交换机端口安全课件.pptx

1、项目二项目二 交换机端口安全交换机端口安全网络组建与应用精品课程配套课件网络组建与应用精品课程配套课件项目需求项目需求 为了保持整个网络稳定运行，我们需要对网络进行一些安全配置。王军想要实现交换机SW1的E1/0/1口只能学习一个MAC地址，如果有其他多余的MAC地址通过则丢弃该其数据。项目分析项目分析 在日常的网络管理与维护中，我们经常需要面对一些来自二层的攻击，端口安全特性可以帮助我们，防止MAC地址泛洪造成MAC地址表填满。也能帮助我们防御一些ARP攻击。教学目标教学目标【知识目标】1.掌握交换机端口安全的原理2.学会根据不同需求选择不同的端口安全配置【能力目标】1.会配置交换机端口的M

2、AC地址数2.会配置交换机端口和MAC地址地绑定3.会配置交换机的违规处理剖面图阅读步骤：剖面图阅读步骤：1.读图名、比例；读图名、比例；2.读各层内部构造；读各层内部构造；3.标高与高度方向尺寸标注；标高与高度方向尺寸标注；4.详图索引符号；详图索引符号；5.其他。其他。三、三、AutoCADAutoCAD绘制剖面图绘制剖面图 （步骤）（步骤）1.设置绘图环境；设置绘图环境；2.绘制定位轴线、室外地坪线、楼面位置线；绘制定位轴线、室外地坪线、楼面位置线；3.绘制墙体、楼板等构件；绘制墙体、楼板等构件；4.绘制门、窗并补充细节；绘制门、窗并补充细节；5.标注；标注；6.打印出图打印出图。用正投

3、影的方法，以较大的绘图比例用正投影的方法，以较大的绘图比例将房屋的细部详细的绘制出来的图样，称将房屋的细部详细的绘制出来的图样，称为为建筑详图。建筑详图。索引符号和详图符号索引符号和详图符号 详图与平、立、剖面图的索引关系是详图与平、立、剖面图的索引关系是通过详图符号与详图索引符号来建立的。通过详图符号与详图索引符号来建立的。8详图编号详图编号12详图编号详图编号14详图所在图图号详图所在图图号（同一张图上）（不同图上）22图册编号图册编号25页号页号（用标准图集）98J6索引符号：索引符号：直径为直径为10毫米的细实线圆，细实线水平直径和引出线及编号。毫米的细实线圆，细实线水平直径和引出线及

4、编号。被剖切部位粗实线，被剖切部位粗实线，引出线表示剖切后投影方向引出线表示剖切后投影方向 剖面详图索引符号：剖面详图索引符号：详图符号详图符号：直径为：直径为14毫米的粗实线园，细实线水平直径及编号。毫米的粗实线园，细实线水平直径及编号。512详图编号详图编号14基本图所在页号基本图所在页号（详图与基本图不在一张上）（详图与基本图不在一张上）（详图与基本图在一张上）（详图与基本图在一张上）外墙身详图的阅读外墙身详图的阅读.图名、比例图名、比例;.墙体轴线、墙厚、墙体与轴线的关系墙体轴线、墙厚、墙体与轴线的关系;.各构件的断面形状、尺寸、材料及相各构件的断面形状、尺寸、材料及相 互连接方式等。

5、互连接方式等。.各部分做法各部分做法;.标高与高度方向尺寸标注标高与高度方向尺寸标注;.详图索引符号详图索引符号;.其他。其他。二、楼梯详图二、楼梯详图 1.详图的名称、比例详图的名称、比例;2.详图符号及其编号以及需另画详图的索引符号详图符号及其编号以及需另画详图的索引符号;3.建筑构配件的形状以及详细的构造、建筑构配件的形状以及详细的构造、层次，尺层次，尺寸寸;4.详细注明各部位和各层次的用料、做法、颜色详细注明各部位和各层次的用料、做法、颜色以及施工要求等以及施工要求等;5.必要的定位轴线及其编号必要的定位轴线及其编号;6.必要的标高（这里指相对标高）必要的标高（这里指相对标高）.三、三

