网络互联技术（实践篇）（第2版）-课件 3-安全单元

十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验27保护交换机端口安全汇报人:Whale背景描述实施安全策略，固定IP分配，保护网络中心设备，禁止擅自连接其他计算机。安全措施小明作为网络管理员，优化校园网效率，保障设备安全，手动分配固定IP，限制随意连接。背景描述实验目的实验目的配置交换机接口安全，限制最大连接数为1，实施IP+MAC绑定，防止随意接入，保障网络稳定安全。实验拓扑在EVE模拟器中构建图27-1拓扑，按表27-1配置地址，实施交换机端口安全。实验拓扑设备接口IP地址/子网掩码网关备注PC1Gi0/15/24—网络中心计算机PC2Gi0/5/24—网络中心计算机实验原理交换机端口安全功能是指对交换机接口进行安全属性配置，控制用户不得随意接入。交换机端口安全有两类：一是限制交换机接口的最大连接数；二是对交换机接口进行MAC地址、IP地址绑定。其中，限制交换机接口的最大连接数可以控制交换机接口连接的主机数量，防止用户恶意欺骗。交换机端口安全实验原理配置接口安全属性，限制连接数，绑定MAC、IP，防欺骗与攻击。交换机端口安全种方式：protect丢弃未知IP包，restrict发Trap通知，shutdown关闭接口并通知。安全违例处理实验步骤设定最大连接数，绑定MAC与IP地址，确保网络安全。配置交换机端口安全设置PC1与PC2的IP地址和子网掩码，测试网络联通性。配置网络中心计算机注意事项（1）交换机端口安全功能只能在Access端口进行配置。（2）交换机最大连接数取值范围是1～128，默认是128。（3）交换机最大连接数默认的安全违例处理方式是protect。谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验28配置交换机端口被保护安全汇报人:Whale背景描述配置交换机，保护学生端口，开放教师端口，确保成绩提交，实现安全监考。解决方案小明管理学院校园网，期末监考需防作弊，配置交换机端口保护，禁互访，保师机通联。背景描述实验目的掌握交换机端口保护技术，实现被保护端口间安全隔离，确保与未保护端口安全通信。实验拓扑图展示多媒体机房实验拓扑，按表28-1配置IP，实现在EVE模拟器中网络连接。实验拓扑设备IP地址/子网掩码网关接口接口性质备注PC1/24—Gi0/1被保护端口学生计算机PC20/24—Gi0/5被保护端口学生计算机PC3/24—Gi0/8未被保护（普通）端口教师计算机实验原理对于交换机上有些接口之间不能互相通信的要求，可以通过端口被保护安全技术实现。当交换机的接口被设置为被保护端口之后，被保护端口之间无法通信，产生隔离效果。但是，被保护端口与未被保护端口之间可以正常通信。被保护端口之间如果需要通信，无论通信过程中传输的是单址帧、广播帧还是多播帧，都必须使用三层交换设备。端口隔离技术实验原理交换机上被保护端口之间有两种工作模式。一种是阻断被保护端口之间的二层交换，但其允许被保护端口之间提供三层路由；另一种是同时阻断被保护端口之间的二层交换和三层路由。其中，第一种工作模式将作为默认工作模式。

