交换机端口保护技术分析与实现

1、 CHANGSHA UNIVERSITY OF SCIENCE & TECHNOLOGY网络工程设计网络工程设计课程设计论文课程设计论文 交换机端口保护技术分析与实现交换机端口保护技术分析与实现文万成学学 院院 计算机与通信学院计算机与通信学院 专专 业业 网络工程网络工程 班班 级级 085811002 学学 号号 201058080227 学生姓名学生姓名 文万成文万成 指导教师指导教师 刘青刘青 课程成绩课程成绩 完成日期完成日期 2013 年年 9 月月 10 日日 课程论文成绩评定课程论文成绩评定学学 院院 计算机与通信学院计算机与通信学院 专专 业业 网络工程网络工程班班

2、级级 08581002 学学 号号 201058080227 学生姓名学生姓名 文万成文万成 指导教师指导教师 刘青刘青 课程成绩课程成绩 完成日期完成日期 2013.9.102013.9.10 指导教师对学生在课程设计中的评价指导教师对学生在课程设计中的评价评分项目优良中及格不及格课程论文中的创造性成果学生掌握课程内容的程度课程论文完成情况课程论文动手能力文字表达学习态度规范要求课程论文的质量指导教师对课程论文的评定意见指导教师对课程论文的评定意见综合成绩 指导教师签字 2013 年 9 月 15 日课程设计任务书课程设计任务书计算机与通信工程学院 网络工程专业 课程名称网络工程时间2013

3、2014 学年第一学期 12 周学生姓名文万成指导老师刘青题 目交换机端口保护技术分析与实现主要内容：1)熟悉交换机的基本配置方法2)了解交换机端口保护技术3)基本实现交换机端口保护要求：（1）了解现有的交换机端口保护技术；（2）熟悉交换机端口保护配置；（3）通过实际配置交换机端口保护，掌握交换机端口配置的的基本方法。（4）按要求编写课程设计报告书，能正确阐述设计结果。（5）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。（6）在老师的指导下，要求每个学生独立完成课程设计的全部内容。应当提交的文件：课程设计报告。课程设计附件（源程序、各类图纸、实验数据、运行截图等）交换机端口

4、保护技术分析与实现交换机端口保护技术分析与实现学生姓名：文万成学生姓名：文万成 指导老师：刘青指导老师：刘青摘 要 随着计算机网络的迅速发展和规模的扩大，使用计算机网络的用户越来越多，网络用户经常会受到来自网络的攻击。配置交换机端口保护可以有效防止交换网络中用户被攻击的可能性。本课程设计主要介绍了三种交换机端口保护的技术，包括 MAC地址绑定技术、VLAN 划分技术和交换机端口保护命令的配置。通过使用思科模拟器，进行了交换机端口保护的配置，并通过测试，确定了配置以后的交换机端口之间不能通信，实现了端口保护的基本功能和作用。关键词 端口保护；MAC 地址绑定；VLAN目目 录录1 1 概述概述.

5、11.1 交换机端口保护的必要性.11.2MAC 地址绑定介绍.11.3VLAN 介绍.21.4 端口保护技术介绍.22 2 MACMAC 地址绑定设计方案实现地址绑定设计方案实现.32.1 端口安全 MAC 地址实现.32.2 违规后三种处理模式.72.3 安全 MAC 地址老化配置.83 3 VLANVLAN 划分实现方案划分实现方案.103.1VLAN 划分配置.103.2VLAN 网络测试.134 4 交换机端口保护配置交换机端口保护配置.154.1 配置端口保护命令.154.2 配置端口保护结果分析.165 5 结束语结束语.18参考文献参考文献.19 交换机端口保护技术分析与实现

6、第 1 页 共 19 页1 1 概述概述组建一个安全的网络依赖于网络设备的端口安全，交换机属于重要的网络设备，其端口的安全性尤为重要，本课程设计介绍了端口保护的技术，包括 MAC 地址绑定、VLAN 和端口保护。1.11.1 交换机端口保护的必要性交换机端口保护的必要性由于网络用户的多样性，网络上的用户都有可能会受到外网或者内网的攻击，未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口，并执行信息、收集或攻击。交换机可被配置为像集线器那样工作，这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此，攻击者可以收集含有用户名、密码或网络

