任务17：配置接入交换机安全,保障终端计算机安全接入

1、任务17 配置接入交换机端口安全，保障终端计算机接入安全,网络设备安装与调试技术,目录,一、任务描述 二、任务分析 三、知识准备 17.1 保护终端设备接入安全 17.2 什么是交换机端口安全 17.3 交换机安全端口安全技术 17.4 配置端口最大连接数 17.5 绑定交换机端口安全地址 四、任务实施 17.6 综合实训：配置接入交换机端口安全，保障终端计算机接入安全 知识拓展 认证测试,任务描述,浙江科技工程学校多媒体实训中心机房，学生在上课期间使用U盘复制资料，经常造成了机房病毒的传播，特别是ARP病毒的攻击，经常造成全校的网络中断现象发生。 为了避免各个多媒体教室计算机的ARP等病毒传

2、播，学校的网络中心通过实施接入交换机的端口地址捆绑安全，防范接入设备的安全。 。,任务分析,安装在网络中的交换机设备能帮助接入设备高速的传输。默认的情况下，交换机的所有端口不提供任何安全检查措施，允许所有的数据流通过。 但这样一来，终端计算机一旦感染上病毒，就会通过接入交换机设备，传播到整个网络中，影响网络的正常运行。因此为保护网络内的用户安全，对交换机的端口增加安全访问功能，可以有效保护网络安全。 。,知识准备,17.1 保护终端设备接入安全 。,交换机的端口安全是工作在交换机二层端口上一个安全特性，它主要有以下功能： 只允许特定MAC地址的设备接入到网络中，防止非法或未授权设备接入网络。

3、限制端口接入的设备数量，防止用户将过多的设备接入到网络中。,知识准备,17.2 什么是交换机端口安全 。,利用端口安全这个特性，可以实现网络接入安全，通过限制允许访问交换机上某个端口的MAC地址以及IP（可选），实现控制对该端口的输入。 为端口配置一些安全地址后，除了源地址为这些安全地址的包外，这个端口将不转发其他任何数据。此外，还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。,知识准备,17.3 交换机安全端口安全技术 。,为了增强网络的安全性，还可以将MAC地址和IP

4、地址绑定起来，作为安全接入的地址，实施更为严格的访问限制，当然也可以只绑定其中一个地址，如只绑定MAC地址而不绑定IP地址，或者相反。,知识准备,17.3 交换机安全端口安全技术 。,2、配置端口安全地址个数 交换机的端口安全功能还表现在，可以限制一个端口上能连接安全地址的最多个数。如果一个端口被配置为安全端口，配置有最多的安全地址的连接数量，当连接的安全地址的数目达到允许的最多个数，或者该端口收到一个源地址不属于该端口上的安全地址时，交换机将产生一个安全违例通知。,知识准备,17.3 交换机安全端口安全技术 。,3、端口安全检查过程 当一个端口被配置成为一个安全端口后，交换机不仅将检查从此端

5、口接收到帧的源MAC地址，还检查该端口上配置的允许通过最多安全地址个数。 如果安全地址数没有超过配置最大值，交换机还将检查安全地址表。若此帧源MAC地址没有被包含在安全地址表中，那么交换机将自动学习此MAC地址，并将它加入到安全地址表中，标记为安全地址，进行后续转发；若帧的源MAC地址已经存在于安全地址表中，那么交换机将直接转发该帧。,知识准备,17.4 配置端口最大连接数 。,要想使交换机的端口成为一个安全端口，需要在端口模式下，启用端口安全特性： Switch(config-if)#switchport port-security 当交换机端口上所连接安全地址数目，达到允许的最多个数，交换

6、机将产生一个安全违例通知。启用端口端口安全特性后，使用如下命令为端口配置允许最多的安全地址数： Switch(config-if)#switchport port-security maximum number 默认情况下，端口的最多安全地址个数为128个。,知识准备,17.4 配置端口最大连接数 。,当安全违例产生后，可以设置交换机，针对不同的网络安全需求，采用不同安全违例的处理模式，其中： Protect ： 当所连接端口通过安全地址，达到最大的安全地址个数后，安全端口将丢弃其余未知名地址（不是该端口的安全地址中任何一个）数据包，但交换机将不作出任何通知以报告违规的产生。 Restrict

7、Trap ：当安全端口产生违例事件后，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMP Trap报文，等候处理。 Shutdown ： 当安全端口产生违例事件后，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMP Trap报文，而且将端口关闭，端口将进入“err-disabled”状态，之后端口将不再接收任何数据帧。,知识准备,17.4 配置端口最大连接数 。,在特权模式下，通过以下步骤，配置安全端口和违例处理方式。 switchport port-security ! 打开接口的端口安全功能。 switchport port-security

8、 maximum value ! 设置接口上安全地址最多个数，范围是1128，默认值为128。 switchport port-security violation protect | restrict | shutdown ! 设置接口违例方式，当接口因为违例而被关闭后选择方式。,知识准备,17.5 绑定交换机端口安全地址 。,在交换机上配置端口安全地址的绑定操作，通过以下命令和步骤手工配置。 Switchport port-security mac-address mac-address ip-address ip-address ! 手工配置接口上的安全地址。 Switch (confi

9、g-if)#switchport port-security mac-address 00-90-F5-10-79-C1 ! 配置端口的安全MAC地址。 Switchport port-security maximum 1 ! 限制此端口允许通过MAC地址数为1。,任务实施,【网络场景】 如图所示网络场景是浙江科技工程学校多媒体实训中心机房，由于学生在上课期间使用U盘复制资料，经常造成了机房病毒的传播。为了避免各个多媒体教室计算机ARP等病毒传播，学校网络中心通过实施接入交换机的端口地址捆绑安全，设置最多地址个数为1，设置安全违例方式为protect，防范接入设备的安全。,任务实施,【设备清单】：交换机（1台）、计算机（2台）、网线（若干）。 【实施过程】 1、配