任务3.1 二层交换安全的配置

计算机网络安全管理技术项目三局域网的安全管理任务3.1二层交换安全的配置任务3.2VLAN的安全配置任务3.3生成树协议的安全配置任务3.4无线局域网的安全配置【学习目标】知识目标

1．识记：二层交换攻击和防御方法；VLAN攻击和防御方法。2．领会：生成树协议攻击和防御方法；无线局域网攻击和防御方法。技能目标

1．能解决二层交换及VLAN的安全问题；2．能完成生成树协议安全的配置；3．学会无线路由器安全的操作。素质目标

1．从国家和民族层面认识到网络安全对于国家安全的重要性；2．通过局域网攻击和防御的学习，勇于承担维护网络安全的责任信念。项目三任务3.1二层交换安全的配置子任务1端口安全的配置

子任务2DHCP监听的配置

子任务3二层交换的其他安全配置局域网的安全管理【任务目标】

1．领会二层交换机的端口安全并掌握正确配置方法2．能配置二层交换机的DHCP监听功能3．学会二层交换机其他安全配置的操作方法项目三任务3.1二层交换安全的配置

子任务1端口安全的配置

子任务2DHCP监听的配置

子任务3二层交换的其他安全配置局域网的安全管理

【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.1二层交换安全的配置

子任务1端口安全的配置【网络拓扑图】【网络IP地址分配表】

设备名接口IP地址/子网掩码PC1Fa0192.168.1.1/24PC2Fa0192.168.1.2/24任务3.1二层交换安全的配置

子任务1端口安全的配置【知识支撑】1、MAC地址欺骗攻击当攻击者将其主机的MAC地址进行修改，以匹配目标主机的已知MAC地址时，将发生MAC地址欺骗攻击。攻击主机随后通过网络发送带有新配置的MAC地址的数据帧。当交换机接收到该帧时，它会检查源MAC地址。交换机将会覆盖当前的MAC地址表条目并且将MAC地址指派给新端口，然后它就会把去往目标主机的数据帧转发到攻击主机。任务3.1二层交换安全的配置

子任务1端口安全的配置当交换机改变MAC地址表后，目标主机不会收到任何流量，直到它发送数据流。当目标主机发送流量后，交换机接收并且检查该帧，从而导致MAC地址表再次重写，还原MAC地址到初始的端口。

为了阻止交换机从伪造的MAC地址端口分配返回到正确的状态,攻击主机可以创建一个程序或脚本，连续地向交换机发送数据帧，以便交换机维护不正确的或伪造的信息。由于第二层没有任何安全机制让交换机验证源MAC地址，这就使得它很容易被欺骗或冒充。任务3.1二层交换安全的配置

子任务1端口安全的配置

2、MAC地址表溢出攻击除了MAC欺骗政击，第二层设备上也容易受到MAC地址表溢出攻击。因为MAC地址表的空间是有限制的，MAC地址泛洪就利用了这个限制。它使用大量假的源MAC地址来攻击交换机，直到交换机的MAC地址表被充满。如果在旧的条目到期之前已经有足够多的条目进入到了MAC地址表，该表不再接受任何新的条目。任务3.1二层交换安全的配置

子任务1端口安全的配置当以上情况发生时，交换机开始泛洪进入的流量到所有端口，因为在表中没有空间来获知任何合法的MAC地址。此时的交换机，从本质上讲，就成了一个集线器。最终导致的结果是，攻击者可以看到所有从一个主机发送到另外一个主机的所有数据帧。

任务3.1二层交换安全的配置

子任务1端口安全的配置3、端口安全配置端口安全可以用来防御MAC欺骗和MAC地址表溢出这两种攻击。使用端口安全，管理员可以静态指定MAC地址到特定交换机端口，或者允许交换机针其端口动态地学习数量固定的MAC地址。配置完成后，端口只允许授权MAC地址通过本端口通信，其他非授权MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。

任务3.1二层交换安全的配置

子任务1端口安全的配置

【任务实施】1、绘制网络拓扑图2、接口IP地址的配置

根据网络IP地址分配表为每个设备接口配置IP地址，并验证之间的连通性

任务3.1二层交换安全的配置

子任务1端口安全的配置3、端口安全的配置

1）在SW1的Fa0/1端口上配置端口安全，要求只允许一台设备接入，否则将关闭端口，主要配置命令如下：

SW1(config)#intf0/1SW1(config-if)#swmodeaccess//将端口设置成接入模式SW1(config-if)#swport-security//开启端口安全SW1(config-if)#swport-securitymaximum1//设置该端口只能允许一个设备接入SW1(config-if)#swport-securityviolotionshutdown//设置触发规则是关闭端口SW1(config-if)#swport-securitymac-addresssticky//设置端口mac地址学习方式为粘连任务3.1二层交换安全的配置