端口隔离技术实验原理通过设置保护端口实现接口间通信隔离，需三层设备支持跨保护端口通信。端口隔离技术默认模式允许三层路由，加强模式完全阻断二层与三层通信，适应不同安全需求。工作模式选择实验步骤PC1配置IP，子网掩码，完成所有PC配置。IP配置使用ping命令测试PC间连通性，需关闭防火墙，验证同一网段通信。网络测试配置交换机端口保护，限制被保护端口间通信，不影响与非保护端口通信。端口保护添加"no"命令恢复端口至非保护状态，可选开启端口。配置恢复注意事项（1）交换机端口被保护安全功能只能在Access端口进行配置。（2）交换机端口被保护安全功能只能在同一台交换机上生效。（3）开启了交换机端口被保护安全功能的被保护端口之间无法互相通信，但是被保护端口与未被保护端口之间可以正常通信。（4）打开被保护端口，在原有命令前增加“no”命令，可以恢复该接口为未被保护端口，相关配置实例如下。Switch(config)#interfacerangeGigabitEthernet0/1-6 ！打开多个接口Switch(config-if-range)#noswitchportprotected ！恢复为未被保护端口Switch(config-if-range)#noshutdown ！开启状态（可选）（5）在部分交换机上可以开启全局路由隔离功能，这样开启了端口被保护安全功能的被保护端口之间就不能进行三层路由访问，该功能仅部分交换机支持。Switch(config)#protected-portsroute-deny ！拒绝三层路由访问谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验29配置交换机全局地址绑定安全汇报人:Whale背景描述实施全局地址绑定，IP与MAC关联，确保内部员工灵活接入校园网络。IP地址绑定小明优化校园网效率，手动分配固定IP，保障设备安全，适应移动办公需求。网络管理优化实验目的掌握交换机全局地址绑定安全配置方法，配置交换机全局地址绑定安全。在EVE模拟器中，按图拓扑连接设备，配置IP与MAC地址绑定。实验拓扑实验原理交换机全局地址绑定安全是在全局配置模式下建立IP地址和MAC地址的绑定关系，只有匹配全局地址绑定列表条目的计算机，才可以在交换机的接口之间不受限制地移动接入局域网。通过手动配置全局IP地址和MAC地址绑定，对输入的报文进行IP地址和MAC地址绑定关系的验证，设备只接收源IP地址和源MAC地址均匹配全局地址绑定列表条目的IP报文，否则该IP报文将被交换机丢弃。通过在交换机接口上开启全局地址绑定安全功能，控制各个接口上接收到的IP报文，实现移动设备安全接入。全局地址绑定安全01实验原理在全局配置模式下绑定IP与MAC，验证报文，控制IP报文进出，保障移动设备安全接入。全局地址绑定安全01端口安全控制接口，全局地址绑定安全控制IP报文，后者实现更精准的网络访问控制。端口安全对比02实验步骤将GigabitEthernet0/0设为例外端口，不受IP与MAC绑定检查，适用于上联端口。配置例外端口在Switch上绑定IP与MAC地址，使用address-bindinstall使配置生效，开启logging记录异常。配置全局地址绑定谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验30防止ARP欺骗攻击汇报人:Whale背景描述小明作为网络管理员，优化校园网效率，保障设备安全，手动分配固定IP，实施IP+MAC绑定防ARP攻击。背景描述通过固定IP地址和IP+MAC地址绑定+ARP-check方案，有效防止ARP欺骗，确保网络中心设备安全。安全措施实验目的配置交换机端口安全，限制连接数，实施IP+MAC绑定+ARP-check，防范ARP欺骗。实验目的通过绑定和检查机制，增强网络中心计算机的安全防护，避免非法访问和攻击。安全措施配置网络，防ARP欺骗，实验拓扑搭建于EVE模拟器。实验拓扑实验原理ARP是根据已知的IP地址获取计算机设备MAC地址的协议。某计算机和目的计算机通信时，由于不知道对方的MAC地址，因此需要将包含目的IP地址的ARP请求广播到局域网内所有计算机，并根据接收到的返回消息确定目的IP地址对应的MAC地址，并将该IP地址和MAC地址建立ARP映射关系，然后将该ARP映射关系存入本机的ARP缓存中，并保留一段时间，以便下次通信时直接查询ARP缓存，使用该ARP映射关系。ARP协议功能01实验原理实现IP地址到MAC地址映射,通过广播请求和响应确定目标设备MAC,建立ARP缓存提高通信效率。ARP协议功能01黑客伪造ARP响应,冒充网络中其他设备,导致数据包经由黑客机器,实现数据截取和通信中断。ARP欺骗攻击02实验步骤设置PC1与PC2的IP地址、子网掩码及网关，测试网络连通性。01配置最大连接数为1，违例处理为shutdown，确保网络安全。02绑定PC1与PC2的IP-MAC地址至特定端口，启用ARP-check防欺骗。03仅绑定PC3的IP地址至Gi0/6端口，开启ARP-check，增加灵活性。04配置网络参数设置交换机安全端口防止ARP欺骗方法端口IP地址绑定谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验31配置交换机端口镜像汇报人:Whale背景描述小明作为学院网络管理员，负责校园网管理与优化，保障网络中心服务器安全。背景描述通过配置交换机端口镜像，复制服务器流量至特定计算机，使用数据包捕获软件分析异常IP，加强服务器防护。安全措施配置交换机端口镜像，监控网络中的异常数据流量。实验目的配置交换机端口镜像实验，因EVE模拟器限制，需在真机上操作。实验拓扑实验原理端口镜像原理端口镜像应用01利用SPAN技术复制特定流量至监控端口，适用于不同端口类型与属性，辅助网络分析器检测异常流量。02开启镜像功能，保障数据完整性与网络安全性，兼容多种网络分析工具，有效监控企业内部网络异常。实验步骤安装Wireshark，设置抓包参数，捕获IP数据包，分析网络通信信息，验证监控端口功能。数据包分析按图31-1拓扑，用交换机连接设备，设PC1-3地址，配置监控端口，测试网络连通性。网络场景搭建谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验32配置编号标准IPACL汇报人:Whale背景描述通过单一路由器连接各部门，实施标准IPACL，限制非业务部门访问销售部，确保内部网络安全。企业网络安全构建互联互通企业网，利用路由器作为核心，实现部门间网络隔离与互联网接入，优化资源分配与管理。网络架构设计实验目的掌握基于编号的标准IPACL技术原理，学会配置基于编号的标准IPACL。实验拓扑按照图32-1所示的拓扑，在EVE模拟器中搭建网络。按照表32-1规划的地址配置设备地址。实验拓扑设备IP地址/子网掩码网关接口备注PC1/24Gi0/1后勤部计算机PC2/24Gi0/2财务部计算机PC3/24Gi0/0销售部计算机Router/24—Gi0/1后勤部网接口

