交换网络端口安全应用实例

　　网络拓扑结构
　　一、分析：
　　1组成：2台二层交换机，1台物理层的HUB，6台PC机
　　2构成：在该拓扑中没有划分VLAN信息，所有PC机都在一个VLAN1信息中；
　　3配置：规划IP地址，192。168。10。024
　　4主题：是局域网安全的配置
　　（1）配置特权密码；
　　（2）配置远程登录密码【最安全的状态就是不连接外网；不开启远程登录功能】；
　　（3）存在的问题：就是内部网络的安全；
　　（4）关闭不必要的端口；
　　（5）物理设备的安全；
　　（6）交换机端口的接入安全；
　　二、要求：
　　1网络设备的基本配置设备名；
　　2每台网络设备的用户名和密码；
　　3配置特权密码和远程登录密码【本地账号和密码进行登录】
　　4配置设备的管理IP地址【一般情况下，在企业中都会存在一个专门用于管理的IP地址；在企业中也会有一个专门的网络管理服务器，负责对网络中的所有设备进行远程管理。】；
　　5启用端口安全，配置端口的安全；
　　三、步骤：
　　1配置网络设备的IP地址，子网掩码和网关；
　　说明：该网络中有存在网关么？【没有，因为我们的网络中没有三层的网络设备，所有可以先规划网关，先配置网关，但是在该网络中网关是没有任何作用的。】
　　【以PC0为例】
　　其它的PC机的配置，只是IP地址不同【在网络中不能存在两个完全一样的IP地址】，其他的子网掩码和网关都是不变的。
　　2测验网络的连通性；
　　在没有划分VLAN的情况下【在同一个局域网范围内，所有PC机都能够相互访问】
　　3网络设备的基本配置设备名
　　说明：HUB属于非智能设备，是不能够对该设备进行配置的。
　　4每台网络设备的用户名和密码
　　【在网络的配置中，一般情况下，每台网络设备都有自己的设备名和密码，而且是不能够相同的；在实际工作中，对于网络设备的配置要有相应的文档，在文档中必须要写明网络设备的具体配置和实训的功能；】
　　sw1（config）usernamesw1secretsw1
　　Sw2（config）usernamesw2secretsw2
　　【在实际工作中，设备名在规划的时候，要有一定的意义，要列表，说明每个字母的含义】
　　5网络设备在企业中的命名规则
　　基本格式：公司简称业务模块位置设备型号编号
　　（1）公司简称：公司的首字母或特权的字母为主，必须能够代表公司的含义；
　　（2）业务模块：例如分为Data、V或者按部门划分，如IT（网络管理）、HR（人事部）等等。之所以要把“业务模块”放在第二位，主要是为方便网管系统按照业务模块汇总数据，
　　（3）位置：广域网自然用城市缩写，局域网可以用楼层之类的。
　　（4）设备型号：路由器用R开头，交换机用S开头，如：R3845、S2950等等。
　　（5）编号：路由器可以用A、B，交换机一般数量比较多可以用01、02、03
　　（6）各模块之间可以用下划线或减号连接。
　　（7）举几个例子：PAIDCBJR7304A；HWIT3FS29500；
　　转载于：https：blog。51cto。combaiyangwyp128396
　　6设置特权密码
　　sw1（config）enablesecretsw1
　　Sw2（config）enablesecretsw2
　　【secret】是加密的秘钥，加密后的密码在网络设备中的显示为【enablesecret51mERrPhR2dVbINCAD0O1hhjwx0。
　　7设置远程登录密码
　　Sw1（config）linvty04
　　Sw1（configline）loginlocal使用本地用户名和密码作为远程登录的方式
　　Sw2（config）linvty04
　　Sw2（configline）loginlocal使用本地用户名和密码作为远程登录的方式
　　8启动网络设备自带的加密命令
　　说明：在思科的网络设备中，系统自带了一个加密的口令，为未加密的信息进行加密；
　　sw1（config）servicepasswordencryption
　　Sw2（config）servicepasswordencryption
　　9配置设备的管理IP地址
　　说明：在该网络中，我们没有规划专门的网络管理IP地址，所有使用网络设备的统一地址作为管理网段；
　　sw1（config）intvlan1
　　sw1（configif）ipadd192。168。10。200255。255。255。0
　　sw1（configif）noshut
　　Sw2（config）intvlan1
　　Sw2（configif）ipadd192。168。10。201255。255。255。0
　　Sw2（configif）noshut
　　10关闭不必要的端口
　　sw1（config）intrangef0424，g012
　　sw1（configifrange）shutdown
　　Sw2（config）intrangef0524，g012
　　Sw2（configifrange）shutdown
　　11测试：网络管理的可用性
　　12端口安全的原理
　　（1）默认情况下：端口安全的功能是关闭的；
　　sw1（configif）portsecurity？
　　agingPortsecurityagingcommands
　　SecuremacaddressMAC地址，即要将哪个终端设备的MAC地址绑定在该接口上；
　　M规定该接口能够连接终端设备的最大数。
　　S规则：当该接口的设置超出或不符合设备的配置时，该设备采取的操作。
　　参数说明
　　参数
　　描述
　　portsecurity
　　接口安全开关，在配置好前期的设置后，在开启。
　　violationprotect
　　发现违例，则丢弃违例的报文。
