项目描述
随着网络技术的发展和应用范围的不断扩大,网络已经成为人们日常生活中必不可少的一部分。园区网作为给终端用户提供网络接入和基础服务的应用环境,其存在的网络安全隐患不断显现出来,如非人为的或自然力造成的故障、事故;人为但属于操作人员无意的失误造成的数据丢失或损坏;来自园区网外部和内部人员的恶意攻击和破坏。网络安全状况直接影响人们的学习、工作和生活,网络安全问题已经成为信息社会关注的焦点之一,因此需要实施网络安全防范。
保护园区网络安全的措施包括诸如在终端主机上安装防病毒软件,保护终端设备安全;利用交换机的端口安全功能,防止局域网内部的MAC地址攻击、ARP攻击、IP/MAC地址欺骗等攻击;利用IP访问控制列表对网络流量进行过滤和管理,从而保护子网之间的通信安全及敏感设备,防止非授权的访问;利用NAT技术从一定程度上为内网主机提供“隐私”保护;在网络出口部署防火墙,防范外网未授权访问和非法攻击;建立保护内部网络安全的规章制度,保护内网设备的安全。 本项目重点学习交换机端口安全功能、远程管理、访问控制列表、安全接入互联网、NAT以及防火墙等技术的配置与应用。
任务描述
某公司构建了互联互通的办公网。为了防止公司内部用户将的IP地址冲突,防范来自公司内网的攻击和破坏,需要实现公司内网的安全防范措施。 新实施的公司内网安全规则是:为公司内每一位员工分配一个固定IP地址,针对PC1和PC2主机端口进行IP+MAC地址绑定,在接入交换机上配置端口安全功能,控制用户随意接入,保护网络安全;还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。
任务要求
(1)实现计算机的安全接入,网络拓扑图如图
(2)计算机的IP地址、子网掩码和MAC地址,如表
(3)出于安全的考虑,在交换机的端口上配置端口安全,绑定计算机的MAC地址,防止非法计算机的接入。
知识准备
1.端口安全的概念 交换机的端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。端口安全特性可以使特定MAC地址的主机流量通过该端口。当端口上配置了安全的MAC地址后,定义之外的源MAC地址发送的数据包将被端口丢弃。
2.端口安全的配置 在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又叫MAC地址表,其中记录了与交换机相连的设备的MAC地址、端口号、所属VLAN等对应关系。
(1)配置端口安全动态MAC地址。 此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃。
华为的交换机缺省的动态MAC地址表项老化时间为300s,在系统视图下执行mac-address aging-time命令可修改动态MAC表项的老化时间。在实际的网络中不建议随意修改该老化时间。
(2)配置Sticky MAC地址。 在交换机的端口激活Port Security后,该端口上所学习到的合法的动态MAC地址被称为安全动态MAC地址,这些 MAC地址缺省不会被老化(在端口视图下使用port-security aging-time命令可设置动态安全 MAC地址的老化时间),然而这些 MAC地址表项在交换机重启后会丢失,因此交换机不得不重新学习MAC地址。交换机能够将动态MAC地址转换成Sticky MAC地址,Sticky MAC地址表项在交换机保存配置后重启不会丢失。
任务实施
1.根据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源。
2.查看计算机的MAC地址。在计算机命令行输入ipconfig,查看MAC地址。
(1)查看PC1的MAC地址,如图
(2)查看PC2的MAC地址,如图
3.交换机的基本配置。
(1)交换机SWA的基本配置。
(2)交换机SWB的基本配置。
4.开启该交换机端口的端口安全,并绑定对应的MAC地址。
(1)在SWA的Ethernet0/0/1和端口Ethernet0/0/2端口,配置Sticky MAC地址。
(2)在SWB的GE0/0/1端口,配置端口安全动态MAC地址。
任务验收
1.在交换机SWA上使用display mac-address命令,查看交换机与计算机之间连接的端口,类型是否变为sticky。
2.测试计算机的互通性。
(1)通过ping命令,测试内部通信息的情况。使用PC1 ping PC2和PC3,可以看出,计算机之间可以互相通信。
(2)使用PC2计算机Ping PC3计算机,可以看出,计算机不可以互相通信。因为SWB的GE0/0/1端口将学习MAC地址的数量限制为1,当有多于1个PC机通过时,交换机发出告警,并关闭端口。
(3)使用命令查询GE0/0/1端口是否已经关闭。
(4)更换计算机,测试互通性。 把计算机PC1更换为计算机PC4,IP地址相同,MAC地址不同,连接到交换机Eth0/0/1端口上。可以看出,更换计算机后,MAC地址不同,计算机不能通信。
任务小结
(1)学习MAC地址的数量默认为1。
(2)学习到的MAC地址数达到限制后的保护动作有三个,默认为restrict。
(3)动态安全MAC地址表项默认不老化。