任务一 
保护办公网络安全
 
教学视频
任务 保护企业办公网安全项目资讯

一、项目背景 交换机端口安全与配置方式

(一)概 述

1.交换机端口安全

交换机端口安全功能是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两类,一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。

交换机端口是防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。通常,在局域网内部,常常受到一些攻击,这些攻击包括:

(1)MAC攻击。

每秒发送成千上万个随机源MAC的报文,在交换机的内部,大量广播包向所有端口转发,使MAC地址表空间很快就被不存在的源MAC地址占满,没有空间学习合法的MAC地址。

(2)ARP的攻击。

攻击者不断向对方计算机发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:

A.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框;

B.计算机不能正常上网,出现网络中断的症状。

由于这种攻击是利用ARP请求报文进行“欺骗”的,防火墙会误认为这是正常的请求数据包,不予拦截,所以普通的防火墙很难抵挡这种攻击。

(3)IP、MAC地址欺骗。

攻击者用网络盗用别人的IP或MAC地址,进行网络攻击。

2.交换机端口安全的基本功能

交换机端口安全的基本功能包括:

(1)限制交换机端口的最大连接数。限制交换机端口的最大连接数可以控制交换机端口下连的主机数,以防止用户进行恶意的ARP欺骗。

(2)端口的安全地址绑定,如在端口上同时绑定IP和MAC地址,也可以防ARP欺骗;在端口上绑定MAC地址,并限定安全地址数为1,可以防止恶意DHCP请求。

交换机端口地址的绑定,可针对MAC地址、IP地址、IP+MAC地址进行灵活的绑定,从而实现对用户的严格控制,保证用户的安全接入和防止常见的内网的网络攻击。如:ARP欺骗,IP或MAC地址欺骗,IP地址攻击等。

3.安全违例方式

(1)安全违例产生于以下情况。

如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数。

如果该端口收到一个源地址不属于端口上的安全地址的包。

(2)安全违例的处理方式。

在配置了端口安全功能后,在实际应用中,如果违反了端口安全,将产生一个安全违例,产生安全违例有3种处理方式:

A.protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包,这也是缺省配置;

B.restrict:当违反端口安全时,将发送一个Trap通知;

C.shutdown:当违反端口安全时,将关闭端口并发送一个Trap通知。

(3)配置端口的一些限制。

配置端口安全时有如下一些限制:

A.一个安全端口不能是一个aggregate port,只能在一个ACCESS接口上配置;

B.一个安全端口不能是SPAN的目的端口;

C.交换机最大连接数限制默认的处理方式是protect;

D.端口安全和802.1x认证端口是互不兼容的,不能同时启用;

E.安全地址是有优先级的,从低到高的顺序是:单MAC地址、单IP地址/MAC地址+IP地址(谁后设置谁生效);

F.单个端口上的最大安全地址个数为128个;

G.在同一个端口上不能同时应用绑定IP的安全地址和安全ACL,这两种功能是互斥的;

H.支持绑定IP地址的数量是有限制的。

(二)配置安全端口

1.配置格式

配置步骤如下:

1启动端口安全功能。

Switch(config-if)# switchport port-security     !打开该接口的端口安全功能

2端口安全最大连接数配置。

Switch(config-if)# switchport port-security maximum value          !设置接口上安全地址的最大个数,范围是1-128,缺省值为128
Switch(config-if)# no switchport port-security maximum             !恢复接口安全地址的最大个数为缺省值
注意

(1)端口安全功能只能在access端口上进行配置。

(2)当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。

(3)端口地址绑定。

Switch(config-if)#switchport port-security mac-address mac-address [ip-address ip-address]  !手工配置接口上的安全地址MAC地址及IP地址
Switch(config-if)# no switchport port-security mac-address mac-address                      !删除安全地址绑定

3设置处理违例的方式。

Switch(config-if)# switchport port-security violation{protect|restrict |shutdown}         !设置处理违例的方式
Switch(config-if)# no switchport port-security violation                                  !将违例处理方式恢复为缺省值
注意

(1)端口安全功能只能在access端口上进行配置。

(2)端口的安全地址绑定方式有:单MAC、单IP、MAC+IP。

2.应用案例

例1:配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect。

Switch#configure terminal
Switch(config)#interface gigabitethernet 1/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 8
Switch(config-if)#switchport port-security violation protect
Switch(config-if)#end

例2:配置接口fastethernet0/5上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.1.1。

Switch# configure terminal
Switch(config#interface fastethernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1

3.查看配置信息

查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等。

Switch#show port-security

二、任务实施 保护办公网络安全

 
教学视频
任务 保护企业办公网安全
任务名称

交换机的端口安全配置。

任务目的

掌握交换机的端口安全功能,具备控制用户的安全接入的能力。

背景描述

你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为,为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G上边。

技术原理

交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。

限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。

交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。可以保证用户的安全接入和防止常见的内网的网络攻击,如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。

配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:

(1)Protect,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。

(2)Restrict,当违例产生时,将发送一个Trap通知。

(3)Shutdown,当违例产生时,将关闭端口并发送一个Trap通知。

当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。

实现功能

针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。

任务设备

S2126G交换机(1台)、PC(1台)、直连网线(1条)。

网络拓扑
图5-1 网络拓扑
任务步骤

1配置交换机端口的最大连接数限制。

Switch#configure terminal
Switch(config)#interface range fastethernet 0/1-16                      !进行一组端口的配置模式。
Switch(config-if-range)#switchport port-security                        !开启交换机的端口安全功能
Switch(config-if-range)#switchport port-secruity maximum 1              !配置端口的最大连接数为1
Switch(config-if-range)#switchport port-secruity violation shutdown     !配置安全违例的处理方式为shutdown

验证测试:查看交换机的端口安全配置。

Switch#show port-security

2配置交换机端口的地址绑定。

首先,在主机上打开CMD命令提示符窗口,执行ipconfig /all命令。查看主机的IP和MAC地址信息。

配置交换机端口的地址绑定。

Switch#configure terminal
Switch(config)#interface  fastethernet 0/3
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 68F7.2879.61b9 ip-address 172.16.1.55   !配置IP地址和MAC地址的绑定

3验证测试,查看地址安全绑定配置。

Switch#show port-security address
注意事项

(1)交换机端口安全功能只能在ACCESS接口进行配置。

(2)交换机最大连接数限制取值范围是1-128,默认是128。

(3)交换机最大连接数限制默认的处理方式是protect。