网络系统建设与运维高级 第10章 网络系统安全 V1.2.pptxVIP

第10章网络系统安全

第0页

l理解交换机接口安全的原理、理解DHCPSnooping的原理。

l理解动态ARP检测的原理。

l理解防IP源地址欺骗的原理。

l理解IPSecVPN的概念和原理。

l掌握防MAC泛洪攻击的配置、掌握防DHCP欺骗的配置。

l掌握防ARP欺骗的配置。

l掌握防IP源地址欺骗的配置。

l掌握IPSecVPN的配置。

学习目标

第1页

10.1以太网安全10.2.3IPSec基本概念

10.1.1交换机的接口安全10.2.4IKE协议

10.1.2DHCPSnooping10.2.5IPSecVPN配置

10.1.3ARP安全

10.1.4IP源防护

10.2虚拟专用网络

10.2.1VPN简介

10.2.2加密学基础

目录

第2页

l以太网主要是由交换机组成，要保证以太网的安全就需要在交换机上做必要的安全措施，

这些措施包含（但不仅限于）：接口安全、防DHCP欺骗、ARP安全、防IP源欺骗，这些措施将在本小节介绍。除此还有防止STP、VRRP、路由协议被攻击的措施，这些措施已经在相关章节介绍，不在本小节介绍。

10.1以太网安全

第3页

lMAC泛洪攻击原理

黑客在STA3上，发送具有虚假源MAC地址的帧，每发送一个帧，源MAC改变一次，MAC表就会多一条记录，如此反复直到交换机MAC地址表爆满，交换机就无法再学习新的MAC记录。图中交换机的MAC表爆满后，STA4开机，交换机将无法学习STA4在哪个接口。交换机进入称为

“失效开放”的模式，开始像集线器一样工作，将要发往STA4的数据帧从除了源端口外的全部

10.1.1交换机的接口安全

接口泛洪出去。

第4页

进入接口视图，执行【port-securityenable】命令，使能接口安全功能。默认情况下，交换机的

接口未使能接口安全功能。必须使能接口安全功能后，才可以配置安全动态MAC的学习限制数量、接口安全保护动作和安全动态MAC的老化时间。

（可选）执行【port-securitymax-mac-nummax-number】命令，配置接口安全动态MAC学习限制数量。默认时，接口学习的MAC地址限制数量为1。

（可选）执行【port-securityprotect-action{protect|restrict|shutdown}】命令，配置接口安全保护动作。默认情况下，接口安全保护动作为restrict。接口安全保护动作三种：

nprotect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。

nrestrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。

nshutdown：当学习到的MAC地址数超过接口限制数时，接口执行Shutdown操作，同时发出告警。

10.1.1交换机的接口安全

第5页

l接口安全防止MAC泛洪攻击的配置案例

[S1]interfaceGigabitEthernet0/0/1

[S1-GigabitEthernet0/0/1]port-securityenable

//以上使能接口安全功能

[S1-GigabitEthernet0/0/1]port-securitymax-mac-num1//以上配置接口MAC数量为1

[S1-GigabitEthernet0/0/1]port-securityprotect-actionrestrict//以上配置接口安全保护动作为restrict

10.1.1交换机的接口安全

第6页

l配置StickyMAC功能

进入接口视图，执行【port-securityenable】命令，使能接口安全功能。

执行【port-securitymac-addresssticky】命令，使能接口自动StickyMAC功能。默认情况下，接口未使能StickyMAC功能。

（可选）执行【port-securitymax-mac-nummax-number】命令，配置接口StickyMAC学习限制数量。默认情况下，接口学习的MA