　　violationrestrict
　　发现违例，则丢弃违例的报文并且发送trap。【一般用于实际工作】
　　violationshutdown
　　发现违例，则丢弃报文、发送Trap并且关闭接口。【一般用于测验】
　　缺省配置
　　接口的安全缺省是关闭的。
　　命令模式
　　接口配置模式
　　使用指导
　　利用端口安全这个特性，可以通过限制允许访问设备上某个接口的MAC地址以及IP（可选）来实现严格控制对该接口的输入。
　　当为安全端口（打开了端口安全功能的端口）配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。
　　此外，还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全M地址）将独享该端口的全部带宽。
　　配置举例
　　下面的例子是在接口Gigabitethernet11上打开端口安全功能，并设置违例处理为shutdown：
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportportsecurity
　　Ruijie（configif）switchportportsecurityviolationshutdown
　　（2）switchportportsecurityaging
　　该命令为一个接口上的所有安全地址配置老化时间。打开这个功能，就需要设置安全地址的最大个数，这样，就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址，或者关闭老化功能。
　　switchportportsecurityaging｛statictimetime｝
　　noswitchportportsecurityaging｛statictime｝
　　参数说明
　　参数
　　描述
　　Static
　　表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则只应用于自动学习的地址。
　　timetime
　　表示这个端口上安全地址的老化时间，范围是01440，单位是分钟。如果设置为0，则老化功能实际上被关闭。
　　缺省配置
　　不老化任何安全地址
　　命令模式
　　接口配置模式
　　使用指导
　　可以在接口配置模式下使用命令noswitchportportsecurityagingtime关闭一个接口的安全地址老化功能，使用命令noswitchportportsecurityagingstatic来是老化时间仅应用于动态学习到的安全地址。
　　使用showportsecurity命令查看设置。
　　配置举例
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportportsecurityagingtime8
　　Ruijie（configif）switchportportsecurityagingstatic
　　相关命令
　　命令
　　描述
　　showportsecurity
　　显示端口安全的设置信息和安全地址。
　　（3）switchportportsecuritymaximum
　　设置端口最大安全地址个数，使用no选项可恢复缺省个数：
　　switchportportsecuritymaximumvalue
　　〔no〕switchportportsecuritymaximum
　　参数说明
　　参数
　　描述
　　value
　　安全地址个数1128
　　缺省配置128：命令模式
　　接口模式
　　使用指导
　　安全地址个数包含静态配置和动态学习的安全地址个数的总和，缺省为128个，如果设置的安全地址个数小于当前已有的安全地址个数，将提示设置失败。
　　即：当该接口设置了最大安全地址个数之后，该接口连接的MAC地址数是有限的，不能超过设置的数量。
　　配置举例
　　例1：设置口10的端口安全地址个数为2：
　　Ruijie（config）interg010
　　Ruijie（configif）switchportportsecuritymaximum2
　　（4）switchportportsecuritymacaddress
　　接口模式下手工配置静态安全地址，使用no选项删除配置的地址：
　　〔no〕switchportportsecuritymacaddressmacaddress〔vlanvlanid〕
　　参数说明
　　参数
　　描述
　　macaddress
　　静态安全地址【指的是终端网络设备的MAC地址】
　　vlanid
　　MAC地址的VID
　　注意：仅在TRUNK口下才支持设置vlanid的设置
　　缺省配置
　　无
　　命令模式
　　接口模式
　　配置举例
　　例1：设置TRUNK接口10的静态安全地址00d0。f800。5555VID2：
　　Ruijie（config）interg010
　　Ruijie（configif）switchportportsecuritymacaddress00d0。f800。5555vlan2
　　（5）showportsecurity
　　显示端口安全的设置信息和安全地址。
　　showportsecurity〔address〕〔interfaceinterfaceid〕〔all〕
　　参数说明
　　参数
　　描述
　　address
　　显示所有的安全地址，或者是指定接口的所有安全地址。
　　interfaceinterfaceid
　　显示指定接口的端口安全设置信息。
　　all
　　显示所有接口的端口安全设置信息。
　　命令模式
　　特权模式
　　使用指导
