任務(wù)17：配置接入交換機安全保障終端計算機安全接入

1、17 配置接入交換機端口安全，保障終端計算機接入安全網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù)目錄一、任務(wù)描述二、任務(wù)分析三、知識準備17.1 保護終端設(shè)備接入安全17.2 什么是交換機端口安全17.3 交換機安全端口安全技術(shù)17.4 配置端口最大連接數(shù)17.5 綁定交換機端口安全地址四、任務(wù)實施17.6 綜合實訓：配置接入交換機端口安全，保障終端計算機接入安全知識拓展認證測試任務(wù)描述浙江科技工程學校多媒體實訓中心機房，學生在上課期間使用U盤復制資料，經(jīng)常造成了機房病毒的傳播，特別是ARP病毒的攻擊，經(jīng)常造成全校的網(wǎng)絡(luò)中斷現(xiàn)象發(fā)生。為了避免各個多媒體教室計算機的ARP等病毒傳播，學校的網(wǎng)絡(luò)中心通過實施接入交換機的

2、端口地址捆綁安全，防范接入設(shè)備的安全。任務(wù)分析安裝在網(wǎng)絡(luò)中的交換機設(shè)備能幫助接入設(shè)備高速的傳輸。默認的情況下，交換機的所有端口不提供任何安全檢查措施，允許所有的數(shù)據(jù)流通過。但這樣一來，終端計算機一旦感染上病毒，就會通過接入交換機設(shè)備，傳播到整個網(wǎng)絡(luò)中，影響網(wǎng)絡(luò)的正常運行。因此為保護網(wǎng)絡(luò)內(nèi)的用戶安全，對交換機的端口增加安全訪問功能，可以有效保護網(wǎng)絡(luò)安全。知識準備17.1 保護終端設(shè)備接入安全。交換機的端口安全是工作在交換機二層端口上一個安全特性，它主要有以下功能：只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，防止非法或未授權(quán)設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。知識準

3、備17.2 什么是交換機端口安全。利用端口安全這個特性，可以實現(xiàn)網(wǎng)絡(luò)接入安全，通過限制允許訪問交換機上某個端口的MAC地址以及IP（可選），實現(xiàn)控制對該端口的輸入。為端口配置一些安全地址后，除了源地址為這些安全地址的包外，這個端口將不轉(zhuǎn)發(fā)其他任何數(shù)據(jù)。此外，還可以限制一個端口上能包含的安全地址最大個數(shù)，如果將最大個數(shù)設(shè)置為1，并且為該端口配置一個安全地址，則連接到這個口的工作站（其地址為配置的安全地址）將獨享該端口的全部帶寬。知識準備17.3 交換機安全端口安全技術(shù)。為了增強網(wǎng)絡(luò)的安全性，還可以將MAC地址和IP地址綁定起來，作為安全接入的地址，實施更為嚴格的訪問限制，當然也可以只綁定其中一個

4、地址，如只綁定MAC地址而不綁定IP地址，或者相反。知識準備17.3 交換機安全端口安全技術(shù)。2、配置端口安全地址個數(shù)交換機的端口安全功能還表現(xiàn)在，可以限制一個端口上能連接安全地址的最多個數(shù)。如果一個端口被配置為安全端口，配置有最多的安全地址的連接數(shù)量，當連接的安全地址的數(shù)目達到允許的最多個數(shù)，或者該端口收到一個源地址不屬于該端口上的安全地址時，交換機將產(chǎn)生一個安全違例通知。知識準備17.3 交換機安全端口安全技術(shù)。3、端口安全檢查過程當一個端口被配置成為一個安全端口后，交換機不僅將檢查從此端口接收到幀的源MAC地址，還檢查該端口上配置的允許通過最多安全地址個數(shù)。如果安全地址數(shù)沒有超過配置最大

5、值，交換機還將檢查安全地址表。若此幀源MAC地址沒有被包含在安全地址表中，那么交換機將自動學習此MAC地址，并將它加入到安全地址表中，標記為安全地址，進行后續(xù)轉(zhuǎn)發(fā)；若幀的源MAC地址已經(jīng)存在于安全地址表中，那么交換機將直接轉(zhuǎn)發(fā)該幀。知識準備17.4 配置端口最大連接數(shù)。要想使交換機的端口成為一個安全端口，需要在端口模式下，啟用端口安全特性：Switch(config-if)#switchport port-security當交換機端口上所連接安全地址數(shù)目，達到允許的最多個數(shù)，交換機將產(chǎn)生一個安全違例通知。啟用端口端口安全特性后，使用如下命令為端口配置允許最多的安全地址數(shù)：Switch(conf

6、ig-if)#switchport port-security maximum number默認情況下，端口的最多安全地址個數(shù)為128個。知識準備17.4 配置端口最大連接數(shù)。當安全違例產(chǎn)生后，可以設(shè)置交換機，針對不同的網(wǎng)絡(luò)安全需求，采用不同安全違例的處理模式，其中：Protect ： 當所連接端口通過安全地址，達到最大的安全地址個數(shù)后，安全端口將丟棄其余未知名地址（不是該端口的安全地址中任何一個）數(shù)據(jù)包，但交換機將不作出任何通知以報告違規(guī)的產(chǎn)生。RestrictTrap ：當安全端口產(chǎn)生違例事件后，交換機不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個SNMP Trap報文，

7、等候處理。Shutdown ： 當安全端口產(chǎn)生違例事件后，交換機將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMP Trap報文，而且將端口關(guān)閉，端口將進入“err-disabled”狀態(tài)，之后端口將不再接收任何數(shù)據(jù)幀。知識準備17.4 配置端口最大連接數(shù)。在特權(quán)模式下，通過以下步驟，配置安全端口和違例處理方式。switchport port-security ! 打開接口的端口安全功能。switchport port-security maximum value ! 設(shè)置接口上安全地址最多個數(shù)，范圍是1128，默認值為128。 switchport port-security

8、violation protect | restrict | shutdown ! 設(shè)置接口違例方式，當接口因為違例而被關(guān)閉后選擇方式。 知識準備17.5 綁定交換機端口安全地址。在交換機上配置端口安全地址的綁定操作，通過以下命令和步驟手工配置。Switchport port-security mac-address mac-address ip-address ip-address ! 手工配置接口上的安全地址。Switch (config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 ! 配置端口的安全MAC地址。Switchport port-security maximum 1 ! 限制此端口允許通過MAC地址數(shù)為1。任務(wù)實施【網(wǎng)絡(luò)場景】 如圖所示網(wǎng)絡(luò)場景是浙江科技工程學校多媒體實訓中心機房，由于學生在上課期間使用U盤復制資料，經(jīng)常造成了機房病毒的傳播。為了避免各個多媒體教室計算機ARP等病毒傳播，學校網(wǎng)絡(luò)中心通過實施接入交換機的端口地址捆綁安全，設(shè)置最多地址個數(shù)為1，設(shè)置安全違例方式為protect，防范接入設(shè)備的安全。任務(wù)實施【設(shè)備清單】：交換機（1臺）、計算機（2臺）、網(wǎng)線（若干）。【實施過程】1、