7、上的系统配置信息的流量。1在部署交换机之前，应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效 MAC 地址的数量，并可以限制端口的流量。配置端口安全可以防止未知设备在没有经过管理员允许的情况下连接到端口上。因此，配置交换机的端口保护是有价值且有必要的。1.2MAC1.2MAC 地址绑定介绍地址绑定介绍Cisco IOS 交换机中的端口安全（Port security）功能可以限制在端口上使用的MAC 地址（也称为“安全 MAC 地址” ）数，允许阻止未授权 MAC 地址的访问，也就是通常所说的端口与 MAC 地址绑定。端口安全限制端口上所允许的有效 MAC 地址的数量。如果为安全端

8、口分配了安全 MAC 地址，那么当数据包的源地址不是已定义地址组中的地址时，端口不会转发这些数据包。如果将安全 MAC 地址的数量限制为一个，并只为该端口分配一个安全MAC 地址，那么连接该端口的工作站将获得端口的全部带宽，并且只有地址为该安全MAC 地址的工作站才能成功连接到该交换机端口。当端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例将产生时，你可以选择多种方式来处理违例，比如丢弃接收到的报文，发 交换机端口保护技术分析与实现 第 2 页 共 19 页送违例通知或关闭相应端口：protect:当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全MA

9、C 地址中的任何一个) 的数据包。restrict:当违例产生时，将发送一个通知 Trap。shutdown:当违例产生时，将关闭端口并发送一个通知 Trap。1.1.3VLAN3VLAN 介绍介绍VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。VLAN 的划分可以有效地控制广播风暴的发生，VLAN 提供建立防火墙的机制，在一个 VLAN 中的广播不会送到 VLAN 之外，相邻的端口不会收到其他 VLAN 产生的广 播，这样可以减少广播流量。可以将某个交换端口或用户赋于某一个特定的VLAN

10、组，该 VLAN 组可以在一个交换网中或跨接多个交换机，可用以实现跨地域的不同部门通信。要在多台交换机上实现 VLAN 通信时，需要配置 Trunk 才能进行通信。如果不熟悉网络的拓扑结构，将无法划分 VLAN。1.1.4 4 端口保护技术介绍端口保护技术介绍端口保护可以确保同一交换机上的端口之间不进行通信。受保护端口不向其他保护端口转发任何信息，包括单播、多播和广播包。传输不能在第二层保护端口间进行，所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口之间的传输不受任何影响。 交换机端口保护技术分析与实现 第 3 页 共 19 页2 2 MACMAC 地址绑定地址绑定设计方案实

11、现设计方案实现MAC 地址绑定提供了多种操作，其中包括设置绑定限制端口上配置的最大安全MAC 地址数目、设置违规后三种处理模式和配置端口安全地址超时时间。本章就以上功能逐个在模拟软件上进行配置。2.12.1 端口安全端口安全 MACMAC 地址地址实现实现Cisco IOS 交换机的端口安全功能允许通过配置静态安全 MAC 地址实现仅允许固定设备连接，也允许在一个端口上配置一个最大的安全 MAC 地址数，仅允许在此数之前识别到的设备连接在该端口上。当超过了所设置的最大安全端口数，将触发一个安全违规事件，在端口上配置的一个基于违规行为模式的违规行为将被执行。如果你在某个端口上配置的最大安全 MA

12、C 地址数为 1，则设备上的该安全端口仅允许与固定设备连接。如果一个安全 MAC 地址在一个端口上进行了安全绑定，则该 MAC 地址只能与该端口进行通信，否则数据包将在硬件层被丢弃。2（1 1）静态安全静态安全 MAC 地址配置地址配置在交换网络中，某些主机的配置和位置先对比较固定，在这种情况下可以是用静态 MAC 地址，减少因为动态 MAC 地址老化导致的网络广播流量，提高网络效率和稳定性。配置静态 MAC 地址需要将 MAC 地址、设备接口和 VLAN 加入到交换机的 Mac Address Table（静态 MAC 地址表）中，具体配置操作如下：a、配置静态 MAC 地址对应的 VLAN

