计算机网络技术基础教学课件作者徐红教学资源rcna_10_园区网安全课件.pdfVIP

园区网安全 RCNA_10 学习目标 ? 通过本章的学习，希望您能够： ? 了解园区网安全隐患 ? 掌握交换机端口安全原理及配置方法 ? 掌握ACL的工作原理及配置方法 本章内容 ? 园区网安全隐患 ? 园区网的常见安全隐患 ? 园区网安全解决方案的整体思 路 ? 交换机端口安全 ? 交换机端口安全概述 ? 端口安全的配置 ? 访问控制列表 ? 访问控制列表概述 ? ACL的种类 ? 配置ACL 课程议题 园区网安全隐患 园区网的常见安全隐患 ? 网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可 能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系 统资源的潜在的环境、条件或事件。 ? 园区网络安全隐患包括的范围比较广，如自然火灾、意外事故、人为行为 （如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息 丢失、电子监听（信息流量分析、信息窃取等）和信息战等。 ? 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和 工业事故等。 ? 人为但属于操作人员无意的失误造成的数据丢失或损坏。 ? 来自园区网外部和内部人员的恶意攻击和破坏。 园区网安全解决方案的整体思路 ? 制定一个严格的安全策略 ? 可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤 等技术来实现一套可行的园区网安全解决方案。 ? 宣传教育 课程议题 交换机端口安全 交换机端口安全概述 ? 交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 ? 只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授 权的设备接入网络。 ? 限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 ? 配置端口安全存在以下限制： ? 一个安全端口必须是一个Access端口，及连接终端设备的端口，而非 Trunk端口。 ? 一个安全端口不能是一个聚合端口（Aggregate Port）。 ? 一个安全端口不能是SPAN的目的端口。 交换机端口安全概述 ? 当配置完成端口安全之后，如果当违例产生时，可以设置下面几种 针对违例的处理模式： ? protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口 的安全地址中的任何一个)的包 ? restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安 全地址表中），而且将发送一个SNMP Trap报文 ? shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安 全地址表中），发送一个SNMP Trap报文，而且将端口关闭。 端口安全的配置 ? 打开该接口的端口安全功能 ? 设置接口上安全地址的最大个数 ? 配置处理违例的方式 Switch(conifg-if)# switchport port-security Switch(conifg-if)# switchport port-security maximum number Switch(conifg-if)# switchport port-security violation { protect | restrict | shutdown } 配置安全端口上的安全地址 ? 配置安全端口上的安全地址 ? 当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使 用如下命令手工将其恢复为UP状态： ? 设置端口从“err-disabled”状态自动恢复所等待的时间 Switch(conifg-if)# switchport port-security [mac-address mac-address [ip-address ip- address] Switch(conifg)# errdisable recovery Switch(conifg)# errdisable recovery interval time ? 配置安全地址的老化时间 ? 关闭一个接口的安全地址老化功能（老化时间为0） ? 使老化时间仅应用于动态学习到的安全地址 Switch(conifg-if)# switchport port-security aging{static | time time } Switch(conifg-if)# no switchport port-security aging time Switch(conifg-if)# no switchport port-security aging static 查看端口安全信息 ? 显示所有接口的安全设置状态、违例处理等信息 ? 来查看安全地址信息，显示安全地址及老化时间 ? 显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以 及违例处理方式等 Router# show port-se