　　如果使用该命令时不加参数，则显示所有接口的安全设置状态、违例处理等信息，同时显示所有安全地址表的信息。
　　配置举例
　　Ruijieshowportsecurity
　　SecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction
　　Gi111281Restrict
　　Gi121280Restrict
　　Gi1381Protect
　　（6）switchportprotected
　　该命令是将接口设为保护接口。使用该命令的no选项关闭保护接口。
　　switchportprotected
　　noswitchportprotected
　　缺省配置
　　缺省关闭保护接口
　　命令模式
　　接口配置模式
　　使用指导
　　当将某些端口设为保护口之后，缺省情况下保护口和保护口之间不能进行二层交换可以进行3层路由，保护口与非保护口之间可以正常通讯。使用showinterfacesswitchport命令查看设置。
　　配置举例
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportprotected
　　相关命令
　　查看接口设置和统计信息。
　　13配置静态端口安全
　　（1）查看PC0机的MAC地址
　　（2）配置端口安全
　　sw1（config）intf02进入接口
　　sw1（configif）switchportportsecuritymaximum1设置端口的最大连接数是1
　　sw1（configif）switchportportsecuritymacaddress0090。0C3A。959E绑定允许通过该端口的终端网络设备
　　sw1（configif）switchportportsecurityviolationshutdown规划当该设备的接口不满足配置要求时，采取的措施；关闭并发送标识；
　　sw1（configif）启动端口安全
　　注意：当在配置网络端口安全时，提示如下信息，如何解决
　　sw1（configif）switchportportsecurity
　　Commandrejected：FastEthernet02isadynamicport。
　　提示：该接口是一个动态接口，不能配置用于配置端口安全；
　　解决办法：将该接口的工作模式设置成【access】模式
　　sw1（configif）switchportmodeaccess
　　（3）查看端口安全的配置
　　sw1showrunningconfig
　　（4）查看端口安全的信息
　　（5）查看端口安全的地址
　　（6）验证端口安全
　　现象：PC0无法PING通PC1，且F02接口出现了关闭的现象；
　　原因：F02端口启动了端口安全的功能，且该端口允许通过的最大地址数是1，但是在该接口上目前存在两个MAC地址，一个是PC0的MAC地址，另一个是接口F02本身的地址；
　　解决：将接口的最大连接数设置为【2】
　　第一步：利用命令关闭该接口
　　sw1（config）intf02
　　sw1（configif）shutdown
　　第二步：利用命令打开该接口
　　sw1（config）intf02
　　sw1（configif）noshutdown
　　第三步：改变该接口的最大连接数
　　sw1（config）intf02
　　sw1（configif）switchportportsecuritymaximum2
　　第四步：测试端口安全情况
　　C：PING192。168。10。2
　　Replyfrom192。168。10。2：bytes32time1msTTL128
　　Replyfrom192。168。10。2：bytes321msTTL128
　　Replyfrom192。168。10。2：bytes32time1msTTL128
　　Replyfrom192。168。10。2：bytes321msTTL128
　　第五步：查看端口安全信息
　　说明：
　　【0090。0C3A。959E】是设备PC0的MAC地址；
　　【0006。2AAB。2394】是设备SW1的接口F02的地址；
　　14配置动态端口安全
　　（1）配置端口安全
　　sw1（config）intf03
　　sw1（configif）switchportmodeaccess设置接口的工作模式
　　sw1（configif）switchportportsecuritymaximum2配置接口最大的连接数
　　sw1（configif）设置接口错误的处理方法
　　sw1（configif）启动端口安全
　　（2）查看端口安全的配置情况
　　sw1showrunningconfig
　　。。。。。。
　　interfaceFastEthernet03
　　switchportmodeaccess
　　switchportportsecurity
　　switchportportsecuritymaximum2
　　。。。。。
　　（3）测验网络安全配置
　　C：ping192。168。10。3
　　Replyfrom192。168。10。3：bytes32time2msTTL128
　　Replyfrom192。168。10。3：bytes32time1msTTL128
　　Replyfrom192。168。10。3：bytes321msTTL128
　　Replyfrom192。168。10。3：bytes32time1msTTL128
　　（4）查看网络安全信息
　　（5）查看动态端口安全
　　（6）查看端口的安全配置情况
　　15、思考题
　　在拓扑图中，交换机SW2的F04接口上，应该配置的最小连接数是多少，才能够满足设置的要求？