端口安全实验

实验一实验名称：交换机的端口安全配置。实验目的：掌握交换机的端口安全功能。技术原理：利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能：查看交换机的各项参数。实验设备：S2126G一台，主机一台，直连网线一根。实验拓朴： S2126ConsoleF0/5com1NIC实验步骤：1.配置交换机端口最大连接数限制。Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置。Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action- - - -Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 ShutdownFa0/5 1 0 ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 ShutdownFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2配置交换机端口的地址绑定。Switch(config)#interface fastethernet 0/3Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 0006.1bde.13b4 ip-address 5 ! 配置IP地址和MAC地址的绑定，MAC地址用 ipconfig /all命令。Switch#show port-security address !查看地址安全绑定配置。Vlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 0016.ecd3.9136 Configured Fa0/3 -注意事项：1.交换机端口安全功能只能在ACCESS接口进行配置。2交换机最大连接数限制取值范围是1128，默认128。3交换机最大连接数限制默认的处理方式是protect。4.有三种安全违例处理方式：l Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。l RestrictTrap：当违例产生时，将发送一个Trap通知。l Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。5. 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。实验二实验名称：标准IP访问控制列表。实验目的：掌握路由器上标准IP访问控制列表规则及配置。技术原理：IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤，达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。1.定义标准ACL 编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in | out 实现功能：实现网段间相互访问的安全控制。实验设备：R1762路由器两台，V.35线缆一条，直连线或交叉线三根。实验拓朴：实验步骤：1. router1基本配置。Router(config)#hostname router1Router1(config)#interface fastethernet 1/0Router1(config-if)#ip address Router1(config-if)#no shutdownRouter1(config)#interface fastethernet 1/1Router1(config-if)#ip address Router1(config-if)#no shutdownRouter1(config)#interface serial 1/2Router1(config-if)#ip add Router1(config-if)#clock rate 64000Router1(config-if)#no shutdownRouter1(config-if)#endRouter1#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK? Statusserial 1/2 /24 YES DOWNserial 1/3 no address YES DOWNFastEthernet 1/0 /24 YES DOWNFastEthernet 1/1 /24 YES DOWNNull 0 no address YES UP2. router2基本配置。Router(config)#hostname router2Router2(config)#interface fastethernet 1/0Router2(config-if)#ip address Router2(config-if)#no shutdownRouter2(config)#interface serial 1/2Router2(config-if)#ip add Router2(config-if)#no shutdownRouter2(config-if)#endRouter2#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK? Statusserial 1/2 /24 YES DOWNserial 1/3 no address YES DOWNFastEthernet 1/0 /24 YES DOWNFastEthernet 1/1 no address YES DOWNNull 0 no address YES UPRouter1(config)#ip route serial 1/2 !配置静态路由。Router2(config)#ip route serial 1/2 !配置静态路由。Router2(config)#ip route serial 1/2 !配置静态路由。Router1#show ip route !查看路由表信息。Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate defaultGateway of last resort is no setC /24 is directly connected, serial 1/2C /32 is local host.S /24 is directly connected, serial 1/2注意：两台路由器没连接之前只能显示：Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate defaultGateway of last resort is no setRouter2#show ip route !查看路由表信息。Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate defaultGateway of last resort is no setS /24 is directly connected, serial 1/2S /24 is directly connected, serial 1/2C /24 is directly connected, serial 1/2C /32 is local host.3配置标准访问控制列表。Router2(config)#access-list 1 deny 55 !拒绝来自网段的流量通过。Router2(config)#access-list 1 permit 55 !允许来自网段的流量通过。Router2#show access-lists 1Standard IP access list 1 includes 2 items: deny , wildcard bits 55 permit , wildcard bits 554.在接口下应用访问控制列表。Router2(config)#interface fastethernet 1/0Router2(config-if)#ip access-group 1 out ! 