6、、AutoCADAutoCAD绘制楼梯详图（步骤）绘制楼梯详图（步骤）楼梯剖面详图的绘制：楼梯剖面详图的绘制：1.1.设置绘图环境设置绘图环境;2.2.绘制定位轴线、室外地坪线、楼面位绘制定位轴线、室外地坪线、楼面位置线、梯段位置线等置线、梯段位置线等;3.3.绘制墙体、楼板、梯段等构件绘制墙体、楼板、梯段等构件;4.4.绘制门、窗并补充细节绘制门、窗并补充细节;5.5.标注标注;6.6.打印出图打印出图.小小 结结1.了解了解制图标准；制图标准；2.掌握建筑施工图的阅读方法；掌握建筑施工图的阅读方法；3.掌握计算机绘制建筑施工图掌握计算机绘制建筑施工图 的方法和技巧。的方法和技巧。工单任务工

7、单任务1 1 配置允许最大配置允许最大MACMAC地址地址数数网络组建与应用精品课程配套课件网络组建与应用精品课程配套课件 对于交换机，我们往往有如下几种特殊的需求：l限制交换机每个端口下接入主机的数量（MAC地址数量）l限定交换机端口下所连接的主机（根据IP或MAC地址进行过滤）l当出现违例时间的时候能够检测到，并可采取惩罚措施任务实施任务实施【任务场景】在SW1的E1/0/1口上开启端口安全，并配置最大MAC地址数为1。【施工拓扑】【操作步骤】1.SW1交换机上配置vlan、并将端口放入vlanSw1(config)#vlan 10Sw1(config)#int Ethernet1/0/1

8、Sw1(config-if)#switchport access vlan 10Sw1(config)#int Ethernet1/0/2Sw1(config-if)#switchport access vlan 102.SW1交换机端口安全Sw1(config-if-ethernet1/0/1)#switch port-securitySw1(config-if-ethernet1/0/1)#switch port-security maximum 13.验证测试查看端口安全的基本配置SW1(config)#show port-security Secure Port MaxSecureAd

9、dr(count)CurrentAddr(count)SecurityViolation(count)Security Action -Ethernet1/0/1 1 1 0 Shutdow查看信息发现，交换机的安全口为ethernet1/0/1，允许通过的最大MAC地址数为1,默认的违规动作为关闭端口,工单任务工单任务2 2 绑定绑定MACMAC地址地址网络组建与应用精品课程配套课件网络组建与应用精品课程配套课件 1.Port-Security安全地址：secure MAC address（1）在接口上激活Port-Security后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的

10、）的最大MAC数量，从而限制接入的主机用户；或者限定接口所连接的特定MAC，从而实现接入用户的限制。那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址 secure MAC address。（2）安全地址表项可以通过让使用端口动态学习到的MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及sticy MAC address（SecureSticky）三种方式进行配置。（3）当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址，那么这个接口将只为该MAC所属的PC服务，也就是源为该MAC的数据帧能够进入该接口。2.当

11、以下情况发生时，激活惩罚（violation）：（1）当一个激活了Port-Security的接口上，MAC地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源MAC并不在这些安全地址中，那么启动惩罚措施（2）当在一个Port-Security接口上配置了某个安全地址，而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时，启动惩罚措施（3）当设置了Port-Security接口的最大允许MAC的数量后，接口关联的安全地址表项可以通过如下方式获取：在接口下使用switchport port-security mac-addres

12、s 来配置静态安全地址表项 使用接口动态学习到的MAC来构成安全地址表项 一部分静态配置，一部分动态学习（4）当接口出现up/down，则所有动态学习的MAC安全地址表项将清空。而静态配置的安全地址表项依然保留。3.Port-Security与Sticky MAC地址 通过接口动态学习的MAC地址构成的安全地址表项，在接口出现up/down后，将会丢失这些通过动态学习到的MAC构成的安全地址表项，但是所有的接口都用switchport port-security mac-address手工来配置，工作量又太大。因此这个sticky mac地址，可以让我们将这些动态学习到的MAC变成“粘滞状态”

