項目描述

? ? ? ?隨著網(wǎng)絡技術的發(fā)展和應用范圍的不斷擴大，網(wǎng)絡已經(jīng)成為人們日常生活中必不可少的一部分。園區(qū)網(wǎng)作為給終端用戶提供網(wǎng)絡接入和基礎服務的應用環(huán)境，其存在的網(wǎng)絡安全隱患不斷顯現(xiàn)出來，如非人為的或自然力造成的故障、事故；人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞；來自園區(qū)網(wǎng)外部和內部人員的惡意攻擊和破壞。網(wǎng)絡安全狀況直接影響人們的學習、工作和生活，網(wǎng)絡安全問題已經(jīng)成為信息社會關注的焦點之一，因此需要實施網(wǎng)絡安全防范。

? ? ? ? 保護園區(qū)網(wǎng)絡安全的措施包括諸如在終端主機上安裝防病毒軟件，保護終端設備安全；利用交換機的端口安全功能，防止局域網(wǎng)內部的MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等攻擊；利用IP訪問控制列表對網(wǎng)絡流量進行過濾和管理，從而保護子網(wǎng)之間的通信安全及敏感設備，防止非授權的訪問；利用NAT技術從一定程度上為內網(wǎng)主機提供“隱私”保護；在網(wǎng)絡出口部署防火墻，防范外網(wǎng)未授權訪問和非法攻擊；建立保護內部網(wǎng)絡安全的規(guī)章制度，保護內網(wǎng)設備的安全。 ?本項目重點學習交換機端口安全功能、遠程管理、訪問控制列表、安全接入互聯(lián)網(wǎng)、NAT以及防火墻等技術的配置與應用。

任務描述

? ? ? ?某公司構建了互聯(lián)互通的辦公網(wǎng)。為了防止公司內部用戶將的IP地址沖突，防范來自公司內網(wǎng)的攻擊和破壞，需要實現(xiàn)公司內網(wǎng)的安全防范措施。 ? 新實施的公司內網(wǎng)安全規(guī)則是：為公司內每一位員工分配一個固定IP地址，針對PC1和PC2主機端口進行IP+MAC地址綁定，在接入交換機上配置端口安全功能，控制用戶隨意接入，保護網(wǎng)絡安全；還可以避免惡意的用戶利用未綁定MAC地址的端口來實施的MAC地址泛洪攻擊。

任務要求

（1）實現(xiàn)計算機的安全接入，網(wǎng)絡拓撲圖如圖

（2）計算機的IP地址、子網(wǎng)掩碼和MAC地址，如表

（3）出于安全的考慮，在交換機的端口上配置端口安全，綁定計算機的MAC地址，防止非法計算機的接入。

知識準備

1．端口安全的概念 交換機的端口安全功能，是指針對交換機的端口進行安全屬性的配置，從而控制用戶的安全接入。端口安全特性可以使特定MAC地址的主機流量通過該端口。當端口上配置了安全的MAC地址后，定義之外的源MAC地址發(fā)送的數(shù)據(jù)包將被端口丟棄。

2．端口安全的配置 在網(wǎng)絡中MAC地址是設備中不變的物理地址，控制MAC地址接入就控制了交換機的端口接入，所以端口安全也是對MAC的的安全。在交換機中CAM（Content Addressable Memory，內容可尋址內存表）表，又叫MAC地址表，其中記錄了與交換機相連的設備的MAC地址、端口號、所屬VLAN等對應關系。

（1）配置端口安全動態(tài)MAC地址。 此功能是將動態(tài)學習到的MAC地址設置為安全屬性，其他沒有被學習到的非安全屬性的MAC的幀將被端口丟棄。

華為的交換機缺省的動態(tài)MAC地址表項老化時間為300s，在系統(tǒng)視圖下執(zhí)行mac-address aging-time命令可修改動態(tài)MAC表項的老化時間。在實際的網(wǎng)絡中不建議隨意修改該老化時間。

（2）配置Sticky MAC地址。 ?在交換機的端口激活Port Security后，該端口上所學習到的合法的動態(tài)MAC地址被稱為安全動態(tài)MAC地址，這些 MAC地址缺省不會被老化（在端口視圖下使用port-security aging-time命令可設置動態(tài)安全 MAC地址的老化時間)，然而這些 MAC地址表項在交換機重啟后會丟失，因此交換機不得不重新學習MAC地址。交換機能夠將動態(tài)MAC地址轉換成Sticky MAC地址，Sticky MAC地址表項在交換機保存配置后重啟不會丟失。

任務實施

1.根據(jù)如圖所示的網(wǎng)絡拓撲圖，連線全部使用直通線、開啟所有設備電源。

2.查看計算機的MAC地址。在計算機命令行輸入ipconfig，查看MAC地址。

（1）查看PC1的MAC地址，如圖

（2）查看PC2的MAC地址，如圖

3.交換機的基本配置。

（1）交換機SWA的基本配置。

（2）交換機SWB的基本配置。

4.開啟該交換機端口的端口安全，并綁定對應的MAC地址。

（1）在SWA的Ethernet0/0/1和端口Ethernet0/0/2端口，配置Sticky MAC地址。

（2）在SWB的GE0/0/1端口，配置端口安全動態(tài)MAC地址。

任務驗收

1.在交換機SWA上使用display mac-address命令，查看交換機與計算機之間連接的端口，類型是否變?yōu)閟ticky。

2.測試計算機的互通性。

（1）通過ping命令，測試內部通信息的情況。使用PC1 ping PC2和PC3，可以看出，計算機之間可以互相通信。

（2）使用PC2計算機Ping PC3計算機，可以看出，計算機不可以互相通信。因為SWB的GE0/0/1端口將學習MAC地址的數(shù)量限制為1，當有多于1個PC機通過時，交換機發(fā)出告警，并關閉端口。

（3）使用命令查詢GE0/0/1端口是否已經(jīng)關閉。

（4）更換計算機，測試互通性。 把計算機PC1更換為計算機PC4,IP地址相同，MAC地址不同，連接到交換機Eth0/0/1端口上?？梢钥闯?#xff0c;更換計算機后，MAC地址不同，計算機不能通信。

任務小結

（1）學習MAC地址的數(shù)量默認為1。

（2）學習到的MAC地址數(shù)達到限制后的保護動作有三個，默認為restrict。

（3）動態(tài)安全MAC地址表項默認不老化。