/24—Gi0/2财务部网接口

/24—Gi0/0销售部网接口

/24—Gi0/8互联网接口实验原理软防火墙技术，通过定义规则控制IP数据包，实现网络通信数据类型及用户设备访问控制。IPACL也称访问列表（AccessList），俗称软防火墙技术，又称包过滤技术。IPACL通过定义一些规则对网络设备接口上的IP数据包进行控制（允许通过或丢弃），从而实现对网络中流经设备的IP数据包进行过滤，限制网络中的通信数据的类型，以及网络的使用者或使用的设备。例如，客户现场有多个网段，但是并不需要使这些网段的所有IP地址均能互通，只需要对部分IP地址进行相关的管控，这时即可通过IPACL实现禁止部分IP地址互访。IPACL原理01实验原理IPACL在IP数据包通过网络设备时对其进行分类、过滤，并对从指定接口输入或者输出的IP数据包进行检查，根据匹配条件（Condition）决定允许其通过（Permit）还是将其丢弃（Deny）。IPACL由一系列的表项组成，这些表项称为访问控制表项（AccessControlEntry，ACE）。其中，每个ACE都表明了满足该表项的匹配条件及行为。IPACL对收到的IP数据包中的源MAC地址、目的MAC、源IP地址、目的IP地址、TCP/UDP上层协议等信息进行检查和过滤。IPACL实际上是IP数据包过滤技术，配置在网络设备中的IPACL是一张规则检查表，这张表中包含很多规则，用于告诉交换机或者路由器哪些IP数据包允许通过、哪些IP数据包需要丢弃。通过这些安全措施，实施对网络中通过的IP数据包的过滤，实现对网络资源进行输入和输出的访问控制，最终实现网络安全防护的目标。IPACL原理01实验原理软防火墙技术，通过定义规则控制IP数据包，实现网络通信数据类型及用户设备访问控制。IPACL原理01分类、过滤IP数据包，基于源MAC、目的MAC、IP地址等信息，实现网络资源访问控制，保障网络安全。IPACL功能02实验步骤进入特权模式，配置全局参数，设置IP地址，开启接口，完成基本网络设定。路由器配置显示直连网络详情，确认各接口直连状态，确保网络中心路由器互联互通。直连路由表信息配置各计算机IP，测试PC间联通性，验证直连路由实现多机通信。网络联通测试配置标准IPACL，限制特定部门访问，优化网络传输，保障企业网络安全。安全访问控制谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验33配置编号扩展IPACL汇报人:Whale配置扩展IPACL实验PART01背景描述东校区仅允许访问西校区网络中心Web服务器，限制FTP服务器访问，保障网络安全与流量控制。安全访问策略西校区通过光纤专线接入互联网，与东校区以电信宽带相连，需配置OSPF实现双校区通信。校园网络架构实验目的学习基于编号的扩展IPACL规则原理，学会配置基于编号的扩展IPACL技术。实验拓扑在EVE模拟器中，按图33-1连接网络，依表33-1配置地址，用互联网接口代广域网接口，效果一致。实验拓扑在EVE模拟器中，按图33-1连接网络，依表33-1配置地址，用互联网接口代广域网接口，效果一致。实验拓扑设备接口IP地址/子网掩码网关备注Router1Gi0/1/24—西校区校园网接口

