交换机端口安全配置课程设计Word格式.docx
《交换机端口安全配置课程设计Word格式.docx》由会员分享,可在线阅读,更多相关《交换机端口安全配置课程设计Word格式.docx(13页珍藏版)》请在冰豆网上搜索。
三、测试过程与运行结果6
四、课程设计总结12
五、参考文献13
一、项目需求分析及逻辑设计
信息化高速发展的今天,企业局域网的建设已经成为提升企业核心竞争力的关键因素。
企业网已经越来越多地被人们提到利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
目前我国企业尤其是中小企业网络建设正在如火如荼地开展着,据IDC预测:
在未来的5年中,中小企业的网络建设将以每年15%的速度增长。
组网技术就是网络组建技术,分为以太网组网技术和ATM局域网组网技术。
以太网组网非常灵活和简便,可使用多种物理介质,以不同拓扑结构组网,是目前国内外应用最为广泛的一种网络,已成为网络技术的主流。
以太网按其传输速率又分成10Mb/s、100Mb/s、1000Mb/s。
细缆以太网10BASE-210BASE-2以太网是采用IEEE802.3标准,它是一种典型的总线型结构。
采用细缆为传输介质,通过T型接头与网卡上的BNC接口相连的总线型网络。
随着网络应用的日渐广泛,网络所面临的安全问题越显突出,一方面需要继续坚持网络的开放性,因为只有开放才能保持持续性的发展;
另一方面需要高度重视网络的安全,因为只有尽可能地避免各种安全隐患才会推动网络向着更广泛的应用领域发展。
1.交换机组建局域网背景
在广泛应用交换机组建局域网以前都是使用集线器来组建局域网。
但是集线器是共享型的连接设备,组建的局域网为共享型局域网。
我们可以把它看成一个总线,局域网内部任何两台计算机的通信都通过这条总线。
所以集线器成为局域网络速度的瓶颈。
后来随着交换技术的进步,交换机代替了集线器,同时交换型局域网代替了共享型局域网。
它允许多个结点同时进行通信,每个结点可以独占传输通道和带宽。
而且有效的防止了广播风暴的产生。
在使用集线器的时代如果宿舍内部有人在拖别人计算机上的文件,整个宿舍的速度也跟这降下来。
现在使用交换机的话两台机之间的对话对其它计算机的网速几乎没有影响。
下面我们就来看看交换机如何组建局域网。
2.端口安全需求
交换机有多个端口,每个端口可以连接一台计算机或一个网段,与集线器不同的是,集线器是一个共享式的设备,所有连接到集线器的计算机设备属于一个冲突域,集线器从一个端口向所有其他端口转发信号。
而交换机是一个多端口的网桥,每个端口都有桥接功能。
它能够在任意一对端口间转发帧,每一个端口都属于一个冲突域,按照CSMA/CD协议工作,交换机中的电路可以把任意端口的网段与其他端口的网段在数据链路层上连接起来。
交换机内的桥接功能仅在需要时转发帧,交换机内可以同时存在多个转发帧的数据通道。
组网需求:
在交换机的端口Ethemet1/0/1上对接入用户做如下限制:
允许最多一个用户自由接入,不进行认证,将学习到的用户MAC地址添加为SecureMAC地址;
为确保用户Host能够接入,将该用户的MAC地址作为0001-0002-0003作为SecureMAC地址,添加到VLAN1中;
当SecureMAC地址数量达到80后,停止学习;
当再有新的MAC地址接入时,触发IntrusionProtection特性,并将此端口关闭30秒。
1)在交换机上配置端口安全,以及违例的处理方式。
2)两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路。
次交换机下连接两台PC机。
在主交换机上配置最大安全地址数maximum,验证端口MAC地址数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。
3)在主交换机上配置绑定固定的MAC地址,验证当更换工作组PC机时,链路不通,以指定的违例处理方式处理。
二、详细配置
1.交换机技术原理
交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。
交换机端口安全主要有两种类项:
一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。
可以实现对用户进行严格的控制。
保证用户的安全接入和防止常见的内网的网络攻击。
如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。
配置安全端口安全存在以下限制。
•一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。
•一个安全端口不能是一个聚合端口(AggregatePort)。
•一个安全端口不能是SPAN的目的端口。
2.网络拓扑结构
图2.1交换机端口连接最大安全地址数(交换机)
图2.2交换机端口连接最大安全地址数(集线器)
图2.3交换机端口绑定指定MAC地址
3.PC主机IP配置
在这里三台PC的IP地址设置如下:
图2.4pc0的IP设置
图2.6pc2的IP设置
4.配置交换机端口的最大连接数限制
Switch#configureterminal
Switch(config)#interfacerangefastethernet0/1-23
!