13、 及对应的接口Switch(config)#vlan 1 #创建 VLAN 1Switch(config)#int f0/1 #进入接口模式Switch(config-if)#swi acc vlan 1 #将接口加入 VLAN 1Switch#show vlan #查看 VLAN此处使用思科模拟器，默认将所有接口加入 VLAN 1 如图 2-1 所示。 交换机端口保护技术分析与实现 第 4 页 共 19 页图 2- 1 f0/1 加入 VLAN 1b、配置静态 MAC 地址Switch(config)#mac-address-table static 1000.1000.1000 vlan

14、1 int f0/1 #将 MAC地址、接口和 VLAN 加入静态 MAC 地址表Switch#show mac-address-table static #查看静态 MAC 地址表此处虚拟一个 1000.1000.1000 的 MAC 地址，在实际应用中应加入实际的MAC 地址即可，如图 2-2 所示。图 2- 2 加入 MAC 地址到地址表（2 2）最大的安全）最大的安全 MACMAC 地址数地址数配置配置当用户的一个端口可能会连接不同 MAC 地址的设备是，就需要配置最大安全MAC 地址数，用以限制连接该端口的设备数，只允许在此数之前识别到的设备连接在该端口上。在默认的情况下，最大安全

15、MAC 地址数为 1，可以通过配置改变这个默认数值在 13000 之间，配置操作如下：Switch(config)#int f0/1 #进入接口模式Switch(config-if)#swi mode acc #将端口设置为 access 模式Switch(config-if)#swi port-sec #开启端口安全Switch(config-if)#swi port-sec max 2 #设置安全 MAC 地址数最大为 2 交换机端口保护技术分析与实现 第 5 页 共 19 页Switch(config-if)#end #返回全局模式Switch#show port-sec int f0/

16、1 #查看 f0/1 接口的安全信息，显示最大 MAC 地址为 2，如图 2-3 所示。图 2- 3 配置最大安全 MAC 地址（3）手动添加安全）手动添加安全 MAC 地址地址交换机的安全端口还支持手动添加安全 MAC 地址，配置操作如下：switch(config)#int f0/2 #进入接口模式switch(config-if)#swi mode acc #设置交换机为 access 模式switch(config-if)#swi port-sec #开启端口安全模式switch(config-if)#swi port-sec mac-add 00E0.E7C8.CA56 #在安全 M

17、AC 地址表中加入 MAC 地址 00E0.E7C8.CA56switch(config-if)#end #返回全局模式switch#show port-sec add #查看安全 MAC 地址表，已将 MAC 地址00E0.E7C8.CA56 加入到表中，如图 2-4 所示。 交换机端口保护技术分析与实现 第 6 页 共 19 页图 2- 4 将 MAC 地址手动加入地址表（4）加入地址数超过最大安全加入地址数超过最大安全 MAC 地址地址当手动加入的安全 MAC 地址数超过设置的最大安全地址数时，交换机会拒绝此次操作，超出的那个地址将不能存入安全地址表中，此前已经设置了最大安全 MAC 地

18、址为 2，当加入第三个 MAC 地址时，交换机并没有将第三个地址加入安全 MAC 地址表中，如图 2-5 所示。图 2- 5 加入超过最大地址数的操作 交换机端口保护技术分析与实现 第 7 页 共 19 页2.22.2 违规后三种处理模式违规后三种处理模式在配置最大安全 MAC 地址后，如何处理来自安全 MAC 地址之外的地址发来的方位请求呢？交换机安全端口机制提供了三种安全处理动作来解决这些问题。当下面两种情况发生时会产生一个安全违规：最大安全数目 MAC 地址表外的一个 MAC 地址试图访问这个端口。一个 MAC 地址被配置为其他的接口的安全 MAC 地址的站点试图访问这个端口。管理员可以

19、根据不同的需求来配置不同的违规后安全处理动作，这三种处理动作的作用如下：（1）保护（）保护（protect）：）：当安全 MAC 地址数超过端口上配置的最大安全 MAC 地址数时，未知源 MAC 地址的包将被丢弃，直到 MAC 地址表中的安全 MAC 地址数降到所配置的最大安全 MAC 地址数以内，或者增加最大安全 MAC 地址数。而且这种行为没有安全违例行为发生通知。建议不要在中继端口上配置保护行为，因为在中继端口上有 VLAN 达到该 VLAN 中所配置的最大安全 MAC 地址数时，即使端口上的安全MAC 地址数并未达到端口上配置的最大安全 MAC 地址数，该端口也将被禁止。（2）限制（）

