RCNA园区网安全方案设计书 .docx

《RCNA园区网安全方案设计书 .docx》由会员分享，可在线阅读，更多相关《RCNA园区网安全方案设计书 .docx（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品名师归纳总结封面可编辑资料 - - - 欢迎下载精品名师归纳总结作者： PanHongliang仅供个人学习第九章 园区网安全设计运算机网络最早显现在军事网，在它产生之后的几十年间，主要用于在各科研机构的讨论人员之间传送电邮件，以及共同合作的职员间共享打印机。早期的运算机网络应用得特别简洁，在当时的环境下，网络的安全性未能引起人们的足够的关注。随着信息技术的可编辑资料 - - - 欢迎下载精品名师归纳总结迅猛进展，特殊是进入二十一世纪的近几年，网络正在以惊人的速度转变着人们的工作效率和生活方式，从各类机构到个人用户都将越来越多的通过各种网络处理工作，学习，生活方方面面的事情，网络也将以它快

2、速、便利的特点给社会、个人带来了前所未有的高效速度，全部这一切正是得益于互联网络的开放性和匿名性的特点。在此背景下进展起来的园区网络，由于其开放性和匿名性的特点，不行防止的存在着各，种各样的安全隐患，如不解决这一系列的安全隐患，势必对园区网的应用和进展，以及网络用户的利益造成很大的影响。本章主要介绍园区网安全性方面存在的隐患及其相应的解决方法，也就是通过交换机端口安全、路由器配置拜访掌握列表 ACL、防火墙包过滤技术来实现。9.1 园区网安全隐患网络安全的隐患是指运算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵害系统安全或危害系统资源的潜在的环境、条件或大事。运

3、算机网络和分存式系统很简洁受到来自非法入侵者和合法用户的威逼。9.1.1 园区网常见安全隐患园区网络安全隐患包括的范畴比较广，如自然火言、意外事故、人为行为 如使用不当、安全意识疗等 、黑客行为、内部泄密、外部泄密、信息丢失、电子监听 信息流量分析、信息窃取等 和信息战等。所以，对网络安全隐患的分类方法认也比较多，如依据威逼对象可分为对网络数据的威逼利对内络设备的威逼。依据来源可分为内部威逼和外部威逼几类：1. 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水火、风暴和工业事故等。2. 人为但属于操作人贝无意的失误造成的数据丢失或损坏。3. 来园区网外部和内部人员的恶意攻击和破坏。其

4、中安全隐患最大的是第三类。外部威逼主要来自一些有意成无意的对网络的非法拜访，并造成了网络有形或无形的缺失，其中的黑客就是最典型的代表。仍有一种网络威逼来自园区网系统内部，这类熟识网络的结构和系统的操作步骤，并拥有合法的操作权限。中国首例“黑客”操纵股价案例便是网络安全隐患中策略失误和内部威逼的典型实例。9.1.2 常见解决安全隐患的方案为了防止来自各方面的园区网络安全威逼的发生，除进行宣扬训练外，最主要的就是制定一个严格的安全策略，这也是网络安全中的核心和关键。但是由于我国的信息安全技术起步晚，整体基础薄弱，特殊是信息安全的基础设施和基础部件几乎全部依靠国外技术。所以，我国的网络安全产品，总的

5、来说是自主开发少， 硬软件技术受制于人。特殊是近几年来，我国的信息技术得到了迅猛的进展，国家性的一些关键部门，如银行和电信等，很多都接受了国外的信息产品，特殊是操作系统、数据库和骨干网络设备。这些部门要么接受国外的安全产品，要么就根本不接受任何安全措施，可编辑资料 - - - 欢迎下载精品名师归纳总结这些都给国家安全和人们的日常生活留下了严峻的安全隐患可喜的是，近一两年来，我国网络信息安全领域也得到了迅猛的进展，除了专心于安全产品研发的公司外，国产化的网络设备供应商也越来越重视新产品安全功能的应用。锐捷网络公司也紧跟应用趋势，在新产品系列中都注得了网络安全的应用，可以通过交换机端口安全、配置拜

