分享从零开始学习网络设备配置--任务6.1 实现计算机的安全接入

项目描述

随着网络技术的发展和应用范围的不断扩大，网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境，其存在的网络安全隐患不断显现出来，如非人为的或自然力造成的故障、事故；人为但属于操作人员无意的失误造成的数据丢失或损坏；来自园区网外部和内部人员的恶意攻击和破坏。网络安全状况直接影响人们的学习、工作和生活，网络安全问题已经成为信息社会关注的焦点之一，因此需要实施网络安全防范。

保护园区网络安全的措施包括诸如在终端主机上安装防病毒软件，保护终端设备安全；利用交换机的端口安全功能，防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击；利用IP访问控制列表对网络流量进行过滤和管理，从而保护子网之间的通信安全及敏感设备，防止非授权的访问；利用NAT技术从一定程度上为内网主机提供“隐私”保护；在网络出口部署防火墙，防范外网未授权访问和非法攻击；建立保护内部网络安全的规章制度，保护内网设备的安全。本项目重点学习交换机端口安全功能、远程管理、访问控制列表、安全接入互联网、NAT以及防火墙等技术的配置与应用。

任务描述

某公司构建了互联互通的办公网。为了防止公司内部用户将的IP地址冲突，防范来自公司内网的攻击和破坏，需要实现公司内网的安全防范措施。新实施的公司内网安全规则是：为公司内每一位员工分配一个固定IP地址，针对PC1和PC2主机端口进行IP+MAC地址绑定，在接入交换机上配置端口安全功能，控制用户随意接入，保护网络安全；还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

任务要求

（1）实现计算机的安全接入，网络拓扑图如图

（2）计算机的IP地址、子网掩码和MAC地址，如表

（3）出于安全的考虑，在交换机的端口上配置端口安全，绑定计算机的MAC地址，防止非法计算机的接入。

知识准备

1．端口安全的概念交换机的端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址后，定义之外的源MAC地址发送的数据包将被端口丢弃。

2．端口安全的配置在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC的的安全。在交换机中CAM（Content Addressable Memory，内容可寻址内存表）表，又叫MAC地址表，其中记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。

（1）配置端口安全动态MAC地址。此功能是将动态学习到的MAC地址设置为安全属性，其他没有被学习到的非安全属性的MAC的帧将被端口丢弃。

华为的交换机缺省的动态MAC地址表项老化时间为300s，在系统视图下执行mac-address aging-time命令可修改动态MAC表项的老化时间。在实际的网络中不建议随意修改该老化时间。

（2）配置Sticky MAC地址。在交换机的端口激活Port Security后，该端口上所学习到的合法的动态MAC地址被称为安全动态MAC地址，这些 MAC地址缺省不会被老化（在端口视图下使用port-security aging-time命令可设置动态安全 MAC地址的老化时间)，然而这些 MAC地址表项在交换机重启后会丢失，因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成Sticky MAC地址，Sticky MAC地址表项在交换机保存配置后重启不会丢失。