20、限制（Restrict）：）：与前面的保护模式差不多，也是在安全 MAC 地址数达到端口上配置的最大安全 MAC 地址数时，未知源 MAC 地址的包将被丢弃，直到 MAC地址表中的安全 MAC 地址数降到所配置的最大安全 MAC 地址数以内，或者增加最大安全 MAC 地址数。但这种行为模式会有一个 SNMP 捕获消息发送，并记录系统日志，违例计数器增加 1。SNMP 捕获通知发送的频率可以通过 snmp-server enable traps port-security trap-rate 命令来控制，默认值为 0，表示在发生任何安全违例事件时发送 SNMP捕获通知。（3）关闭（）关闭（Shu

21、tdown）：）：发生安全违例事件时，端口立即呈现错误（error-disabled）状态，关闭端口（端口指示灯熄灭） 。同时也会发送一个 SNMP 的 Trap 消息并记录系统日志，违例计数器增加 1。在默认的情况下，违规处理动作配置为：Shutdown，通过配置可以改变处理模式，配置操作如下：Switchen #进入全局模式Switch#config t #进入特权模式 交换机端口保护技术分析与实现 第 8 页 共 19 页Switch(config)#int f0/2 #进入接口模式Switch(config-if)#swi mode acc #交换机端口设置为 access 模式Swi

22、tch(config-if)#swi port-sec #开启端口安全Switch(config-if)#swi port-sec violation protect #设置违规处理操作为 ProtectSwitch(config-if)#end #返回全局模式Switch#show port-security #查看违规处理操作此处使用的端口是 f0/2 端口，设置的违规处理操作为 Protect，配置结果如图 2-6所示。图 2- 6 设置违规处理操作模式2.32.3 安全安全 MACMAC 地址老化配置地址老化配置当接受的 MAC 地址数量较大时，会希望一些长时间没有连接的安全 MAC

23、地址老化，由此将较长时间未连接的 MAC 地址从 MAV 地址表中除去，默认情况下，端口安全不会对安全地址进行老化的，在接收到 MAC 地址后将一直在端口保留，直到交换机重启或链路断开。使用安全 MAC 地址老化功能可以还没达到端口上配置的最大安全 MAC 地址数之前，从安全端口上删除和添加 PC，无需手动删除现有的安全 MAC 地址。配置操作如下：switch(config)#int gigabitEthernet1/1 #进入接口模式switch(config)#swi port-sec aging time 120 #设置超时时间为 120 分钟Switch#show port-secu

24、rity interface gigabitEthernet1/1 #查看接口安全信息此处，使用的接口是千兆以太网接口 gigabitEthernet，设置的老化时间长度为 120 交换机端口保护技术分析与实现 第 9 页 共 19 页分钟。配置结果如图 2-7 所示。图 2- 7 设置老化时间在实际使用中，老化周期一般设置为 nn+1 分钟之间（n 为安全 MAC 地址表中的地址数） ，这样可以再使用的时候还没有达到最大地址数时就能除去已经老化的地址，减少了管理人员的工作量和操作复杂度。 交换机端口保护技术分析与实现 第 10 页 共 19 页3 3 VLANVLAN 划分划分实现方案实现方

25、案VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中，VLAN 是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网3.13.1VLANVLAN 划分配置划分配置网络（1）VLAN 配置配置先绘制 VLAN 的拓扑，如图 3-1 所示。图 3- 1 VLAN 拓扑图此处只用三个终端连接一个交换机，PC0 的 IP 地址配置如图 3-2 所示，PC1 的 IP地址配置如图 3-3 所示，P