13、，可以简单的理解为，我先动态的学，学到之后我再将你粘起来，形成一条”静态“（实际上是SecureSticky）的表项。在up/down现象出现后仍能保存。而在使用wr后，这些sticky安全地址将被写入start-up config，即使设备重启也不会被丢失。任务实施任务实施【任务场景】在SW1的FA0/1口上开启端口安全，配置最大MAC地址数为1，并且绑定PC1的MAC地址到SW1的E1/0/1口上，【施工拓扑】【操作步骤】1.SW1交换机上配置vlan、并将端口放入vlanSw1(config)#vlan 10Sw1(config)#int Ethernet1/0/1Sw1(config-

14、if)#switchport access vlan 10Sw1(config)#int Ethernet1/0/2Sw1(config-if)#switchport access vlan 102.SW1交换机端口安全Sw1(config-if-ethernet1/0/1)#switch port-securitySw1(config-if-ethernet1/0/1)#switch port-security maximum 1Sw1(config-if-ethernet1/0/1)#switch port-security mac-address 00-D8-61-23-EC-26 vl

15、an 10#绑定MAC地址为PC1的MAC地址3.验证配置(1)PC1 ping PC3C:ping 192.168.10.3Pinging 192.168.10.3 with 32 bytes of data:Reply from 192.168.10.3:bytes=32 time1ms TTL=128Reply from 192.168.10.3:bytes=32 time1ms TTL=128Reply from 192.168.10.3:bytes=32 time1ms TTL=128Reply from 192.168.10.3:bytes=32 time1ms TTL=128Pi

16、ng statistics for 192.168.10.3:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximate round trip times in milli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms将SW1的e1/0/1口的PC1换成PC2SW1#Sep 25 17:05:45:000 2019 SW1 DEFAULT/5/:Port-security has reached the threshold on Interface Ethernet1/0/1,unkown source m

17、ac addr 00-e0-4c-68-03-d2,vlan id 10 and violation mode is shutdown,so shutdown it!Sep 25 17:05:45:000 2019 SW1 MODULE_PORT/5/:%LINEPROTO-5-UPDOWN:Line protocol on Interface Ethernet1/0/1,changed state to DOWNSep 25 17:05:45:000 2019 SW1 MODULE_PORT/5/:%LINK-5-CHANGED:Interface Ethernet1/0/1,changed

18、 state to administratively DOWN 交换机SW1直接跳出提示信息，由于E1/0/1口上出现了一个未知的MAC地址，并不是我们绑定在接口上地址MAC地址，所以交换机根据端口安全策略，自动将接口关闭。(2)查看e1/0/1口的 SW1#show int ethernet 1/0/1Interface brief:Ethernet1/0/1 is administratively down,line protocol is down Ethernet1/0/1 is shutdown by port security#显示端口被安全端口关闭 Ethernet1/0/1 i

19、s layer 2 port,alias name is(null),index is 1 Hardware is Gigabit-TX,address is 00-03-0f-83-66-9a PVID is 1 MTU 1500 bytes,BW 10000 Kbit Time since last status change:0w-0d-0h-1m-0s (60 seconds)Encapsulation ARPA,Loopback not set Auto-duplex,Auto-speed FlowControl is off,MDI type is autoStatistics:(

20、3)恢复被端口安全关闭的端口在全局模式下输入:errdisable recovery cause psecure-violation然后再shutdown(关闭)和no shutdown(开启)该端口有些品牌的交换机只需要开启和关闭端口就可以取消端口安全的策略。工单任务工单任务3 3 配置违规处理配置违规处理网络组建与应用精品课程配套课件网络组建与应用精品课程配套课件【任务场景】在SW1的FA0/1口上开启端口安全，配置最大MAC地址数为1，修改违规处罚方式为protect，并且修改围攻恢复时间为10秒，【施工拓扑】1.默认所有接口的Port-Security配置 Port-Security