6、访掌握列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。9.2 交换机端口安全9.2.1 交换机端口安全概述锐捷网络的交换机有端口安全功能，利用端口安全这个特性，我们可以实现网络接入安全，具体可以通过限制答应拜访交换机上某个端口的MAC的址以及 IP 可选 来实现严格掌握对该端口的输入。当你为安全端口打开了端口安全功能的端口配置了一些安全的址后，就除了源的址为这些安全的址的包外，这个端口将不转发其它任何报。此外，你仍可以限制一个端口上能包含的安全的址最大个数，假如你将最大个数设置为 1，并且为该端口配置一个安全的址，就连接到这个口的工作站 其的址为配置的安全的址 将独享该

7、端口的全部带宽。为了增强安全性，你可以将MAC 的址和 IP的址绑定起来作为安全的址。当然你也可以只指定的 MAC址而不绑定 IP 的址。假如一个端口被配置为一个安全端口，当其安全的址的数目已经达到答应的最大个数后，假如该端口收到一个源的址不属于端口上的安全的址的包时，一个安全违例将产生。当安全违例将产生时，你可以挑选多种方式来处理违例，比如丢弃接收到的报，发送违例通知或关闭相应端口等。当你设置了安全端口上安全的址的最大个数后，你可以使用下面几种方式加满端口上的安全的址：你可以使用接口配置模式下的命令switchport port-security mac-addressmac- addres

8、s ip-addressip-address 来手工配置端口的全部安全的址。你也可以让该端口自动学习的址，这些自动学习到的的址将变成该端口上的安全的址，直到达到 IP 最大个数。需要留意的是，自动学习的安全的址均不会绑定的址，假如在一个端口上，你已经配置了绑定IP 的址的安全的址，就将不能再通过自动学习来增加安全的址。你也可以手工配置一部分安全的址，剩下的部分让交换机自己学习。当违例产生时，你可以设置下面几种针对违例的处理模式：Protect：当安全的址个数满后，安全端口将丢弃未知名的址不是该端口的安全的址中的任何一个的包。RestrictTrap：当违例产生时，将发送一个通知。Shutdow

9、n：当违例产生时，将关闭Trap 端口并发送一个通知。可编辑资料 - - - 欢迎下载精品名师归纳总结9.2.2 端口安全的缺省配置端口安全的具体内容有四项，它的缺省配置如下表： 内容缺省设置端口安全开关全部端口均关闭端口安全功能最大安全的址个数128安全的址无违例处理方式爱护 protect9.2.3 配置端口安全的限制配置端口安全时有如下一些限制：一个安全端口不能是一个aggregate port。一个安全端口只能是一个access port。一个千兆接口上最多支持120 个同时申明 IP 的址和 MAC的址的安全的址。另外，由于这种同时申明 IP 的址和 MAC的址的安全的址占用的硬件资

10、源与ACLs 等功能所占用的系统硬件资源共享，因此当您在某一个端口上应用了ACLs，就相应的该端口上所能设置的申明IP 的址的安全的址个数将会削减。建议一个安全端口上的安全的址的格式保持一样，即一个端口上的安全的址要么全是绑定了 IP 的址的安全的址，要么都是不绑定IP 的址的安全的址。假如一个安全端口同时包含这两种格式的安全的址，就不绑定IP 的址的安全的址将失效 绑定 IP 的址的安全的址优先级更高 ，这时假如你想使端口上不绑定IP的址的安全的址生效，你必需删除端口上 全部的绑定了IP 的址的安全的址。9.2.4 配置安全端口及违例处理方式从特权模式开头，你可以通过以下步骤来配置一个安全端

