交换机端口保护技术分析与实现讲解.docx
- 文档编号:672009
- 上传时间:2022-10-12
- 格式:DOCX
- 页数:20
- 大小:924.56KB
交换机端口保护技术分析与实现讲解.docx
《交换机端口保护技术分析与实现讲解.docx》由会员分享,可在线阅读,更多相关《交换机端口保护技术分析与实现讲解.docx(20页珍藏版)》请在冰豆网上搜索。
交换机端口保护技术分析与实现讲解
CHANGSHAUNIVERSITYOFSCIENCE&TECHNOLOGY
《网络工程设计》课程设计论文
交换机端口保护技术分析与实现
文万成
学院计算机与通信学院专业网络工程
班级085811002学号201058080227
学生姓名文万成 指导教师刘青
课程成绩完成日期2013年9月10日
课程论文成绩评定
学院计算机与通信学院专业 网络工程
班级08581002学号201058080227
学生姓名文万成 指导教师刘青
课程成绩完成日期2013.9.10
指导教师对学生在课程设计中的评价
评分项目
优
良
中
及格
不及格
课程论文中的创造性成果
学生掌握课程内容的程度
课程论文完成情况
课程论文动手能力
文字表达
学习态度
规范要求
课程论文的质量
指导教师对课程论文的评定意见
综合成绩指导教师签字2013年9月15日
课程设计任务书
计算机与通信工程学院网络工程专业
课程名称
网络工程
时间
2013~2014学年第一学期1~2周
学生姓名
文万成
指导老师
刘青
题目
交换机端口保护技术分析与实现
主要内容:
1)熟悉交换机的基本配置方法
2)了解交换机端口保护技术
3)基本实现交换机端口保护
要求:
(1)了解现有的交换机端口保护技术;
(2)熟悉交换机端口保护配置;
(3)通过实际配置交换机端口保护,掌握交换机端口配置的的基本方法。
(4)按要求编写课程设计报告书,能正确阐述设计结果。
(5)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。
(6)在老师的指导下,要求每个学生独立完成课程设计的全部内容。
应当提交的文件:
①课程设计报告。
②课程设计附件(源程序、各类图纸、实验数据、运行截图等)
交换机端口保护技术分析与实现
学生姓名:
文万成指导老师:
刘青
摘要随着计算机网络的迅速发展和规模的扩大,使用计算机网络的用户越来越多,网络用户经常会受到来自网络的攻击。
配置交换机端口保护可以有效防止交换网络中用户被攻击的可能性。
本课程设计主要介绍了三种交换机端口保护的技术,包括MAC地址绑定技术、VLAN划分技术和交换机端口保护命令的配置。
通过使用思科模拟器,进行了交换机端口保护的配置,并通过测试,确定了配置以后的交换机端口之间不能通信,实现了端口保护的基本功能和作用。
关键词端口保护;MAC地址绑定;VLAN
1概述
组建一个安全的网络依赖于网络设备的端口安全,交换机属于重要的网络设备,其端口的安全性尤为重要,本课程设计介绍了端口保护的技术,包括MAC地址绑定、VLAN和端口保护。
1.1交换机端口保护的必要性
由于网络用户的多样性,网络上的用户都有可能会受到外网或者内网的攻击,未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息、收集或攻击。
交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。
因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
[1]
在部署交换机之前,应保护所有交换机端口或接口。
端口安全性限制端口上所允许的有效MAC地址的数量,并可以限制端口的流量。
配置端口安全可以防止未知设备在没有经过管理员允许的情况下连接到端口上。
因此,配置交换机的端口保护是有价值且有必要的。
1.2MAC地址绑定介绍
CiscoIOS交换机中的端口安全(Portsecurity)功能可以限制在端口上使用的MAC地址(也称为“安全MAC地址”)数,允许阻止未授权MAC地址的访问,也就是通常所说的端口与MAC地址绑定。
端口安全限制端口上所允许的有效MAC地址的数量。
如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并只为该端口分配一个安全MAC地址,那么连接该端口的工作站将获得端口的全部带宽,并且只有地址为该安全MAC地址的工作站才能成功连接到该交换机端口。
当端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。
当安全违例将产生时,你可以选择多种方式来处理违例,比如丢弃接收到的报文,发送违例通知或关闭相应端口:
●protect:
当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全MAC地址中的任何一个)的数据包。
●restrict:
当违例产生时,将发送一个通知Trap。
●shutdown:
当违例产生时,将关闭端口并发送一个通知Trap。
1.3VLAN介绍
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。
这一技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
VLAN的划分可以有效地控制广播风暴的发生,VLAN提供建立防火墙的机制,在一个VLAN中的广播不会送到VLAN之外,相邻的端口不会收到其他VLAN产生的广播,这样可以减少广播流量。
可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,可用以实现跨地域的不同部门通信。
