网络构建_项目5 构建企业安全网络.pptxVIP

项目五构建企业安全网络

; 网络攻击手段多种多样，以上是最常见的几种;攻击工具体系化;;;;案例：国赛样题;

项目五构建安全网络

任务5.1保护办公网络安全

;利用交换机的端口安全功能实现

防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。

交换机端口安全的基本功能

限制交换机端口的最大连接数

端口的安全地址绑定;安全违例产生于以下情况：

如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数

如果该端口收到一个源地址不属于端口上的安全地址的包

当安全违例产生时，你可以选择多种方式来处理违例：

Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包

Restrict：当违例产生时，将发送一个Trap通知

Shutdown：当违例产生时，将关闭端口并发送一个Trap通知

;端口安全最大连接数配置

switchportport-security ！打开该接口的端口安全功能

switchportport-securitymaximumvalue

！设置接口上安全地址的最大个数，范围是1－128，缺省值为128

switchportport-securityviolation{protect|restrict|shutdown}

！设置处理违例的方式

注意：

1、端口安全功能只能在access端口上进行配置。

2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。;端口的安全地址绑定

switchportport-security！打开该接口的端口安全功能

switchportport-securitymac-addressmac-addressip-addressip-address ！手工配置接口上的安全地址

注意：

1、端口安全功能只能在access端口上进行配置

2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP;下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect

Switch#configureterminal

Switch(config)#interfacegigabitethernet1/3

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportport-security

Switch(config-if)#switchportport-securitymaximum8

Switch(config-if)#switchportport-securityviolationprotect

Switch(config-if)#end;下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02

Switch#configureterminal

Switch(config)#interfacefastethernet0/3

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportport-security

Switch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02

Switch(config-if)#end

;查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction

------------------------------------------------

Gi1/381Protect

查看安全地址信息

Switch#showport-security