G0i/0/24—互联网接口Router2Gi0/0/24—互联网接口

Gi0/1/24—东校区校园网接口PC1—/24/24西校区网络中心服务器PC2—/24/24东校区校园网计算机实验原理扩展IPACL技术编号100～199和2000～2699，匹配五大元素，实现细粒度安全控制。和基于编号的标准IPACL只匹配IP数据包中的源IP地址相比，基于编号的扩展IPACL具有更多的匹配项，可以实现更细粒度的网络安全访问控制，可以匹配IP数据流中的五大元素（源IP地址、目的IP地址、源端口、目的端口、协议号），实现更加严格的安全检查控制。这使得基于编号的扩展IPACL能够提供更精确的控制，以满足更复杂的网络安全访问需求。实验原理基于编号的扩展IPACL是一种强大的网络安全访问控制工具，它可以帮助网络管理员实现更精确和细粒度的网络安全访问控制，保护网络资源和数据的安全网络安全访问控制提供精确控制，满足复杂需求，保护网络资源和数据安全。实验步骤配置西校区Router1路由器，设置双接口IP，实现网络基础搭建。01配置东校区Router2路由器，设置IP，启用三层接口，确保网络畅通。02在西校区Router1配置OSPF动态路由，启用进程1，设置ID，发布网络与至区域0。03在东校区Router2配置OSPF，实现全网互联互通。04配置Router1基础信息配置Router2基础信息配置OSPF动态路由配置OSPF动态路由实验步骤配置PC地址，测试网络，确认OSPF路由连通。配置PC地址测网络配置扩展IPACL于Router2，禁东区访西区FTP，允Web服务。配置编号扩展IPACL查询与展示路由器上基于编号的扩展IPACL配置及接口信息。验证扩展IPACL安全东校区PC2经OSPF路由，成功ping西校区PC1，受限于扩展IPACL仅阻FTP流。配置扩展IPACL安全谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验34配置名称标准IPACL汇报人:Whale背景描述小明管理校园网,实施安全防范,允许业务部门如财务部访问服务器,提升网络效率。网络管理措施学院网络中心用三层交换机连接多部门,禁非业务部门访问服务器,保安全,优流量。校园网络安全实验目的掌握基于名称的标准IPACL技术原理，限制部分网络访问的范围。学会配置基于名称的标准IPACL。搭建实验网络拓扑，按规划配置IP地址。实验拓扑搭建实验网络拓扑，按规划配置IP地址。实验拓扑设备部门VLANIP地址/子网掩码网关备注SwitchVLAN10/24—后勤部网

VLAN20/24—财务部网

VLAN30/24—网络中心网PC1—/24/24后勤部计算机PC2—/24/24财务部计算机PC3—/24/24网络中心计算机实验原理IPACL类型分为标准与扩展ACL，基于编号和名称，名称型便于记忆管理。基于名称的IPACL优点使用字符串标识规则，提高可管理性，适应组织人员变动。实验步骤创建并命名后勤部、财务部、网络中心VLAN，分配至特定端口。01配置VLAN设置各VLAN虚拟网关接口地址，确保状态开启，实现互联互通。02配置虚拟网关配置PCIP及网关，测试PC间网络联通性，验证直连路由功能。03网络联通测试定义标准IPACL“deny-houqin”，拒绝后勤部访问网络中心，应用于VLAN30入方向。04配置IPACL从PC1测试至PC2、PC3联通性，验证基于名称的IPACL拒绝规则有效。05测试IPACL安全搭建实验网络拓扑，按规划配置IP地址。注意事项注意1