子任务1端口安全的配置

2）验证端口安全首先在PC1上使用ping命令来验证与PC2的连通性，使端口学习到PC1的MAC地址，然后断开PC1的连接，将PC3接入到SW1的Fa0/1端口上，并配置与PC1相同的IP地址。此时使用ping命令来验证PC3与PC2的连通性，发现无法连通，而且在SW1上会出现以下日志信息，表明此端口已经被关闭。

%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoadministrativelydown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown任务3.1二层交换安全的配置

子任务1端口安全的配置同时查看此端口的信息，发现其状态变为了err-disabled，如下所示。此时如果要将端口恢复到正常状态，首先将PC1重新连接至交换机SW1的Fa0/1端口上，然后在SW1上对Fa0/1端口进行关闭和开启端口的命令后即可恢复正常。

SW1#showintf0/1FastEthernet0/1isdown,lineprotocolisdown(err-disabled)……任务3.1二层交换安全的配置

子任务1端口安全的配置项目三任务3.1二层交换安全的配置子任务1端口安全的配置

子任务2DHCP监听的配置

子任务3二层交换的其他安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.1二层交换安全的配置

子任务2DHCP监听的配置【网络拓扑图】【网络IP地址分配表】

设备名接口IP地址/子网掩码S1Fa0192.168.1.254/24S2Fa0192.168.2.254/24PC1Fa0自动获取任务3.1二层交换安全的配置

子任务2DHCP监听的配置【知识支撑】

1、DHCP欺骗攻击在没有DHCP欺骗攻击的情况下，DHCP客户机可以从合法的DHCP服务器上获取正确的IP地址、掩码、网关和DNS等信息。如果网络中被攻击者安放了非法的DHCP服务器，该服务器可以任意向外分配地址，非法的DHCP服务器一般距离客户机较近，这样客户机才可以从非法的DHCP服务器上获得非法的IP地址。

任务3.1二层交换安全的配置

子任务2DHCP监听的配置如果非法DHCP服务器仅是随便分配IP地址，影响用户正常的上网，并没有恶意攻击，危害还不算大，如果攻击者分配假的网关，并把网关指向一台攻击主机，攻击主机再把网络流量转发给真正的网关，这样虽然不影响用户正常的上网，但客户机的所有流量都流经攻击主机，很容易泄露一些机密信息，所以这种攻击也叫中间人攻击。

任务3.1二层交换安全的配置

子任务2DHCP监听的配置2、DHCP监听（DHCPSnooping）DHCP监听可以防范利用DHCP发起的多种攻击行为，如DHCP中间人攻击，伪造多台设备耗尽地址池。DHCP监听允许可信端口上的所有DHCP消息，但是却过滤非可信端口上的DHCP消息，DHCP监听还会在非可信端口上检查DHCP客户端消息。

任务3.1二层交换安全的配置

子任务2DHCP监听的配置

DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCPSnoopingBinding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCPOffer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号和租期等信息。任务3.1二层交换安全的配置

子任务2DHCP监听的配置

【任务实施】1、绘制网络拓扑图2、接口IP地址的配置根据网络IP地址分配表为每个设备接口配置IP地址任务3.1二层交换安全的配置

子任务2DHCP监听的配置3、DHCP服务器的配置

分别在S1和S2上配置DHCP服务，如下图所示

任务3.1二层交换安全的配置

子任务2DHCP监听的配置4、DHCP客户端的配置在PC1上分别使用ipconfig/release和ipconfig/renew命令来释放和获取IP地址，如下所示。

C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.2.1SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.2.254DNSServer......................:2.2.2.2C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.1SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1任务3.1二层交换安全的配置

