最新精品优质课件RCNA_T009_园区网安全设计(v2.0).ppt

第9章 园区网的安全技术 RCNA_T009 教学目标 通过本章学习使学员能够： 1、了解常见的网络安全隐患及常用防范技术； 2、熟悉交换机端口安全功能及配置 3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。 本章内容 网络安全隐患 交换机端口安全 IP访问控制列表 课程议题 网络安全隐患 常见的网络攻击： 攻击不可避免 额外的不安全因素 现有网络安全体制 课程议题 交换机端口安全 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 交换机端口安全 安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知 配置安全端口 端口安全最大连接数配置 switchport port-security ！打开该接口的端口安全功能 switchport port-security maximum value ！设置接口上安全地址的最大个数，范围是1－128，缺省值为128 switchport port-security violation{protect|restrict |shutdown} ！设置处理违例的方式 注意： 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。 配置安全端口 端口的安全地址绑定 switchport port-security ！打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address ！手工配置接口上的安全地址 注意： 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP 案例（一） 下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end 案例（二） 下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02 Switch(config-if)# end 查看配置信息 查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action -----------------