访问列表的出栈应用Router2#show ip interface fastethernet 1/0FastEthernet 1/0 IP interface state is: DOWN IP interface type is: BROADCAST IP interface MTU is: 1500 IP address is: /24 (primary) IP address negotiate is: OFF Forward direct-boardcast is: ON ICMP mask reply is: ON Send ICMP redirect is: ON Send ICMP unreachabled is: ON DHCP relay is: OFF Fast switch is: ON Route horizontal-split is: ON Help address is: Proxy ARP is: ON Outgoing access list is 1. Inbound access list is not set.5.验证测试。(网段的主机不能ping通网段的主机，网段的主机能ping通网段的主机)注意事项：1.访问控制列表的网络掩码是反掩码。2访问控制列表要尽量应用在靠近目的地址的接口。3. 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。4. 从头到尾，至顶向下的匹配方式,匹配成功马上停止,执行规则中的deny或permit5. 一个端口在一个方向上只能应用一组ACL实验三实验名称：扩展IP访问控制列表。实验目的：掌握三层交换机上扩展IP访问控制列表规则及配置。技术原理：扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。1.定义扩展的ACL 编号的扩展ACLSwitch(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLSwitch(config)#ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Switch(config-if)#ip access-group in | out 实现功能：实现网段间相互访问的安全控制。实验设备：S3350交换机一台，PC三台，直连线三根。实验拓朴：实验步骤：1. 基本配置。 Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teacherSwitch(config)#vlan 30Switch(config-vlan)#name studentSwitch(config)#interface fa0/5Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config)#interface fa0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 20Switch(config)#interface fa0/15Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 30Switch(config)#inter vlan 10Switch(config-if)#ip add Switch(config-if)#no shutdownSwitch(config)#inter vlan 20Switch(config-if)#ip add Switch(config-if)#no shutdownSwitch(config)#inter vlan 30Switch(config-if)#ip add Switch(config-if)#no shutdown2.配置扩展IP访问控制列表。Switch(config)#ip access-list extended denystudentwww !命名Switch(config-ext-nac1)#deny tcp 55 55 eq www !禁止WWW服务。Switch(config-ext-nacl)#permit ip any any ! 允许其它服务。Switch#show ip access-lists denystudent www3.在接口下应用访问控制列表。Switch(config)#inter vlan 30Switch(config-if)ip access-group denystudentwww in4.配置WEB服务器(参见局域网实验)。5.验证测试。(VLAN 30中的主机pc3不能访问WEB服务器pc1，VLAN 20中的主机pc2能访问WEB服务器pc1。)注意事项：1.访问控制列表的网络掩码是反掩码。2访问控制列表要在接口下应用。3Deny某网段后要permit其它网段。4. 一个端口在一个方向上只能应用一组ACL实验四实验名称：基于时间的访问控制列表。实验目的：掌握基于时间对网络进行访问控制，提高网络的使用效率和安全性。实现功能：基于时间段对网络进行访问控制的IP访问控制列表的配置。实验设备：R1762路由器一台，直连线或交叉线二根。实验拓朴：实验步骤：1. router1基本配置。Router(config)#interface fastethernet 1/0Router(config-if)#ip address Router(config-if)#no shutdownRouter(config)#interface fastethernet 1/1Router(config-if)#ip address Router(config-if)#no shutdownRouter#show ip interface brief !查看路由器接口的状态。Interface IP-Address(Pri) OK? Statusserial 1/2 no address YES DOWNserial 1/3 no address YES DOWNserial 2/0 no address YES DOWNserial 2/1 no address YES DOWNFastEthernet 1/0 /24 YES UPFastEthernet 1/1 /24 YES UPNull 0 no address YES UP2.配置路由器的时钟。Router#show clockclock: 2008-1-13 2:0:25Router#clock set 12:40:08 15 april 2007! 设置路由器的时钟。3定义时间段。Router(config)#time-range freetime Router(config-time-range)#absolute start 8:00 1 jan 2008 end 18:00 31 dec 2010 !定义绝对时间段。Router(config-time-range)#periodic daily 0:00 to 8:00 ! 定义周期性时间段Router(config-time-range)#periodic daily 17:00 to 23:59 ! 定义周期性时间段,此处不能写24：00。Router#show time-range freetime ! 查看时间段配置。time-range entry: freetime (inactive) absolute start 08:00 01 January 2008 end 18:00 31 December 2010 periodic Daily 0:00 to 8:00 periodic Daily 17:30 to 23:594.定义访问控制列表规则。Router(config)#access-list 100 permit ip any host !定义扩展访问控制列表，允许访问主机。Router(config)#access-list 100 permit ip any any time-range freetime !允许在