交换机端口保护技术分析与实现.doc

CHANGSHA UNIVERSITY OF SCIENCE TECHNOLOGY 《网络工程设计》课程设计 文万成 学 院 计算机与通信学院 专 业 网络工程 班 级 085811002 学 号 201058080227 学生姓名 文万成 　 指导教师 刘青 课程成绩 完成日期 2013年9月10日 课程论文成绩评定 学 院 计算机与通信学院 专 业 　　网络工程　　 班 级 学 号 201058080227 学生姓名 文万成 　 指导教师 刘青 课程成绩 完成日期 2013.9.10 指导教师对学生在课程设计中的评价 评分项目 优 良 中 及格 不及格 课程论文中的创造性成果 学生掌握课程内容的程度 课程论文完成情况 课程论文动手能力 文字表达 学习态度 规范要求 课程论文的质量 指导教师对课程论文的评定意见 综合成绩 指导教师签字 2013年9月15日 课程设计任务书 计算机与通信工程学院 网络工程专业 课程名称 网络工程 时间 2013～2014学年第一学期1～2周 学生姓名 文万成 指导老师 刘青 题 目 交换机端口保护技术分析与实现 主要内容： 熟悉交换机的基本配置方法 了解交换机端口保护技术 基本实现交换机端口保护 要求： （1）了解现有的交换机端口保护技术； （2）熟悉交换机端口保护配置； （3）通过实际配置交换机端口保护，掌握交换机端口配置的的基本方法。 （4）按要求编写课程设计报告书，能正确阐述设计结果。 （5）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。 （6）在老师的指导下，要求每个学生独立完成课程设计的全部内容。 应当提交的文件： ①课程设计设计附件（源程序、图纸、实验数据、等） 交换机端口保护技术分析与实现 学生姓名： 指导老师：目 录 1概述 1 1.1交换机端口保护的必要性 1 1.2MAC地址绑定介绍 1 1.3VLAN介绍 2 1.4端口保护技术介绍 2 2 MAC地址绑定设计方案实现 3 2.1端口安全MAC地址实现 3 2.2违规后三种处理模式 7 2.3安全MAC地址老化配置 8 3 VLAN划分实现方案 10 3.1VLAN划分配置 10 3.2VLAN网络测试 13 4 交换机端口保护配置 15 4.1配置端口保护命令 15 4.2配置端口保护结果分析 16 5结束语 18 参考文献 19 1概述 组建一个安全的网络依赖于网络设备的端口安全，交换机属于重要的网络设备，其端口的安全性尤为重要，本课程设计介绍了端口保护的技术，包括MAC地址绑定、VLAN和端口保护。 1.1交换机端口保护的必要性 由于网络用户的多样性，网络上的用户都有可能会受到外网或者内网的攻击，未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口，并执行信息、收集或攻击。交换机可被配置为像集线器那样工作，这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此，攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。[1] 在部署交换机之前，应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效MAC 地址的数量，并可以限制端口的流量。配置端口安全可以防止未知设备在没有经过管理员允许的情况下连接到端口上。 因此，配置交换机的端口保护是有价值且有必要的。 1.2MAC地址绑定介绍 Cisco IOS交换机中的端口安全（Port security）功能可以限制在端口上使用的MAC地址（也称为“安全MAC地址”）数，允许阻止未授权MAC地址的访问，也就是通常所说的端口与MAC地址绑定。 端口安全限制端口上所允许的有效MAC 地址的数量。如果为安全端口分配了安全MAC 地址，那么当数据包的源地址不是已定义地址组中的地址时，端口不会转发这些数据包。如果将安全MAC 地址的数量限制为一个，并只为该端口分配一个安全MAC 地址，那么连接该端口的工作站将获得端口的全部带宽，并且只有地址为该安全MAC地址的工作站才能成功连接到该交换机端口。 当端口收到一个源地址不属于端口上的安全地址的包时，一个