《第7章-广域网技术.ppt》由会员分享,可在线阅读,更多相关《第7章-广域网技术.ppt(38页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、中职职业技能大赛培训中职职业技能大赛培训网网网网络络安全及网安全及网安全及网安全及网络络出口出口出口出口本章内容 交换机端口安全交换机端口安全 IPIP访问控制列表访问控制列表 NATNAT技术技术课程议题交换机端口安全交换机端口安全交换机端口安全交换机端口安全交换机端口安全 利用交换机的端口安全功能实现利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏,防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如如MACMAC地址攻击、地址攻击、ARPARP攻击、攻击、IP/MACIP/MAC地址欺骗等。地址欺骗等。交换机端口安全的基本功能交换机端口安全的基本功能限
2、制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全地址绑定端口的安全地址绑定交换机端口安全 安全违例产生于以下情况:安全违例产生于以下情况:如果一个端口被配置为一个安全端口,当其安全地址的数目已经达如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例:当安全违例产生时,你可以选择多种方式来处理违例:ProtectProtect:当安全地址个数满后,安全端口将丢弃未知名地址(不是:当安全地址个数满后,安
3、全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包该端口的安全地址中的任何一个)的包RestrictRestrict:当违例产生时,将发送一个:当违例产生时,将发送一个TrapTrap通知通知ShutdownShutdown:当违例产生时,将关闭端口并发送一个:当违例产生时,将关闭端口并发送一个TrapTrap通知通知配置安全端口 端口安全最大连接数配置端口安全最大连接数配置switchport port-securityswitchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchport port-security maxim
4、um valueswitchport port-security maximum value!设置接口上安全地址的最大个数,范围是!设置接口上安全地址的最大个数,范围是1 1128128,缺省值为,缺省值为128128switchport port-security violationprotect|restrict|shutdownswitchport port-security violationprotect|restrict|shutdown!设置处理违例的方式!设置处理违例的方式 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上
5、进行配置。2 2、当当端端口口因因为为违违例例而而被被关关闭闭后后,在在全全局局配配置置模模式式下下使使用用命命令令errdisable errdisable recovery recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。配置安全端口 端口的安全地址绑定端口的安全地址绑定switchport port-security switchport port-security !打开该接口的端口安全功能!打开该接口的端口安全功能switchport port-security mac-address switchport port-security mac-addre
6、ss mac-addressmac-address ip-address ip-address ip-ip-addressaddress!手工配置接口上的安全地址!手工配置接口上的安全地址 注意:注意:1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MACMAC、单、单IPIP、MAC+IPMAC+IP案例(一)下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端口安全功能,上的端口安全功能,设置最大地址个数为设置
7、最大地址个数为8 8,设置违例方式为,设置违例方式为protectprotectSwitch#configure terminal Switch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport mode access Switch(config-if)#switchport port-se
8、curity Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#switchport port-security violation protect Switch(config-if)#endS
9、witch(config-if)#end案例(二)下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口安全功能,上的端口安全功能,配置端口绑定地址,主机配置端口绑定地址,主机MACMAC为为00d0.f800.073c00d0.f800.073c,IPIP为为192.168.12.202192.168.12.202Switch#configure terminalSwitch#configure terminalSwitch(config)#interface fastethernet 0/3Switch(config)#interfac
10、e fastethernet 0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address Switch(config-if)#switchport port-security mac-address 00d0.f80
11、0.073c ip-address 192.168.12.20200d0.f800.073c ip-address 192.168.12.202Switch(config-if)#endSwitch(config-if)#end查看配置信息 查看所有接口的安全统计信息,包括最大安全地址数,当前安查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等全地址数以及违例处理方式等 Switch#show port-securitySwitch#show port-security Secure Port MaxSecureAddr CurrentAddr Security
12、Action Secure Port MaxSecureAddr CurrentAddr Security Action -Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看安全地址信息查看安全地址信息Switch#show port-security addressSwitch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins)Vlan Mac Address IP Address Type Port Remaining Age(mins)-1 00
13、d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1课程议题IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表什么是访问列表 IP Access-listIP Access-list:IPIP访问列表或访问控制列表,简称访问列表或访问控制列表,简称IP ACLIP ACLACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP访问列表的组成 定义访问列表的步骤