21、默认关闭 默认最大允许的安全MAC地址数量 1 惩罚模式 shutdown（进入err-disable状态），同时发送一个SNMP trap 2.在接口上激活Port-SecuritySwitch(config)#interface Ethernet1/0/1#进入接口Switch(config-if-ethernet1/0/1)#switch port-security#激活Port-Security3.配置每个接口的安全配置（Secure MAC Address）Switch(config-if-ethernet1/0/1)#switch port-security maximum#配置允

22、许通过的最大MAC地址数Switch(config-if-ethernet1/0/1)#switch port-security mac-address vlan#手工绑定允许通过的MAC地址Switch(config-if-ethernet1/0/1)#switch port-security sticky#使用STICKY模式绑定MAC地址4.配置Port-Security惩罚机制 Switch(config-if-ethernet1/0/1)#switch port-security violation protect|restrict|shutdown Protect:仅丢弃非法的数据

23、帧 restrict:丢弃非法数据帧的同时，同时产生一个syslog信息 shutdown:将端口设置为err-disable,端口不可用，同时产生一个syslog信息5.清除接口上动态学习到的安全地址表项 Switch#clear port-security dynamic#清除所有port-security接口上通过动态学习到的安全地址表项Switch#clear port-security sticky#清除所有sticky安全地址表项 Switch#clear port-security configured#清除所有手工配置的安全地址表项Switch#clear port-secur

24、ity all#清除所有安全地址表项【操作步骤】1.SW1交换机上配置vlan、并将端口放入vlan2.SW1交换机端口安全Sw1(config-if-ethernet1/0/1)#switch port-securitySw1(config-if-ethernet1/0/1)#switch port-security maximum 1Sw1(config-if-ethernet1/0/1)#switch port-security mac-address 00-D8-61-23-EC-26 vlan 10#绑定MAC地址为PC1的MAC地址SW1(config-if-ethernet1/0

25、/1)#switchport port-security violation protect#将违规类型改成protectSW1(config-if-ethernet1/0/1)#switchport port-security violation shutdown recovery 10#设置恢复违规恢复实践为10秒，这里recovery后面单位为秒，取值范围为5-3600秒3.验证配置:(1)查看交换机提示信息SW1#Sep 25 17:44:17:000 2019 SW1 MODULE_PORT/5/:%LINEPROTO-5-UPDOWN:Line protocol on Interf

26、ace Ethernet1/0/1,changed state to UPSep 25 17:44:17:000 2019 SW1 DEFAULT/5/:Port-security has reached the threshold on Interface Ethernet1/0/1,unkown source mac addr 00-e0-4c-68-03-d2,vlan id 1 and violation mode is shutdown,so shutdown it!Sep 25 17:44:17:000 2019 SW1 MODULE_PORT/5/:%LINEPROTO-5-UP

27、DOWN:Line protocol on Interface Ethernet1/0/1,changed state to DOWNSep 25 17:44:17:000 2019 SW1 MODULE_PORT/5/:%LINK-5-CHANGED:Interface Ethernet1/0/1,changed state to administratively DOWNSep 25 17:44:27:000 2019 SW1 MODULE_PORT/5/:%LINK-5-CHANGED:Interface Ethernet1/0/1,changed state to UPSep 25 1

28、7:44:27:000 2019 SW1 MODULE_PORT/5/:%LINEPROTO-5-UPDOWN:Line protocol on Interface Ethernet1/0/1,changed state to DOWN从以上信息可以看出，交换机每隔10秒都会对接口进行一次恢复。项目小结项目小结本项目主要介绍端口安全技术，端口安全用于，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过，也允许动态配置安全mac地址。通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议。通过配合违规机制，可以很好的保护端口，并且在受到攻击后可以及时知晓，并做出处理。感谢您的关注感谢您的关注