11、口和违例处理方式： 命令含义步骤 1configure terminal进入全局配置模式。步骤 2interfaceinterface-id进入接口配置模式。步骤 3switchport mode access设置接口为 access 模式 假如确定接口已经处于access 模式，就此步骤可以省略 。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 4switchportport-security打开该接口的端口安全功能可编辑资料 - - - 欢迎下载精品名师归纳总结可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 5switchportport-security maximumval

12、ue步骤 6switchportport-security violationprotect| restrict | shutdown设置接口上安全的址的最大个数，范畴是1 128，缺省值为 128。设置处理违例的方式：protect：爱护端口，当安全的址个数满后，安 全端口将丢弃未知名的址 不是该端口的安全的址中的任何一个 的包可编辑资料 - - - 欢迎下载精品名师归纳总结restrict：当违例产生时，将发送一个Trap通知shutdown ：当违例产生时，将关闭端口并发送一个 Trap通知。当端口由于违例而被关闭后，你 可以在全局配置模式下使用命令errdisable recovery

13、来将接口从错误状态中复原过来。步骤 7end回到特权模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 8Showport-securityinterfaceinterface-id验证你的配置。可编辑资料 - - - 欢迎下载精品名师归纳总结在接口配置模式下，你可以使用命令 no swithcport port-security来关闭一个接口的端口安全功能。使用命令 no switchport port-security maximum来复原为缺省个数。使用命令 no switchport port-security violation来将违例处理置为缺省模式。下面的例子说明白如何使

14、能接口gigabitethernet1/3上的端口安全功能，设置最大的址个数为 8，设置违例方式为protectSwitch# configure terminal。Enter configuration commands, one per line. End with CNTL/Z. Switchconfig# interface gigabitethernet 1/3Switchconfig-if# switchport mode accessSwitchconfig-if# switchport port-security Switchconfig-if# switchport port

15、-security maximum 8Switchconfig-if# switchport port-security violation protect Switchconfig-if# end9.2.5 配置安全端口上的安全的址从特权模式开头，你可以通过以下步骤来手工配置一个安全端口上的安全的址： 命令含义步骤 1configure terminal进入全局配置模式。步骤 2interfaceinterface-id进入接口配置模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 3switchportport-securitymac-address mac-addressip-

16、addressip-address 手工配置接口上的安全的址。ip-address:可选IP为这个安全的址绑定的的址。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 4end回到特权模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 5showport-security address验证你的配置。可编辑资料 - - - 欢迎下载精品名师归纳总结在接口配置模式下，你可以使用命令no switchport port-security mac-address可编辑资料 - - - 欢迎下载精品名师归纳总结mac-address 来删除该接口的安全的址。下面的例子说明白如何为接口gig

17、abitethernet 1/3配置一个安全MAC 的址： 00d0.f800.073c，并为其绑定一个的址IP： 192.168.12.202。Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switchconfig# interface gigabitethernet 1/3Switchconfig-if# switchport mode access Switchconfig-if# switchport port-securitySwitchconfig-if

18、#switchportport-securitymac-address00d0.f800.073cip- address 192.168.12.202Switchconfig-if# end9.2.6 配置安全的址的老化时间你可以为一个接口上的全部安全的址配置老化时间。打开这个功能，你需要设置安全的址的最大个数，这样，你就可以让交换机自动的增加和删除接口上的安全的址。从特权模式开头，你可以通过以下步骤来配置端口安全功能： 命令含义步骤 1configure terminal进入全局配置模式。步骤 2interfaceinterface-id进入接口配置模式。可编辑资料 - - - 欢迎下载精品

19、名师归纳总结步骤 3switchportport-securityagingstatic| timetime static:加上这个关键字，表示老化时间将同时应用于手工配置的安全的址和自动学习的的址， 否就只应用于自动学习的的址。Time：表示这个端口上安全的址的老化时间， 范畴是 0 1440 ，单位是分钟。假如你设置为0 ，就老化功能实际上被关闭。老化时间依据确定的方式的计时，也就是一个的址成为一个端口的安全的址后，经过Time 指定的时间后，这个的址就将被自动删除。Time 的缺省值为 0。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 4End回到特权模式。可编辑资料 - - -

