1.9 交换机端口安全部署.pptx

《企业网络搭建及应用》配套资源项目1　企业网络搭建1.９　工作任务9——交换机端口安全部署1.9　工作任务9——交换机端口安全部署任务准备1432任务需求与分析任务实施任务实战安全一、任务准备常见的网络安全漏洞从网络模型来看，在各层的网络安全漏洞有：物理层――线路的安全、物理设备的安全、机房的安全；链路层――MAC地址欺骗/泛洪、ARP欺骗、STP攻击、DHCP攻击；网络层――IP地址扫描/欺骗/攻击；传输层――面向连接和非连接的攻击，也就是端口扫描；应用层――Web服务、电子邮件、FTP，病毒对系统的攻击；一、任务准备MAC地址攻击是一种使攻击者可以利用广播的报文，进行监听或者占用网络流量，使网络拥塞的攻击。一、任务准备按照RFC的规定，PC在发ARP响应时，不需要一定要先收到ARP请求报文，局域网中任何一台PC都可以向网络内其它PC通告：自己就是PC A和MAC A的对应关系，这就给攻击者带来可乘之机！由于ARP协议的缺陷，导致攻击者很容易发送虚假的ARP请求报文和响应报文，来扰乱局域网中被攻击主机的ARP表，从而使得网络中的合法主机无法正常上网或通讯中断。二、任务需求与分析为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为，ABC公司要求将所有计算机的Mac地址和IP地址与交换机端口进行绑定，并限制交换机端口的最大连接数，在一定程度上既有效地控制ARP攻击，同时又实现了只允许公司员工主机可以使用网络，其他人不能随意接入网络的目标。三、任务实施　端口安全：你可以通过限制允许访问交换机上某个端口的MAC地址以及IP地址（可选）来实现对该端口输入的严格控制。三、任务实施SW1配置参考命令SW1SW1enableSW1#configSW1(config)#interface ethernet 1/0/5SW1(config-if-ethernet1/0/5)#switchport port-security !开启端口安全模式SW1(config-if-ethernet1/0/5)#switchport port-security maximum 2 ！设置端口最大登入数量SW1(config-if-ethernet1/0/5)#exitSW1(config)#am enableSW1(config)#int ethernet 1/0/5SW1(config-if-ethernet1/0/5)#am portSW1(config-if-ethernet1/0/5)#am mac-ip-pool 00-1e-90-6d-b8-e7 0 ！端口mac+ip的绑定SW1(config-if-ethernet1/0/5)#exit SW1#write三、任务实施SW2配置参考命令SW2SW2enableSW2#configSW2(config)#interface ethernet 1/0/5SW2(config-if-ethernet1/0/5)#switchport port-securitySW2(config-if-ethernet1/0/5)#switchport port-security maximum 2SW2(config-if-ethernet1/0/5)#exitSW2(config)#am enableSW2(config)#int ethernet 1/0/5SW2(config-if-ethernet1/0/5)#am portSW2(config-if-ethernet1/0/5)#am mac-ip-pool 00-1e-60-6d-b8-a3 50SW2(config-if-ethernet1/0/5)#exitSW2(config)#exitSW2#write 三、任务实施SW3配置参考命令SW3SW3enableSW3#configSW3(config)#interface Ethernet 1/1-20SW3(config-if-port-range)#switchport port-securitySW3(config-if-port-range)#switchport port-security maximum 2SW3(config-if-port-range)#switchport port-security mac-address 54-a2-87-ed-c7-a7 ！端口mac绑定SW3(config-if-port-range)#endSW3#write四、练习实战端口安全违例　　ABC公司决定对财务部和销售部开启端口安全功能，使得财务部（所用端口号为10，有计算机4台）下连计算机数量为4台，并且把财务部所有计算机进行MAC地址绑定，当超过额定数量的计算机时，