《端口安全实验.doc》由会员分享,可在线阅读,更多相关《端口安全实验.doc(10页珍藏版)》请在金锄头文库上搜索。
1、实验一实验名称:交换机的端口安全配置。实验目的:掌握交换机的端口安全功能。技术原理:利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能:查看交换机的各项参数。实验设备:S2126G一台,主机一台,直连网线一根。实验拓朴: S2126ConsoleF0/5com1NIC实验步骤:1.配置交换机端口最大连接数限制。Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的
2、配置。Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。Secure Port MaxSecureAddr(c
3、ount) CurrentAddr(count) Security Action- - - -Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 ShutdownFa0/5 1 0 ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 Shut
4、downFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2配置交换机端口的地址绑定。Switch(config)#interface fastethernet 0/3Switch(config-if)#switchport port-securitySwitch(config-if)#switchport
5、 port-security mac-address 0006.1bde.13b4 ip-address 172.16.1.55 ! 配置IP地址和MAC地址的绑定,MAC地址用 ipconfig /all命令。Switch#show port-security address !查看地址安全绑定配置。Vlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 0016.ecd3.9136 63.5.8.2 Configured Fa0/3 -注意事项:1.交换机端口安全功能只能在ACCESS接口进行配置。2交换机
6、最大连接数限制取值范围是1128,默认128。3交换机最大连接数限制默认的处理方式是protect。4.有三种安全违例处理方式:l Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。l RestrictTrap:当违例产生时,将发送一个Trap通知。l Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。5. 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。实验二实验名称:标准IP访问控制列表。实验目的:掌握路由器上标准IP访问控制列表规则及配置。技术原理:
7、IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。1.定义标准ACL 编号的标准访问列表Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in | out 实现功能:实现网段间相互访问的安全控制。实验设备
8、:R1762路由器两台,V.35线缆一条,直连线或交叉线三根。实验拓朴:实验步骤:1. router1基本配置。Router(config)#hostname router1Router1(config)#interface fastethernet 1/0Router1(config-if)#ip address 172.16.1.1 255.255.255.0 Router1(config-if)#no shutdownRouter1(config)#interface fastethernet 1/1Router1(config-if)#ip address 172.16.2.1 255
9、.255.255.0Router1(config-if)#no shutdownRouter1(config)#interface serial 1/2Router1(config-if)#ip add 172.16.3.1 255.255.255.0Router1(config-if)#clock rate 64000Router1(config-if)#no shutdownRouter1(config-if)#endRouter1#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK? Statusserial 1/2
10、 172.16.3.1/24 YES DOWNserial 1/3 no address YES DOWNFastEthernet 1/0 172.16.1.1/24 YES DOWNFastEthernet 1/1 172.16.2.1/24 YES DOWNNull 0 no address YES UP2. router2基本配置。Router(config)#hostname router2Router2(config)#interface fastethernet 1/0Router2(config-if)#ip address 172.16.4.1 255.255.255.0 Router2(config-if)#no shutdownRouter2(config)#interface serial 1/2Router2(config-if)#ip add 172.16.3.2 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#endRouter2#show ip interface brief ! 查处接口状态。Interface IP-Address(Pri) OK?