20、 欢迎下载精品名师归纳总结步骤 5showport-security interface interface- id 验证你的配置。可编辑资料 - - - 欢迎下载精品名师归纳总结你可以在接口配置模式下使用命令no switchport port-security agingtime来关闭一个接口的安全的址老化功能 老化时间为0 ，使用命令 no switchport port-security aging static来使老化时间仅应用于动态学习到的安全的址。下面的例子说明白如何配置一个接口gigabitethernet 1/3上的端口安全的老化时间，老化时间设置8 为分钟，老化时间应用于静

21、态配置的安全的址：Switch# configure terminal Enter configuration commands, one per line. End with可编辑资料 - - - 欢迎下载精品名师归纳总结CNTL/Z. Switchconfig# interface gigabitthernet 1/3 Switchconfig-if# switchport port-security aging time 8 Switchconfig-if# switchport port-security aging static Switchconfig-if# end9.2.7 查

22、看端口安全信息interface-id address步骤 4show port-security显示全部安全端口的统计信息，包括最大安全的址数，当前安全的址数以及违例处理方式等。在特权模式开头，你可以通过下面的命令来查看端口安全的信息：命令含义步骤 1show interfaceport-security interface-查看接口的端口安全配置信息。id步骤 2showport-security查看安全的址信息。address步骤 3showport-security显示某个接口上的安全的址信息下面的例子显示了接口gigabitethernet 1/3上的端口安全配置：Switch# s

23、how port-security interface gigabitethernet 1/3 Interface : Gi1/3Port Security: EnabledPort status : down Violation mode:ShutdownMaximum MAC Addresses:8 Total MAC Addresses:0 Configured MAC Addresses:0 Aging time : 8 minsSecureStatic address aging : Enabled下面的例子显示了系统中的全部安全的址：Switch# show port-securi

24、ty addressVlan Mac AddressIP AddressTypePortRemaining Agemins可编辑资料 - - - 欢迎下载精品名师归纳总结1 00d0.f800.073c192.168.12.202ConfiguredGi1/381 00d0.f800.3cc9192.168.12.5ConfiguredGi1/17你也可以只显示一个接口上的安全的址，下面的例子显示了接口gigabitstethernet 0/3上的安全的址：Switch# show port-security address interface gigabitethernet 1/3Vlan

25、Mac AddressIP AddressTypePortRemaining Agemins1 00d0.f800.073c192.168.12.202ConfiguredGi1/38下面的例子显示的是安全端口的统计信息：Switch#show port-securitySecure Port MaxSecureAddrcount CurrentAddrcount Security ActionGi1/1 128 1 RestrictGi1/2 128 0 RestrictGi1/3 8 1 Protect9.3 如何在路由器配置拜访掌握列表ACL9.3.1 拜访掌握列表 ACL概述拜访掌握列

26、表ACLAccess Control List,最直接的功能便是包过滤。通过接入掌握列表 ACL 我们可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流进行过滤。认证输入数据流的定义可以基于网络的址、TCP/UDP 的应用等。您可以挑选对于符合过滤标准的流是丢弃仍是转发，因此您必需知道您的网络是如何设计的，以及路由器接口是如何在您的过滤设备上使用的。要通过ACL配置网络安全属性，您只有通过CLI 命令 可以通过串口、 Telnet或 Web来完成您的配置。您无法通过SNMP来完成这些设置。可编辑资料 - - - 欢迎下载精品名师归纳总结可编辑资料 -

27、 - - 欢迎下载精品名师归纳总结9.3.2 ACL的类型图 9-3-1-1可编辑资料 - - - 欢迎下载精品名师归纳总结是否匹配测试条件 1Y.YN拒绝答应拒绝Y是否匹配测试条件 2.NY答应拒绝Y是否匹配最终一个测试条件NY答应被系ACL的类型主要分为 IP 标准拜访掌握列表（ Standard IP ACL ）和 IP 扩展拜访掌握列表（ Extended IP ACL ）。主要的动作为答应（ Permit ）和禁止（ Deny）。主要的应用方法是入栈（ In ）应用和出栈 Out 应用。9.3.2.1 编号的拜访掌握列表在路由器上可配置编号的拜访掌握列表。具体见以下介绍。1. IP