要在多台交换机上实现VLAN通信时,需要配置Trunk才能进行通信。
如果不熟悉网络的拓扑结构,将无法划分VLAN。
1.4端口保护技术介绍
端口保护可以确保同一交换机上的端口之间不进行通信。
受保护端口不向其他保护端口转发任何信息,包括单播、多播和广播包。
传输不能在第二层保护端口间进行,所有保护端口间的传输都必须通过第三层设备转发。
保护端口与非保护端口之间的传输不受任何影响。
2MAC地址绑定设计方案实现
MAC地址绑定提供了多种操作,其中包括设置绑定限制端口上配置的最大安全MAC地址数目、设置违规后三种处理模式和配置端口安全地址超时时间。
本章就以上功能逐个在模拟软件上进行配置。
2.1端口安全MAC地址实现
CiscoIOS交换机的端口安全功能允许通过配置静态安全MAC地址实现仅允许固定设备连接,也允许在一个端口上配置一个最大的安全MAC地址数,仅允许在此数之前识别到的设备连接在该端口上。
当超过了所设置的最大安全端口数,将触发一个安全违规事件,在端口上配置的一个基于违规行为模式的违规行为将被执行。
如果你在某个端口上配置的最大安全MAC地址数为1,则设备上的该安全端口仅允许与固定设备连接。
如果一个安全MAC地址在一个端口上进行了安全绑定,则该MAC地址只能与该端口进行通信,否则数据包将在硬件层被丢弃。
[2]
(1)静态安全MAC地址配置
在交换网络中,某些主机的配置和位置先对比较固定,在这种情况下可以是用静态MAC地址,减少因为动态MAC地址老化导致的网络广播流量,提高网络效率和稳定性。
配置静态MAC地址需要将MAC地址、设备接口和VLAN加入到交换机的MacAddressTable(静态MAC地址表)中,具体配置操作如下:
a、配置静态MAC地址对应的VLAN及对应的接口
Switch(config)#vlan1#创建VLAN1
Switch(config)#intf0/1#进入接口模式
Switch(config-if)#swiaccvlan1#将接口加入VLAN1
Switch#showvlan#查看VLAN
此处使用思科模拟器,默认将所有接口加入VLAN1如图2-1所示。
图2-1f0/1加入VLAN1
b、配置静态MAC地址
Switch(config)#mac-address-tablestatic1000.1000.1000vlan1intf0/1#将MAC地址、接口和VLAN加入静态MAC地址表
Switch#showmac-address-tablestatic#查看静态MAC地址表
此处虚拟一个1000.1000.1000的MAC地址,在实际应用中应加入实际的MAC地址即可,如图2-2所示。
图2-2加入MAC地址到地址表
(2)最大的安全MAC地址数配置
当用户的一个端口可能会连接不同MAC地址的设备是,就需要配置最大安全MAC地址数,用以限制连接该端口的设备数,只允许在此数之前识别到的设备连接在该端口上。
在默认的情况下,最大安全MAC地址数为1,可以通过配置改变这个默认数值在1~3000之间,配置操作如下:
Switch(config)#intf0/1#进入接口模式
Switch(config-if)#swimodeacc#将端口设置为access模式
Switch(config-if)#swiport-sec#开启端口安全
Switch(config-if)#swiport-secmax2#设置安全MAC地址数最大为2
Switch(config-if)#end#返回全局模式
Switch#showport-secintf0/1#查看f0/1接口的安全信息,显示最大MAC地址为2,如图2-3所示。
图2-3配置最大安全MAC地址
(3)手动添加安全MAC地址
交换机的安全端口还支持手动添加安全MAC地址,配置操作如下:
switch(config)#intf0/2#进入接口模式
switch(config-if)#swimodeacc#设置交换机为access模式
switch(config-if)#swiport-sec#开启端口安全模式
switch(config-if)#swiport-secmac-add00E0.E7C8.CA56#在安全MAC地址表中加入MAC地址00E0.E7C8.CA56
switch(config-if)#end#返回全局模式
switch#showport-secadd#查看安全MAC地址表,已将MAC地址00E0.E7C8.CA56加入到表中,如图2-4所示。
图2-4将MAC地址手动加入地址表
(4)加入地址数超过最大安全MAC地址
当手动加入的安全MAC地址数超过设置的最大安全地址数时,交换机会拒绝此次操作,超出的那个地址将不能存入安全地址表中,此前已经设置了最大安全MAC地址为2,当加入第三个MAC地址时,交换机并没有将第三个地址加入安全MAC地址表中,如图2-5所示。
图2-5加入超过最大地址数的操作
2.2违规后三种处理模式
在配置最大安全MAC地址后,如何处理来自安全MAC地址之外的地址发来的方位请求呢?
交换机安全端口机制提供了三种安全处理动作来解决这些问题。
当下面两种情况发生时会产生一个安全违规:
●最大安全数目MAC地址表外的一个MAC地址试图访问这个端口。
●一个MAC地址被配置为其他的接口的安全MAC地址的站点试图访问这个端口。
管理员可以根据不同的需求来配置不同的违规后安全处理动作,这三种处理动作的作用如下:
(1)保护(protect):
当安全MAC地址数超过端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MA
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换机 端口 保护 技术 分析 实现 讲解