进行一组端口的配置模式Switch(config-if-range)#switchportport-security
开启交换机的端口安全功能Switch(config-if-range)#switchportport-secruitymaximum1
!
配置端口的最大连接数为1
Switch(config-if-range)#switchportport-secruityviolationshutdown
!
配置安全违例的处理方式为shutdown
5.配置交换机端口的地址绑定
Switch(config)#interface
fastethernet0/3
Switch(config-if)#switchportport-security
Switch(config-if)#switchportport-securityMAC-address
0006.1bde.13b4IP-address172.16.1.55
配置IP地址和MAC地址的绑定
三、测试过程与运行结果
1.验证测试:
查看交换机的端口安全配置
Switch#showport-security
SecurePort
MaxSecureAddr(count)CurrentAddr(count)SecurityAction
Fa0/1
1
0
NoShutdown
Fa0/2
Shutdown
Fa0/3
NoShutdown
Fa0/4
Fa0/5
Fa0/6
Fa0/7
Fa0/8
Fa0/9
Fa0/10
1
Fa0/11
Fa0/12
Fa0/13
Fa0/14
Fa0/15
Fa0/16
Fa0/17
Fa0/18
Fa0/19
Fa0/20
Fa0/21
Fa0/22
Fa0/23
查看主机的IP和MAC地址信息在主机上打开CMD命令提示符窗口,执行IPconfig/all命令。
图3.1利用IPconfig/all命令显示网卡的MAC地址等参数
如下是测试pc是否可以正常工作的过程:
图3.2测试pc0的工作情况
从这里我们可以看见,PC0能够正常使用。
那我们再新添加一台PC并将这台PC接到FA0/1端口上面看看会是什么效果。
图3.3添加pc3后的网络拓扑图
从这个图我们可以看见,PC3接在FA0/1接口上面,当PC3没有向其它网段发送数据包的时候一切正常,下面我们试着来发送一个数据包,会出现如下情况:
图3.4通过ping命令发送数据包
图3.5发送数据包时的表现
我们可以看出来,当交换机的FA0/1接口接PC0的时候,能够正常使用,但是当我的PC3接入到交换机的FA0/1上,当我发送数据包PC2上面时候,而交换机发现我PC3的MAC地址不是我当初指定的那个MAC地址,所以就执行将此接口shutdown掉,从上图我们也可以看见,PC3连接的FA0/1已经被shutdown了。
那么当有其它MAC地址的计算机接入一我们这个端口以后,该端口会自动shutdown,那么当shutdown以后的接口如何恢复呢?
