RCNA09　园区网安全设计.ppt

第9章 园区网的安全设计 锐捷认证网络工程师RCNA 本章内容 网络安全隐患 交换机端口安全 IP访问列表 课程议题 网络安全隐患 交换机端口安全 IP访问列表 Internet 技术的飞速增长 网络安全风险 针对网络通讯层的攻击 针对操作系统的攻击 针对应用服务的攻击 额外的不安全因素 网络的普及使学习网络进攻变得容易 全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现 网络安全的演化 现有网络安全体制 课程议题 网络安全隐患 交换机端口安全 IP访问列表 交换机端口安全 利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 交换机端口安全 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后; 如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 RestrictTrap：当违例产生时，将发送一个Trap通知。 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。 配置安全端口 端口安全最大连接数配置 switchport port-security 打开该接口的端口安全功能 switchport port-security maximum value 设置接口上安全地址的最大个数，范围是1－128，缺省值为128。 switchport port-security violation{protect| restrict | shutdown} 设置处理违例的方式 配置安全端口 端口的安全地址绑定 switchport port-security 打开该接口的端口安全功能 switchport port-security [mac-address mac-address] [ip-address ip-address] 手工配置接口上的安全地址。 端口安全配置示例 下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。 Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end 端口安全配置示例 下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02 Switch(config-if)# end 验证命令 查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。 Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action ------------ -------------------- ----------------- -------------- Gi1/3 8 1 Protect 验证命令 查看安全地址信息。 Switch# show port