26、C2 的 IP 地址配置如图 3-4 所示。图 3- 2 PC0 的 IP 地址 交换机端口保护技术分析与实现 第 11 页 共 19 页图 3- 3 PC1 的 IP 地址图 3- 4 PC2 的 IP 地址PC1 连接交换机端口 f0/1，PC2 连接交换机端口 f0/2，PC3 连接交换机端口 f0/3，并将 PC1 和 PC2 加入到 VLAN v2，将 PC3 加入到 VLAN v3，3配置操作如下：Switch#vlan database #进入 VLAN 模式Switch(vlan)#vlan 2 name v2 #定义 v2 和 V3 两个 VLANVLAN 2 added:

27、Name: v2Switch(vlan)#vlan 3 name v3VLAN 3 added: Name: v3Switch(vlan)#exit #退出 VLAN 模式APPLY completed.Exiting. 交换机端口保护技术分析与实现 第 12 页 共 19 页Switch#config t #进入特权模式Switch(config)#int f0/1 #配置端口 f0/1 接入 VLAN2Switch(config-if)#swi mode accSwitch(config-if)#swi accSwitch(config-if)#swi access vlan 2Switc

28、h(config-if)#int f0/2 #配置端口 f0/2 接入 VLAN2Switch(config-if)#swi mode accSwitch(config-if)#swi access vlan 2Switch(config-if)#int f0/3 #配置端口 f0/3 接入 VLAN3Switch(config-if)#swi mode accSwitch(config-if)#swi access vlan 3Switch(config-if)#endSwitch#show vlan brief #查看 VLAN 的划分由于模拟器默认的配置是将所有端口加入 VLAN 1，此

29、处将 f0/1 和 f0/2 加入到VLAN2，如图 3-5 所示。将 f0/3 加入到 VLAN 3，如图 3-6 所示。图 3- 5 f0/1 和 f0/2 加入 VLAN 2 交换机端口保护技术分析与实现 第 13 页 共 19 页图 3- 6 f0/3 加入 VLAN 3至此 VLAN 的配置就结束了3.2VLAN3.2VLAN 网络测试网络测试配置完了 VLAN ，现在将测试同 VLAN 中主机连通性和不同 VLAN 主机的连通性，首先是同 VLAN 的主机的连通性，有主机 PC0 来 Ping 主机 PC1，结果如图 3-7 所示。图 3- 7 PC0PingPC1 交换机端口保护

30、技术分析与实现 第 14 页 共 19 页此处可以看出同 VLAN 中的主机是连通的，既两个端口也是连通的，接下来测试不同 VLAN 中的主机 PC0 和主机 PC2 的连通性，结果如图 3-8 所示。图 3- 8 PC0PingPC2其结果是不连通的，说明两个端口也是不连通的，这就可以用来实现端口之间的隔离， 隔离端口之间的广播，控制了网络中广播数量，减少了网络带宽的消耗。同时两个 VLAN 之间端口不能通信，可增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同 VLAN 内的报文在传输时是相互隔离的，即一个 VLAN 内的用户不能和其它 VL

31、AN 内的用户直接通信，如果不同 VLAN 要进行通信，则需要通过路由器或三层交换机等三层设备。 交换机端口保护技术分析与实现 第 15 页 共 19 页4 4 交换机端口保护交换机端口保护配置配置保护端口可以确保同一交换机上的端口之间不进行通信。保护端口不向其他保护端口转发任何信息，包括单播、多播和广播包。传输不能在第二层保护端口间进行，所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口之间的传输不受任何影响4.14.1 配置端口保护命令配置端口保护命令在测试端口保护的命令的时候，使用的拓扑图如图 4-1 所示。图 4- 1 拓扑图PC0 的 IP 地址配置为 192.168

32、.1.101，接入交换机的 f0/1 端口，PC2 的 IP 地址配置为：192.168.1.102，接入交换机的 f0/2 端口。具体配置命令如下：Switchenable #进入全局模式Switch#configure terminal #进入特权模式Switch(config)#int range f0/1 2 #同时操作 f0/1 和 f0/2Switch(config-if-range)#switchport protected #开启端口保护 交换机端口保护技术分析与实现 第 16 页 共 19 页4.24.2 配置端口保护配置端口保护结果分析结果分析在配置端口保护前，两个端口是可以连通的，查看端口状态结果如图 4-2 所示。图 4- 2 查看端口结果 1测试结果如图 4-3 所示。图 4- 3 PC1Ping