中職的培訓網(wǎng)絡路由交換技術(shù)應用三

1、中職的培訓網(wǎng)絡路由交換技術(shù)應用三本講內(nèi)容交換機端口安全IP訪問控制列表NAT技術(shù)課程議題交換機端口安全交換機端口安全利用交換機的端口安全功能實現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定交換機端口安全安全違例產(chǎn)生于以下情況：如果一個端口被配置為一個安全端口，當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)如果該端口收到一個源地址不屬于端口上的安全地址的包當安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端

2、口的安全地址中的任何一個）的包Restrict：當違例產(chǎn)生時，將發(fā)送一個Trap通知Shutdown：當違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知配置安全端口 端口安全最大連接數(shù)配置switchport port-security ！打開該接口的端口安全功能switchport port-security maximum value！設置接口上安全地址的最大個數(shù)，范圍是1128，缺省值為128switchport port-security violationprotect|restrict |shutdown！設置處理違例的方式注意： 1、端口安全功能只能在access端口上進行配置。 2

3、、當端口因為違例而被關(guān)閉后，在全局配置模式下使用命令errdisable recovery 來將接口從錯誤狀態(tài)中恢復過來。配置安全端口端口的安全地址綁定switchport port-security ！打開該接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的安全地址注意： 1、端口安全功能只能在access端口上進行配置 2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設置

4、最大地址個數(shù)為8，設置違例方式為protectSwitch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Sw

5、itch(config-if)# end案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機MAC為00d0.f800.073c，IP為02Switch# configure terminalSwitch(config)# interface fastethernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-addres

6、s 00d0.f800.073c ip-address 02Switch(config-if)# endSwitch#show mac查看配置信息查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當前安全地址數(shù)以及違例處理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect查看安全地址信息Switch# show port-security address Vlan Mac Address IP Address Type Port

7、Remaining Age(mins) - - - - - - 1 00d0.f800.073c 02 Configured Fa0/3 8 1課程議題IP訪問控制列表什么是訪問列表IP Access-list：IP訪問列表或訪問控制列表，簡稱IP ACLACL就是對經(jīng)過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾ISP訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應用在路由器（或交換機）的接口上訪問控制列表規(guī)則的分類：1、標準訪問控制列表2、擴展訪問控制列表 訪問列表規(guī)則的應用路由器應用訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制1.入棧應用（

8、in）經(jīng)某接口進入設備內(nèi)部的數(shù)據(jù)包進行安全規(guī)則過濾2.出棧應用（out）設備從某接口向外發(fā)送數(shù)據(jù)時進行安全規(guī)則過濾一個接口在一個方向只能應用一組訪問控制列表F1/0F1/1INOUTIP ACL的基本準則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕” IP標準訪問列表的配置1.定義標準ACL編號的標準訪問列表Router(config)#access-list permit|deny 源地址 反掩

9、碼命名的標準訪問列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩碼2.應用ACL到接口Router(config-if)#ip access-group in | out 標準IP ACL配置示例要求網(wǎng)段的主機不可以訪問服務器，其它主機訪問服務器不受限制。 標準IP ACL配置示例R(config)# access-list 1 deny host IP擴展訪問列表的配置1.定義擴展的ACL編號的擴展ACLRouter(config)#access-list permit

10、/deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 命名的擴展ACLip access-list extended name permit /deny 協(xié)議 源地址 反掩碼源端口 目的地址 反掩碼 目的端口 2.應用ACL到接口Router(config-if)#ip access-group in | out 擴展IP ACL配置示例為公司的文件服務器，要求網(wǎng)段中的主機能夠訪問中的FTP服務和WEB服務，而對服務器的其它服務禁止訪問。 名稱IP ACL配置示例Router(config)#access-list 100 permit ip any any 訪問列表的驗證顯示