子任务2DHCP监听的配置

从以上结果可以看出，PC1获取IP地址是随机的，这和DHCP的工作原理相关，给攻击者以可乘之机，所以需要配置DHCP监听服务来杜绝DHCP欺骗攻击的发生。

任务3.1二层交换安全的配置

子任务2DHCP监听的配置5、DHCP监听的配置

在SW2上配置DHCP监听，要求只允许S1服务器可以提供DHCP服务，配置命令如下。SW2(config)#ipdhcpsnooping//开启DHCP监听服务SW2(config)#intf0/1SW2(config-if)#ipdhcpsnoopingtrust//设置Fa0/1端口为DHCP服务可信任端口任务3.1二层交换安全的配置

子任务2DHCP监听的配置再次在PC1上分别使用ipconfig/release和ipconfig/renew命令来释放和获取IP地址，如下所示。

C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.3SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1C:\>ipconfig/releaseIPAddress......................:0.0.0.0SubnetMask.....................:0.0.0.0DefaultGateway.................:0.0.0.0DNSServer......................:0.0.0.0C:\>ipconfig/renewIPAddress......................:192.168.1.2SubnetMask.....................:255.255.255.0DefaultGateway.................:192.168.1.254DNSServer......................:1.1.1.1任务3.1二层交换安全的配置

子任务2DHCP监听的配置

从以上结果可以看出，此时PC1只能获取S1服务器所提供的IP地址，这样就可以杜绝DHCP欺骗攻击，客户机不会从非法的DHCP服务器上获得非法的IP地址。任务3.1二层交换安全的配置

子任务2DHCP监听的配置项目三任务3.1二层交换安全的配置子任务1端口安全的配置

子任务2DHCP监听的配置

子任务3二层交换的其他安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置【网络拓扑图】

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置【知识支撑】

1、LAN风暴攻击第二层设备同样很容易受到LAN风暴攻击。LAN风暴发生在当数据包在LAN内泛洪时，这会生成大量的流量从而降低网络性能。协议栈中的错误、网络配置不当或者用户发起的攻击均可以导致风暴。

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置由于交换机会通过所有端口将广播转发出去，因此在攻击期间，广播、组播和单播帧在同一个VLAN内的所有端口上泛洪。LAN风暴会导致交换机CPU的利用率提升至100%，当用户通过该交换机进行通信时将无法获得服务。

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置2、风暴控制风暴控制可以防止LAN上的流量被一个物理接口上的广播、组播和单播风暴所破坏。风暴控制监视从一个接口发送到交换机的数据包，并且判断该数据包是单播、组播还是广播。交换机在特定时间间隔内对接收到的指定类型的数据包进行总数统计，并且会和预先定义好的抑制级别门限值进行比较，如果超过了门限值时，风暴控制就会阻塞流量，这种类型的所有流量在下一个时间段将会丢弃。

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置2、尽量少用或禁用思科发现协议（CDP）

CDP是CiscoDiscoveryProtocol的缩写，它是由思科公司推出的一种私有的二层网络协议，它能够运行在大部分的思科设备上面。通过运行CDP，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及IP地址，硬件平台等信息。但这也会给黑客就会利用CDP进行欺骗攻击，从而获取网络中的相关信息从而描述出整个网络的拓扑情况。因此在不必要的环境下尽量少用或禁用CDP。任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置3、禁用不需要的或未用的服务（包括DNS、SNMP和DHCP服务等）

4、关闭不使用的端口5、动态ARP检查（DAI）

6、IP源地址保护(IPSourceGuard)……

任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置

【任务实施】1、绘制网络拓扑图2、风暴控制的配置主要配置命令如下：SW1(config)#intf0/1SW1(config-if)#storm-controlbroadcastlevel50//将风暴控制级别的门阀值设置为50SW2(config)#intf0/2SW2config-if)#storm-controlbroadcastlevel50SW3(config)#intrangef0/1-2//进入多个端口SW3(config-if-range)#storm-controlbroadcastlevel50任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置3、禁用CDP的配置SW1的所有端口和SW3的Fa0/1端口禁用CDP1）查看CDP邻居信息，以SW3为例SW3#showcdpneighbors……DeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDSW1Fas0/1136S2960Fas0/1SW2Fas0/2161S2960Fas0/2//以上输出可以看到SW3的CDP邻居SW1和SW2的相关信息任务3.1二层交换安全的配置

子任务3二层交换的其他安全配置2）禁用CDP

主要配置命令如下：

SW1(config)#nocdprun//禁用SW1所有端口的CDPSW3(config)#intf0/1SW3(config-if)#nocdpenable//禁用SW3的Fa0/1端口的CDP任务3.1二层交换