项目三任务一 配置交换机端口安全功能限制用户接入.pptxVIP

在一个网络的建设与管理中，保证网络能安全、稳定可靠地运行是非常重要的。但保证网络安全是一个很复杂的工程，涉及的内容包括技术和管理等多个方面，需要相互补充、综合协同防范。本项目主要从网络设备（交换机和路由器）的配置和管理方面介绍保证网络安全的技术，涉及交换机端口安全、PPP链路安全、OSPF安全认证、地址转换NAT、访问控制列表ACL和DHCP防欺骗技术等。项目导读知识目标了解交换机、路由器在安全方面的功能及应用；掌握交换机端口安全功能及配置方法；掌握路由器广域网接口协议封装、安全认证功能及配置方法；掌握访问控制列表ACL的应用及配置方法；掌握NAT技术的应用及配置方法；掌握网络设备DHCP服务、中继服务、防欺骗等技术及配置方法。项目三网络设备安全配置与应用

能力目标具有交换机端口安全接入的控制能力；具有路由器广域网链路安全接入的控制能力；具有通过访问控制列表ACL过滤网络流量和限制服务访问的能力；具有使用NAT技术解决企业私有网络访问公网及解决在内网发布服务能力；具有在网络设备上启用DHCP服务及防DHCP欺骗能力。素质目标培养诚信守信、按规办事的优良作风；树立规则意识，遵守法律法规、养成良好社会公德和职业道德。树立网络安全意识，构建安全的园区网络。项目三网络设备安全配置与应用

项目三网络设备安全配置与应用目录CONTENTS任务一配置交换机端口安全功能限制用户接入任务五对OSPF邻居进行安全认证任务六配置IP标准访问列表控制网络流量任务七配置IP扩展访问列表限制对服务的访问任务八配置动态NAT实现高效安全地访问Internet任务九配置静态NAPT安全发布内网Internet服务任务十启用网络设备上的DHCP服务任务十一启用网络设备上的DHCP中继服务任务十二网络设备防范DHCP欺骗攻击项目实训：组建安全的园区网络拓展训练：利用ACL防病毒攻击任务二在路由器接口上封装广域网协议任务三应用PPP协议PAP认证实现广域网链路安全任务四应用PPP协议CHAP认证实现广域网链路安全

任务一配置交换机端口安全功能限制用户接入任务描述为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为，小王作为公司的网络管理员，需要设计一个解决方案，为每一位员工分配固定的IP地址，如果擅自更改IP地址将不允许上网，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。知识链接1．交换机端口安全概述利用交换机端口安全这个特性，可以实现如下几个主要功能：只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于安全地址范围的帧时，一个安全违例产生。

任务一配置交换机端口安全功能限制用户接入当安全违例产生时，你可以选择以下几种方式来处理违例:Protect当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的帧。Restrict当违例产生时，交换机不但丢弃收到的帧，而且发送一个SNMPTrap通知。Shutdown当违例产生时，交换机丢弃收到的帧，发送一个SNMPTrap通知，而且将端口关闭。配置端口安全存在以下限制：一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口。一个安全端口不能是SPAN（交换机端口镜像技术）的目的端口。

任务一配置交换机端口安全功能限制用户接入命令模式说明端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护（protect）2.端口安全的默认配置3．端口安全的配置方法命令功能说明switch（config-if）#switchportport-security打开端口的安全功能switch（config-if）#switchportport-securitymaximumn设置端口上安全地址的最大个数，n为个数，最大为128switch（config-if）#switchportport-securityviolation{protect|restrict|shutdown}设置处理违例的方式switch（config-if）#switchportport-security[mac-addressn][ip-addressm]配置安全端口上安全地址，n为Mac地址，m为IP地址