11、全部的訪問列表Router#show access-lists顯示指定的訪問列表Router#show access-lists 顯示接口的訪問列表應用Router#show ip interface 接口名稱 接口編號IP訪問列表配置注意事項1、一個端口在一個方向上只能應用一組ACL2、銳捷全系列交換機可針對物理接口和SVI接口應用ACL針對物理接口，只能配置入棧應用(In)針對SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應用3、訪問列表的缺省規(guī)則是：拒絕所有基于時間的ACL基于時間的ACL對于不同的時間段實施不同的訪問控制規(guī)則在原有ACL的基礎上應用時間段任何類型的AC

12、L都可以應用時間段時間段絕對時間段（absolute）周期時間段（periodic）混合時間段配置時間段配置時間段time-range time-range-name Router(config)#配置絕對時間absolute start time date end time date | end time date Router(config-time-range)#start time date：表示時間段的起始時間。time表示時間，格式為“hh:mm”。date表示日期，格式為“日 月 年” end time date：表示時間段的結(jié)束時間，格式與起始時間相同示例：absolute s

13、tart 08:00 1 Jan 2010 end 10:00 1 Feb 2010配置時間段（續(xù)）配置周期時間periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm Router(config-time-range)#day-of-the-week：表示一個星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sundayhh:mm：表示時間weekdays：表示周一到

14、周五weekend：表示周六到周日 daily：表示一周中的每一天示例：periodic weekdays 09:00 to 18:00配置時間段（續(xù)）應用時間段在ACL規(guī)則中使用time-range參數(shù)引用時間段只有配置了time-range的規(guī)則才會在指定的時間段內(nèi)生效，其它未引用時間段的規(guī)則將不受影響確保設備的系統(tǒng)時間的正確！基于時間的ACL配置示例在上班時間（9：0018：00）不允許員工的主機（/24）訪問Internet，下班時間可以訪問Internet上的Web服務。 課程議題網(wǎng)絡地址轉(zhuǎn)換NATNAT實施NAT優(yōu)點：節(jié)省公共地址可減少編址方案重疊的情況發(fā)生將私有網(wǎng)絡轉(zhuǎn)化成公網(wǎng)時，

15、無需要重新進行編址NAT缺點：NAT會增加延遲無法進行端到端的IP跟蹤配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進入接口配置模式下，執(zhí)行命令ip nat inside | outside 。第三步：使用全局命令ip nat inside source static local-ip interface interface | global-ip 配置靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命令ip nat inside | outside

16、 。第三步：使用全局命令ip nat inside source static tcp | udp local-ip local-port interface interface | global-ip global-port指定靜態(tài)PAT條目。配置靜態(tài)外部源地址轉(zhuǎn)換 第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進入接口配置模式下，并執(zhí)行命令ip nat inside | outside 。第三步：使用全局命令ip nat outside source static global-ip local-ip指定靜態(tài)轉(zhuǎn)換條目。配置動態(tài)NAT第一步：

17、在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個內(nèi)部接口和一個外部接口，方法是進入接口配置模式下，并執(zhí)行命令ip nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定義IP訪問控制列表，以明確哪些報文將被進行NAT轉(zhuǎn)換。第四步：使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個地址池，用于轉(zhuǎn)換地址。配置動態(tài)NAT第五步：使用命令ip nat inside

18、 source list access-list-number interface interface | pool pool-name 將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。配置NAPT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個內(nèi)部接口和一個外部接口，并執(zhí)行命令ip nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定義IP訪問控制列表，以明確哪些報文將被進行NAT轉(zhuǎn)換。第四步：使用命令ip nat pool pool-name start-

19、ip end-ip netmask netmask | prefix-length prefix-length 定義一個地址池，用于轉(zhuǎn)換地址。第五步：使用命令ip nat inside source list access-list-number interface interface | pool pool-name 將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。 配置NAPT課程議題策略路由策略路由策略路由是一種比基于目標網(wǎng)絡進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制，應用了策略路由，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。配置任務分為四個部分，定義重分布路由圖，一個路由圖