备MAC地址通过，实现网络接入设备安全控制访问。

;7.2.3配置端口安全地址

?在交换机上配置端口安全地址的绑定操作，通过以下命令和步骤手工配置。;如图为某公司办公网络场景。为了防止公???员工IP地址冲突，实施接入计算机IP地址、MAC地址和交换机端口绑定，保护接入安全。;1.构建网络工作环境

按图所示网络拓扑，连接设备，组建网络场景，注意设备连接接口编号。

2.配置IP地址

按表规划设置PC1和PC2地址信息。;3.测试网络连通性

（1）分别打开两台PC“网络连接”属性窗口，配置规划好IP地址。

（2）配置地址后，使用Ping命令，检查二台PC间连通情况。

在PC1上打开“运行”对话框中，输入“CMD”转到DOS方式下，使用命令“Ping”测试。;4.配置交换机端口安全

（1）配置交换机端口最大连接数限制;（2）验证测试：查看交换机端口安全配置;（3）配置交换机端口的地址绑定

在PC1主机上打开CMD命令提示符窗口，执行“Ipconfig/All”命令，

查看PC1的IP和MAC地址信息：001B.2453.A88F。;（4）配置交换机端口的地址绑定;5.查看验证

通过下面命令登录交换机，查看交换机端口安全配置信息，测试交换机配置安全内容：;