28、标准拜访掌握列表（ Standard IP ACL）全部的拜访掌握列表都是在全局配置模式下生成的。IP标准拜访掌握列表的格式如下：Access-listlistnumber permit | deny address wildcardmask可编辑资料 - - - 欢迎下载精品名师归纳总结IPTCP/UDP数据源的址图 9-3-2-1其中： listnumber是规章序号，标准拜访掌握列表（Standard IP ACL）的规章序号范畴是 1-99 。Permit和 deny表示答应或禁止满意该规章的数据包通过。Address 是源的址IP 。wildcard mask 是源的址 IP 的通配

29、比较位，也称反掩码。例如： config#access-list 1 permit 172.16.0.0 0.0.255.255config#access-list 1 deny 0.0.0.0 255.255.255.2552. IP 扩展拜访掌握列表（ Extended IP ACL）IP扩展拜访掌握列表都也是在全局配置模式下生成的。IP扩展拜访掌握列表的格式如下：Access-listlistnumberpermit|denyprotocolsourcesource- wildcard maskdestination destination-wildcardmask operator o

30、perand IPTCP/UDP数据端口号协议源的址目的的址图 9-3-2-2其中：扩展拜访掌握列表（Standard IP ACL）的规章序号范畴是101-199 。 protocol是指定的协议，如TCP、UDP 等。 destination是目的的址。 destination-wildcard-mask是目的的址的反掩码。operator和 operand用于指定端口范畴，缺省为全部端口号0-65535，只有 TCP和 UDP协议需要指定的端口范畴。可编辑资料 - - - 欢迎下载精品名师归纳总结扩展拜访掌握列表（ Standard IP ACL）支持的操作符及其语法如下表：操作符及其语

31、法意义egportnumber等于端口号portnumbergt portnumber大于端口号portnumberlt portnumber小于端口号portnumbernegportnumber不等于端口号portnumberrange portnumber1 portnumber2介于端口号之间portnumber1和 portnumber23.ACL命令中的反掩码反掩码与子网掩码算法相像，但写法不同，区分是：反掩码中，示不需要比较。0 表示需要比较， 1 表对于： 0.0.0.255只比较前 24 位0.0.3.255只比较前 22 位0.255.255.255只比较前 8 位1286

32、43216842100000000001111110000111111111100111111114.入栈（ In ）应用和出栈 Out 应用这两个应用是相对于设备的某一端口而言，当要对从设备外的数据经端口流入设备时 做拜访掌握，就是入栈（In）应用。当要对从设备内的数据经端口流出设备时做拜访掌握，就是出栈（ In）应用9.3.2.2 命名的拜访掌握列表在三层交换机上配置命名的ACL。可以接受创建 ACL、接口上应用 ACL、查看 ACL这三个步骤进行。1. 创建 Standard IP ACLs可编辑资料 - - - 欢迎下载精品名师归纳总结在特权配置模式，您可以通过如下步骤来创建一条Sta

33、ndard IP ACL： 命令含义步骤 1configure terminal进入全局配置模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 2ipaccess-liststandard name步骤 3deny source source- wildcard |hostsource |anyorpermit source source- wildcard |hostsource |any用数字或名字来定义一条Standard IP ACL并进入 access-list配置模式。在 access-list配置模式，申明一个或多个的答应通过 permit或丢弃 deny 的条件以用于交