在应用基于名称的标准IPACL规则时，注意每个接口和每个方向只能应用一组基于名称的标准IPACL规则。对于交换机来说，物理接口需要转换为三层接口，通常推荐应用入方向和出方向的基于名称的标准IPACL规则（IN和OUT）；VLAN虚拟接口则推荐应用入方向的基于名称的标准IPACL规则（IN）；路由器接口则推荐应用入方向和出方向的基于名称的标准IPACL规则。注意2在VLAN虚拟接口上应用基于名称的标准IPACL规则时，当源地址段为应用VLAN的虚拟接口的IP网段时，就使用入方向；当目的地址段为应用VLAN的虚拟接口的IP网段时，就使用出方向。谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验35配置名称扩展IPACL汇报人:Whale配置命名扩展IPACLPART01背景描述小明管理学院校园网，西区网络中心用三层交换机连接多部门，实施安全措施保护服务器，优化访问流量。背景描述非业务部门如后勤部仅限Web服务访问，业务部门如财务部可访问更多服务，保障网络中心安全。安全策略实验目的掌握基于名称的扩展IPACL技术，限制用户访问服务。学会配置基于名称的扩展IPACL。搭建学院网络中心，配置IP地址，实现实验拓扑图35-1。实验拓扑搭建学院网络中心，配置IP地址，实现实验拓扑图35-1。实验拓扑设备接口IP地址/子网掩码网关备注SwitchGi0/1/24—后勤部网

Gi0/5/24—财务部网

Gi0/8/24—网络中心网PC1—/24/24后勤部计算机PC2—/24/24财务部计算机PC3—/24/24网络中心服务器实验原理检查IP数据包详细信息，实现精细流量控制，可应用于所有接口，减轻网络维护工作。扩展IPACL特点01规则编写后易修改，方便调整规则和网络管理，与基于编号的扩展IPACL相似但更灵活。基于名称的ACL优势02实验原理检查IP数据包详细信息，实现精细流量控制，可应用于所有接口，减轻网络维护工作。扩展IPACL特点01规则编写后易修改，方便调整规则和网络管理，与基于编号的扩展IPACL相似但更灵活。基于名称的ACL优势02实验步骤配置Ruijie交换机VLAN，设置三层接口，分配IP，确保网络互联互通。01配置交换机VLAN信息。通过配置IP地址和直连路由，实现多台计算机间的网络联通测试。02网络联通测试。配置扩展IPACL，精准控制网络访问，保障业务安全。03配置命名扩展IPACL在EVE模拟器中，测试基于名称的IPACL，精确控制网络访问，保障安全。04测试命名扩展IPACL安全在真机环境测试中，通过名称扩展IPACL，成功控制Web与FTP服务访问。05测试扩展IPACL安全谢谢汇报人:Whale十三五、十四五职业教育国家规划教材第二版（微课版）网络互联技术（实践篇）锐捷网络学院认证教材实验36配置基于时间IPACL汇报人:Whale配置时间IPACLPART01背景描述上班时间保障双校区网络畅通，20:00后限制东校区访问西校区FTP服务器，确保安全与流量管理。网络访问控制西校区光纤专线接入互联网，东校区通过电信宽带连接，配置OSPF动态路由实现双校区通信。校园网络架构掌握基于时间的IPACL应用环境，学会配置基于时间的IPACL。实验目的实验拓扑依据图36-1搭建网络，按表36-1配置IP，用互联网接口代广域网，效果一致。实验拓扑实验拓扑依据图36-1搭建网络，按表36-1配置IP，用互联网接口代广域网，效果一致。设备接口IP地址/子网掩码网关备注Router1Gi0/1/24—西校区校园网接口

Gi0/0/24—互联网接口Router2Gi0/0/24—互联网接口

Gi0/1/24—东校区校园网接口PC1—/24/24西校区网络中心服务器PC2—/24/24东校区校园网计算机实验原理扩展标准与扩展IPACL,加入时间范围,控制网络访问,需可靠系统时钟。基于时间的IPACL基于时间的IPACL规则在编写过程中，首先需要定义一个时间范围，即配置一个Time-Range。其中，Time-Range的实现依赖于系统时钟，因此要使用该功能，必须保证有一个可靠的系统时钟。

然后，在原来ACL的基础上应用Time-Range。基于时间的IPACL可以根据一天中的不同时间，或者根据一周中的不同日期，控制网络访问的范围。校园网应用实验原理扩展标准与扩展IPACL,加入时间范围,控制网络访问,需可靠系统时钟。基于时间的IPACL上课禁访学校服务器,下课开放,精细化管理网络访问时段。校园网应用实例实验步骤配置西校区Router1路由器，设置双接口IP，实现校园网连接。01配置东校区校园网出