14、定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类:访问控制列表规则的分类:1 1、标准访问控制列表、标准访问控制列表2 2、扩展访问控制列表、扩展访问控制列表 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制1.1.入栈应用(入栈应用(inin)经某接口进入设备内部的数据包进行安全规则过滤2.2.出栈应用(出栈应用(outout)设备从某接
15、口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUTIP ACL的基本准则 一切未被允许的就是禁止的一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配配 规则匹配原则规则匹配原则从头到尾,至顶向下的匹配方式从头到尾,至顶向下的匹配方式匹
16、配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许允许/拒绝拒绝”IP标准访问列表的配置1.1.定义标准定义标准ACLACL编号的标准访问列表编号的标准访问列表Router(config)#access-list permit|deny Router(config)#access-list permit|deny 源地址源地址 反掩码反掩码 命名的标准访问列表命名的标准访问列表 switch(config)#ip access-list standard switch(config)#ip access-list standard switch(config-std-nacl
17、)#permit|deny switch(config-std-nacl)#permit|deny 源地址源地址 反掩码反掩码 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out 标准IP ACL配置示例要求要求172.16.1.0172.16.1.0网段的主机不可以访问服务器网段的主机不可以访问服务器172.17.1.1172.17.1.1,其它主机访问服务器,其它主机访问服务器172.17.1.1172.17.1.1不受限制。不受限制。IP
18、扩展访问列表的配置1.1.定义扩展的定义扩展的ACLACL编号的扩展编号的扩展ACLACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展命名的扩展ACLACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.2.应用应用ACLACL到接口到接口Router(config-if)#ip access-group in|out Router(config-if)#ip access-group in|out
19、扩展IP ACL配置示例172.17.1.1172.17.1.1为公司的文件服务器,要求网段为公司的文件服务器,要求网段172.16.1.0172.16.1.0中的主机能够访问中的主机能够访问172.17.1.1172.17.1.1中的中的FTPFTP服务和服务和WEBWEB服务,而对服务器的其它服务禁止访服务,而对服务器的其它服务禁止访问。问。名称IP ACL配置示例 访问列表的验证 显示全部的访问列表显示全部的访问列表Router#show access-listsRouter#show access-lists 显示指定的访问列表显示指定的访问列表Router#show access-l
20、ists Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface Router#show ip interface 接口名称接口名称 接口编号接口编号IP访问列表配置注意事项1 1、一个端口在一个方向上只能应用一组、一个端口在一个方向上只能应用一组ACLACL2 2、锐捷全系列交换机可针对物理接口和、锐捷全系列交换机可针对物理接口和SVISVI接口应用接口应用ACLACL针对物理接口,只能配置入栈应用针对物理接口,只能配置入栈应用(In)(In)针对针对SVISVI(虚拟(虚拟VLANVLAN)接口,可以配
21、置入栈()接口,可以配置入栈(InIn)和出栈()和出栈(OutOut)应用)应用3 3、访问列表的缺省规则是:拒绝所有、访问列表的缺省规则是:拒绝所有基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则对于不同的时间段实施不同的访问控制规则在原有在原有ACLACL的基础上应用时间段的基础上应用时间段任何类型的任何类型的ACLACL都可以应用时间段都可以应用时间段时间段绝对时间段(绝对时间段(absoluteabsolute)周期时间段(周期时间段(periodicperiodic)混合时间段混合时间段配置时间段配置时间段time-range time-range-name
22、Router(config)#配置绝对时间absolute start time date end time date|end time date Router(config-time-range)#start time datestart time date:表示时间段的起始时间。:表示时间段的起始时间。timetime表示时间,格式为表示时间,格式为“hh:mm”hh:mm”。datedate表示日期,格式为表示日期,格式为“日日 月月 年年”end time dateend time date:表示时间段的结束时间,格式与起始时间相同:表示时间段的结束时间,格式与起始时间相同示例:示例:
23、absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008 absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008 配置时间段(续)配置周期时间periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays|weekend|daily hh:mm to hh:mm Router(config-time-range)#day-of-the-weekday-of-the-week:表示一个星期内的一天或者几天,:表示一个
24、星期内的一天或者几天,MondayMonday,TuesdayTuesday,WednesdayWednesday,ThursdayThursday,FridayFriday,SaturdaySaturday,SundaySundayhh:mmhh:mm:表示时间:表示时间weekdaysweekdays:表示周一到周五:表示周一到周五weekendweekend:表示周六到周日:表示周六到周日 dailydaily:表示一周中的每一天:表示一周中的每一天示例:示例:periodic weekdays 09:00 to 18:00periodic weekdays 09:00 to 18:00
25、配置时间段(续)应用时间段在在ACLACL规则中使用规则中使用time-rangetime-range参数引用时间段参数引用时间段只有配置了只有配置了time-rangetime-range的规则才会在指定的时间段内生效,其它的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响未引用时间段的规则将不受影响确保设备的系统时间的正确!确保设备的系统时间的正确!基于时间的ACL配置示例在上班时间(在上班时间(9 9:00180018:0000)不允许员工的)不允许员工的主机(主机(172.16.1.0/24172.16.1.0/24)访问)访问InternetInternet,下班时,下