在上面我们绑定的那个MAC地址是PC0的,我们现在查看一下交换机上面的MAC地址表看看:
Switch#showMAC-address-table
MACAddressTable
VlanMACAddressTypePorts
Switch#
但是针对CiscoPacketTracer来说,我们不能直接使用noshutdown命令来启用,也不能使用我们上面的那条命令,那么我们现在就只能将我们上面的那条的那条命令改成当发现有其他的MAC地址接入到此端口的时候我们就将它设置不不转发数据并且上报网管平台。
Switch(config)#interfacefastEthernet0/1
Switch(config-if)#switchportport-securityviolationrestrict
图3.6进行重新设置数据包不转发
图3.7重新设置后的情况
从上面我们可以看见,当设置为数据包不转发以后,我们从PC3上面还是ping不通我们的PC2,而我们的交换机只是不转发此数据包,当我们的PC3不发送数据而我们交换FA0/1这个端口没有被shutdown。
下面这条命令是查看端口安全的,每一个端口基于MAC地址的限制
SecurePortMaxSecureAddrCurrentAddrSecurityViolationSecurityAction
(Count)(Count)(Count)
Fa0/1113Restrict
Fa0/2110Shutdow
从上面我们可以看出FA0/1端口有3条违反我们策略的。
指行的是Restrict。
而Fa0/2没有违反我们的策略,如果说现有呢就执行Shutdown。
2.验证测试:
查看地址安全绑定配置
Switch#showport-securityaddress
VlanMACAddress
IPAddress
Type
Port
RemainingAge(mins)--------------------------------------------------------------------
0006.1bde.13b4
172.16.1.55
Configured
Fa0/3
四、课程设计总结
这次实验,我们基本掌握了交换机端口的安全配置及应用,了解了这个领域的基本知识,加强实践动手能力,提高快乐和成功感,也使我学到了不少实用的知识,更重要的是,在做实验的过程,使我们学会更加理性的思考问题,解决问题,这与做其他的实验是通用的,真正使我们受益匪浅。
在实验中我们要注意的问题是同类端口连接用交叉线,如路由器对路由器,PC机对PC机,交换机对交换机,PC机对路由器;
不同类设备连接用直通线,如路由器对交换机,PC机对交换机。
新型的设备一般都已经支持端口自翻转功能,所以现在一般都是用统一的直通线。
Serial口DCE端需配置clockrate640000OSPF进程号需要一致因为三层交换机具有路由功能,固通过noswitchport可将此接口申请为路由接口用来配置IP,启动RIP协议路由上用vrrp,而交换机上用standby作用相同。
通过本次实验使我明白:
问题分析、处理能力的重要。
本来看似比较复杂的问题起初我不知如何着手,不过再仔细分析,逐步解决每块网络,把每块的联系处理好。
而每块网路之间的联系不外乎IP地址分配、路由协议等,把这些联系细节做好,问题也就迎刃而解了。
同时我认为我们的工作是一个团队的工作,团队需要个人,个人也离不开团队,必须发扬团结协作的精神。
某个人的离群都可能导致整项工作的失败。
实训中只有一个人知道原理是远远不够的,必须让每个人都知道,否则一个人的错误,就有可能导致整个工作失败。
团结协作是我们实验成功的一项非常重要的保证。
而这次实验也正好锻炼我们这一点,这也是非常宝贵的。
五、参考文献
[1]AnthonyT.VelteTobyJ.Velte杨志姝冉小昱译.Cisco实用教程[M].北京:
清华大学出版社.2005
[2]WillianStallings.白国强译.网络安全基础[M].北京:
清华大学出版社.2007
[3]李馥娟.计算机网络实验教程[M].北京:
[4]金刚善.局域网组网案例精编GBH.北京:
中国水利水电出版社2005
[5]钟小平.网络服务器配置与应用GBH.北京:
人民邮电出版社2005
[6]卫少军.中小企业办公局域网组建方案.北京:
科技情报开发与经济2004
[7]张萍,张伟滨.论企业组建局域网的方案.哈尔滨:
自动化技术与应用V
[8]徐肃益.一种中、小型企业网组建方案.广州:
企业管理2006,2
[9]李春山.中小企业局域网组建和管理的实践.哈尔滨:
信息技术2002,6
成绩评定
项目
权重
成绩
1、设计过程中出勤、学习态度等方面
0.2
2、课程设计质量与答辩
0.6
3、设计报告书写及图纸规范程度
总评成绩
指导教师评语:
该生在课程设计期间态度认真,纪律性强,完成了任务书中规定的设计任务。
主要任务是:
对实验进行总体分析和设计,在CiscoPacketTracer5.3环境下搭建应用平台,进行交换机端口的安全配置和应用。
在答辩过程中,能够清楚的描述自己完成的工作,较准确的回答老师所提出的问题。
课程设计报告书写比较规范,研究思路十分清晰,图表十分规范。
指导教师签名:
2012年6月12日
院(系)审核意见:
主任签字:
年月日