交换机与路由器配置实验教程 教学课件 作者 张世勇 07第7章 安全配置实验.docVIP

第七章 安全配置实验 随着网络技术的发展，现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络，但现在必须高度重视网络的安全性，只有更安全的网络才能保证网络为人民服务，才能推动网络的发展，最终推动社会的发展和人类的进步，针对网络的安全问题，我们从网络设备的安全配置方面，介绍一些安全技术的实验。 实验一 交换机端口安全 交换机（包括路由器）的端口安全，就是对交换机的端口（接口）进行配置，主要包括限制端口的状态，允许或拒绝符合条件的访问，从而实现网络安全。 一、实验概述 大多数交换机都有端口安全配置，也就是对端口进行相应的设置，实现对网络设备的安全控制。 端口的安全配置主要有以下三项： 1、端口工作方式 所谓端口工作方式，主要是在网络设备发展的时间渐进过程中形成的，一般分为单工、半双工、全双工，自动等工作模式。早期的端口，工作能力不行，只能发送，不能接收，称为单工。发送数据的时候不能同时接收，接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下，在两台设备之间同时可以接收和发送数据，使得工作能力增强。 交换机端口工作方式的设置命令为： Duplex auto/full/half 其中auto，表示端口的工作模式为自动协商模式，即交换机端口根据所连设备的速率来自动确定其工作速率。 full，表示强制进入全双工模式。 half，表示强制进入半双工模式。 端口工作方式这个命令，在dynamips仿真软件上使用3640的iso做仿真是可以使用的。 但以下两个功能（端口最大连接数和MAC（或IP）地址绑定）不能在仿真软件上实现，因为3640是cisco的一款路由器产品，在进行仿真时，一般是增加路由器网络模块NM-4E——4端口10bT以太网网络模块NM-16ESW——16端口10/100快速以太网交换机网络模块Swit port-security maximum value value是最大连接数量。 3、MAC（或IP）地址绑定 为了增强交换机的端口安全，可以针对交换机进行端口地址的绑定，将接入设备的MAC地址或IP地址绑定到某端口，也可以MAC地址+IP地址双重绑定。绑定以后，不符合要求的设备将不能建立连接。 命令： Swit port-security mac-address macadd 或：swit port-security ip-address ipadd 其中macadd和ipadd，指的是具体的MAC地址和IP地址。 实验二 标准IP访问控制列表 访问控制列表ACL（Access Control List），是一种安全技术，配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许（permit）或拒绝（deny）进入（in）或离开（out）路由器的数据包，对网络起到安全保护作用。 ACL包含了一组安全控制和检查的命令，根据设定，指定哪些数据可以通过，哪些数据被拒绝，网管人员通过设置对网络中的数据包过滤，实现访问控制。一般是根据IP地址进行ACL。 ACL分为标准IP访问控制列表和扩展访问控制列表，标准访问控制列表比较简单，只对数据包的源地址进行检查，其编号取值范围为1—99或1300—1999。命令格式，全局配置模式下： 1、Access-list number {permit|deny} source-add source-wildcard 其中number就是访问控制列表的号，其编号取值范围为1—99或1300—1999 permit就是允许数据包通过，deny就是拒绝通过 source-add就是允许或拒绝的源地址，source-wildcard就是通配符掩码。 比如：acce-list 10 permit 55 表示允许来自/24网段的访问 另外还可以用主机的IP地址来进行精确控制，其通配符为： 如：acce-list 10 permit 表示允许这个IP地址访问 或：acce-list 10 permit host ，也可以表达同一个意思。 允许所有报文通过则用参数any： acce-list 10 permit any。 我们再来看一个例子： Router（config）#acce-list 10 deny Router（config）#acce-list 10 permit any 这两个命令的组合就是表示除了来自的访问，其他的都允许。 注意：ACL对每个数据包都以自上向下的顺序进行匹配，如果数据包满足第一个条件，就按规定执行，不满足就检测下一条，以此类推。一旦满足了匹配条件，相应操作就会执行，对数据包的检测也到此为止。因此过滤规则的顺序必须考虑，如上例中，一旦顺序颠倒，则允许所有报文通过，不能拒绝了。 2、定义访问控制列表作用于接口上的