26、班时间可以访问间可以访问InternetInternet上的上的WebWeb服务。服务。课程议题网络地址转换网络地址转换网络地址转换网络地址转换NATNATNAT实施 NATNAT优点:优点:节省公共地址节省公共地址可减少编址方案重叠的情况发生可减少编址方案重叠的情况发生将私有网络转化成公网时,无需要重新进行编址将私有网络转化成公网时,无需要重新进行编址 NATNAT缺点:缺点:NATNAT会增加延迟会增加延迟无法进行端到端的无法进行端到端的IPIP跟踪跟踪NATNAT使某些在有效负载中使用使某些在有效负载中使用IPIP地址的应用无法运行地址的应用无法运行配置静态NAT 第一步:在路由器上配置
27、第一步:在路由器上配置IPIP路由选择和路由选择和IPIP地址。地址。第二步:至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,第二步:至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,执行命令执行命令ip nat inside|outside ip nat inside|outside。第三步:使用全局命令第三步:使用全局命令ip nat inside source static ip nat inside source static local-ip local-ip interfaceinterface interface|global-ip interface|
28、global-ip 配置静态转换条目。配置静态转换条目。配置静态端口地址转换 第一步:在路由器上配置第一步:在路由器上配置IPIP路由选择和路由选择和IPIP地址。地址。第二步:至少指定一个内部接口和一个外部接口,并执行命令第二步:至少指定一个内部接口和一个外部接口,并执行命令ip nat inside|ip nat inside|outside outside。第三步:使用全局命令第三步:使用全局命令ip nat inside source static tcp|udp ip nat inside source static tcp|udp local-ip local-local-ip l
29、ocal-port port interfaceinterface interface|global-ip interface|global-ip global-port global-port指定静态指定静态PATPAT条目。条目。配置静态外部源地址转换 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路由选择和IPIP地址。地址。第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,并执行命令并执行命令ip nat ip nat ip nat ip nat i
30、nside inside inside inside|outsideoutsideoutsideoutside 。第三步:第三步:第三步:第三步:使用全局命令使用全局命令ip nat outside source staticip nat outside source staticip nat outside source staticip nat outside source static global-ip local-ipglobal-ip local-ip指定静态转换条目。指定静态转换条目。配置动态NAT 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路
31、由选择和IPIP地址。地址。第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,方法是进入接口配置模式至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,并执行命令下,并执行命令ip nat ip nat insideinside|outside outside 。第三步:第三步:第三步:第三步:使用命令使用命令access-listaccess-list access-list-numberaccess-list-number permitpermit|denydeny 定义定义IPIP访访问控制列表,以明确哪些报文将被进行问控制列表,以明确哪些报文将被进行NATN
32、AT转换。转换。第四步:第四步:第四步:第四步:使用命令使用命令ip nat pool ip nat pool pool-namepool-name start-ip end-ipstart-ip end-ip netmasknetmask netmasknetmask|prefix-lengthprefix-length prefix-length prefix-length 定义一个地址池,用于转换地址。定义一个地址池,用于转换地址。配置动态NAT 第五步:第五步:第五步:第五步:使用命令使用命令ip nat inside source listip nat inside source l
33、ist access-list-numberaccess-list-number interfaceinterface interface|interface|pool pool pool-namepool-name 将符合访问控制列表条件的内部本地地址转换到将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。地址池中的内部全局地址。配置NAPT 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路由选择和IPIP地址。地址。第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,并执行命令至少指定一个内部接口和一个外部接口,并执行命令ip
34、 nat ip nat insideinside|outside outside 。第三步:第三步:第三步:第三步:使用命令使用命令access-listaccess-list access-list-numberaccess-list-number permitpermit|denydeny 定义定义IPIP访访问控制列表,以明确哪些报文将被进行问控制列表,以明确哪些报文将被进行NATNAT转换。转换。第四步:第四步:第四步:第四步:使用命令使用命令ip nat pool ip nat pool pool-namepool-name start-ip end-ipstart-ip end-i
35、p netmasknetmask netmasknetmask|prefix-lengthprefix-length prefix-length prefix-length 定义一个地址池,用于转换地址。定义一个地址池,用于转换地址。第五步:第五步:第五步:第五步:使用命令使用命令ip nat inside source listip nat inside source list access-list-numberaccess-list-number interfaceinterface interface|interface|pool pool pool-namepool-name overloadoverload将符合访问控制列表条件的内部本地地将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。址转换到地址池中的内部全局地址。配置NAPT课程回顾 交换机端口安全交换机端口安全 IPIP访问控制列表访问控制列表 NATNAT技术技术
限制150内