34、换机打算报文是转发或仍是丢弃。hostsource代 表 一 台 源 主 机 ， 其 source- wildcard为 0.0.0.0。any代表任意主机， 即source为0.0.0.0， source-wild为255.255.255.255。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 4end退回到特权模式。步骤 5show access-lists name显示该接入掌握列表，假如您不指定access-list及 name参数，就显示全部接入掌握列表。下 例 显 示 如 何 创 建 一 条 IPStandardAccess-list， 该 ACL 名 字 叫 deny-ho

35、st 192.168.l2.x：有两条 ACE，第一条 ACE拒绝来自 192.168.12.0网段的任一主机，其次条ACE 允 许 其 它 任 意 主 机 ： Switchconfig#ipaccess-liststandarddeny- host192.168.l2.xSwitch config-std-nacl# deny 192.168.12.0 0.0.0.255 Switch config-std-nacl# endSwitch # show access-list2. 创建 Extended IP ACLs：在特权配置模式，您可以通过如下步骤来创建一条Extended IP AC

36、L： 命令含义步骤 1configure terminal进入全局配置模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 2ipaccess-listextendedname步骤 3deny|permitprotocol sourcesource-wildcard|hostsource|any operatorport destination destination-wildcard|hostdestination|anyoperator port用数字或名字来定义一条Extended IP ACL并进入 access-list配置模式。在 access-list配置模式，申明一个或多

37、个的答应通过 permit或丢弃 deny 的条件以用于交换机打算匹配条件的报文是转发或仍是丢弃。以如下方式定义 TCP或 UDP的目的或源端口：1. 操作符 opeator只能为 eq。2. 假如操作符在source source-wildcard之后，就报文的源端口匹配指定值时条件生效。可编辑资料 - - - 欢迎下载精品名师归纳总结3. 假如操作符在destinationdestination- wildcard之后，就报文的目的端口匹配指定值时条件生效。4. Port为十进制值，它代表TCP或 UDP的端口号。值范畴为 0-65535 。protocol可以为：1. tcp：指明为 t

38、cp 数据流2. udp ：指明为 udp 数据流3. ip：指明为任意 ip 数据流步骤 4end退回到特权模式。步骤 5show access-lists name显示该接入掌握列表，假如您不指定access-list number及 name 参数，就显示全部接入掌握列表下例显示如何创建一条 Extended IP ACL ，该 ACL 有一条 ACE，用于答应指定网络192.168.x.x 的全部主机以 HTTP 拜访服务器 172.168.12.3 ，但拒绝其它全部主机使用网络。Switch config# ip access-list extended allow_0xc0a800

39、_to_172.168.12.3Switch config-std-nacl# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq wwwSwitch config-std-nacl#end Switch # show access-list3. 将 ip standard access-list及 ip extended access-list应用到指定接口上在特权模式，通过如下步骤将IP ACLs 应用到指定接口上：命令含义步骤 1configure terminal进入全局配置模式。步骤 2interfaceinterface-

40、id指定一个接口并进入接口配置模式。可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 3ip access-groupnamein将指定的ACL 应用于该接口上，使其对输入该接口的数据流进行接入掌握可编辑资料 - - - 欢迎下载精品名师归纳总结步骤 4end退回到特权模式。下例显示如何将 access-list deny_unknow_device应用于 VLAN接口 2 上： Switch config# interface vlan 2Switch config-if# ip access-group deny_unknow_device in4. 显示 ACLs配置可编辑资料 -

41、- - 欢迎下载精品名师归纳总结您可以通过以下命令来显示ACLs配置：命令说明show access-lists name显示全部配置或指定名字的ACLs。show ip access-lists name显示 IP ACLsShowipaccess-groupinterface显示指定接口上的IP ACLs 配置interface-idshow running-config显示全部配置以下例子显示名字为ip_acl的 Standard IP access-lists的内容：Router # show ip access-listsip_aclStandard ip access listip_aclPermit host 192.168.12.1Permit host 192.168.9.1以下例子显示名字为ip_ext_acl的 Extended IP access-lists的内容：Router # show ip access-lists ip_ext_acl Extended ip access list ip_ext_aclpermit tcp 192.168.0.0 255.255