全國中職技能大賽培料3課件

中職職業(yè)技能大賽培訓(xùn)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)出口本章內(nèi)容交換機(jī)端口安全I(xiàn)P訪問控制列表NAT技術(shù)課程議題交換機(jī)端口安全交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全安全違例產(chǎn)生于以下情況：如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知配置安全端口端口的安全地址綁定switchportport-security！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上進(jìn)行配置

2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381課程議題IP訪問控制列表什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表規(guī)則的分類：1、標(biāo)準(zhǔn)訪問控制列表2、擴(kuò)展訪問控制列表

訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUTIPACL的基本準(zhǔn)則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時(shí)，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”標(biāo)準(zhǔn)IPACL配置示例要求172.16.1.0網(wǎng)段的主機(jī)不可以訪問服務(wù)器172.17.1.1，其它主機(jī)訪問服務(wù)器172.17.1.1不受限制。IP擴(kuò)展訪問列表的配置1.定義擴(kuò)展的ACL編號的擴(kuò)展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴(kuò)展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}名稱IPACL配置示例

訪問列表的驗(yàn)證顯示全部的訪問列表Router#showaccess-lists顯示指定的訪問列表Router#showaccess-lists<1-199>顯示接口的訪問列表應(yīng)用Router#showipinterface接口名稱接口編號IP訪問列表配置注意事項(xiàng)1、一個(gè)端口在一個(gè)方向上只能應(yīng)用一組ACL2、銳捷全系列交換機(jī)可針對物理接口和SVI接口應(yīng)用ACL針對物理接口，只能配置入棧應(yīng)用(In)針對SVI（虛擬VLAN）接口，可以配置入棧（In）和出棧（Out）應(yīng)用3、訪問列表的缺省規(guī)則是：拒絕所有基于時(shí)間的ACL基于時(shí)間的ACL對于不同的時(shí)間段實(shí)施不同的訪問控制規(guī)則在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對時(shí)間段（absolute）周期時(shí)間段（periodic）混合時(shí)間段配置時(shí)間段配置時(shí)間段time-rangetime-range-name

Router(config)#配置絕對時(shí)間absolute{starttimedate[endtimedate]|endtimedate}

Router(config-time-range)#starttimedate：表示時(shí)間段的起始時(shí)間。time表示時(shí)間，格式為“hh:mm”。date表示日期，格式為“日月年”endtimedate：表示時(shí)間段的結(jié)束時(shí)間，格式與起始時(shí)間相同示例：absolutestart08:001Jan2007end10:001Feb2008配置時(shí)間段（續(xù)）配置周期時(shí)間periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一個(gè)星期內(nèi)的一天或者幾天，Monday，Tuesday，Wednesday，Thursday，F(xiàn)riday，Saturday，Sundayhh:mm：表示時(shí)間weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00基于時(shí)間的ACL配置示例在上班時(shí)間（9：00~18：00）不允許員工的主機(jī)（172.16.1.0/24）訪問Internet，下班時(shí)間可以訪問Internet上的Web服務(wù)。課程議題網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestaticlocal-ip{

interfaceinterface|global-ip}

配置靜態(tài)轉(zhuǎn)換條目。配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port指定靜態(tài)PAT條目。配置靜態(tài)外部源地址轉(zhuǎn)換

第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用全局命令ipnatoutsidesourcestatic

global-iplocal-ip指定靜態(tài)轉(zhuǎn)換條目。配置動(dòng)態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：使用命令access-list

access-list-number{permit|deny}定義IP訪問控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ipnatpoolpool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}定義一個(gè)地址池，用于轉(zhuǎn)換地址。配置動(dòng)態(tài)NAT第五步：使用命令ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}將符合訪問控制列表?xiàng)l件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。配置NAPT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：使用命令access-list

access-list-number{permit|deny}定義IP訪問控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ipnatpoolpool-name

start-ip