交换网络端口安全应用实例

　　网络拓扑结构
　　一、分析：
　　1组成：2台二层交换机，1台物理层的HUB，6台PC机
　　2构成：在该拓扑中没有划分VLAN信息，所有PC机都在一个VLAN1信息中；
　　3配置：规划IP地址，192。168。10。024
　　4主题：是局域网安全的配置
　　（1）配置特权密码；
　　（2）配置远程登录密码【最安全的状态就是不连接外网；不开启远程登录功能】；
　　（3）存在的问题：就是内部网络的安全；
　　（4）关闭不必要的端口；
　　（5）物理设备的安全；
　　（6）交换机端口的接入安全；
　　二、要求：
　　1网络设备的基本配置设备名；
　　2每台网络设备的用户名和密码；
　　3配置特权密码和远程登录密码【本地账号和密码进行登录】
　　4配置设备的管理IP地址【一般情况下，在企业中都会存在一个专门用于管理的IP地址；在企业中也会有一个专门的网络管理服务器，负责对网络中的所有设备进行远程管理。】；
　　5启用端口安全，配置端口的安全；
　　三、步骤：
　　1配置网络设备的IP地址，子网掩码和网关；
　　说明：该网络中有存在网关么？【没有，因为我们的网络中没有三层的网络设备，所有可以先规划网关，先配置网关，但是在该网络中网关是没有任何作用的。】
　　【以PC0为例】
　　其它的PC机的配置，只是IP地址不同【在网络中不能存在两个完全一样的IP地址】，其他的子网掩码和网关都是不变的。
　　2测验网络的连通性；
　　在没有划分VLAN的情况下【在同一个局域网范围内，所有PC机都能够相互访问】
　　3网络设备的基本配置设备名
　　说明：HUB属于非智能设备，是不能够对该设备进行配置的。
　　4每台网络设备的用户名和密码
　　【在网络的配置中，一般情况下，每台网络设备都有自己的设备名和密码，而且是不能够相同的；在实际工作中，对于网络设备的配置要有相应的文档，在文档中必须要写明网络设备的具体配置和实训的功能；】
　　sw1（config）usernamesw1secretsw1
　　Sw2（config）usernamesw2secretsw2
　　【在实际工作中，设备名在规划的时候，要有一定的意义，要列表，说明每个字母的含义】
　　5网络设备在企业中的命名规则
　　基本格式：公司简称业务模块位置设备型号编号
　　（1）公司简称：公司的首字母或特权的字母为主，必须能够代表公司的含义；
　　（2）业务模块：例如分为Data、Voice；或者按部门划分，如IT（网络管理）、HR（人事部）等等。之所以要把业务模块放在第二位，主要是为方便网管系统按照业务模块汇总数据，
　　（3）位置：广域网自然用城市缩写，局域网可以用楼层之类的。
　　（4）设备型号：路由器用R开头，交换机用S开头，如：R3845、S2950等等。
　　（5）编号：路由器可以用A、B，交换机一般数量比较多可以用01、02、03
　　（6）各模块之间可以用下划线或减号连接。
　　（7）举几个例子：PAIDCBJR7304A；HWIT3FS29500；
　　转载于：https：blog。51cto。combaiyangwyp128396
　　6设置特权密码
　　sw1（config）enablesecretsw1
　　Sw2（config）enablesecretsw2
　　【secret】是加密的秘钥，加密后的密码在网络设备中的显示为【enablesecret51mERrPhR2dVbINCAD0O1hhjwx0。
　　7设置远程登录密码
　　Sw1（config）linvty04
　　Sw1（configline）loginlocal使用本地用户名和密码作为远程登录的方式
　　Sw2（config）linvty04
　　Sw2（configline）loginlocal使用本地用户名和密码作为远程登录的方式
　　8启动网络设备自带的加密命令
　　说明：在思科的网络设备中，系统自带了一个加密的口令，为未加密的信息进行加密；
　　sw1（config）servicepasswordencryption
　　Sw2（config）servicepasswordencryption
　　9配置设备的管理IP地址
　　说明：在该网络中，我们没有规划专门的网络管理IP地址，所有使用网络设备的统一地址作为管理网段；
　　sw1（config）intvlan1
　　sw1（configif）ipadd192。168。10。200255。255。255。0
　　sw1（configif）noshut
　　Sw2（config）intvlan1
　　Sw2（configif）ipadd192。168。10。201255。255。255。0
　　Sw2（configif）noshut
　　10关闭不必要的端口
　　sw1（config）intrangef0424，g012
　　sw1（configifrange）shutdown
　　Sw2（config）intrangef0524，g012
　　Sw2（configifrange）shutdown
　　11测试：网络管理的可用性
　　12端口安全的原理
　　（1）默认情况下：端口安全的功能是关闭的；
　　sw1（configif）switchportportsecurity？
　　agingPortsecurityagingcommands
　　macaddressSecuremacaddressMAC地址，即要将哪个终端设备的MAC地址绑定在该接口上；
　　maximumMaxsecureaddresses规定该接口能够连接终端设备的最大数。
　　violationSecurityviolationmode规则：当该接口的设置超出或不符合设备的配置时，该设备采取的操作。
　　参数说明
　　参数
　　描述
　　portsecurity
　　接口安全开关，在配置好前期的设置后，在开启。
　　violationprotect
　　发现违例，则丢弃违例的报文。
　　violationrestrict
　　发现违例，则丢弃违例的报文并且发送trap。【一般用于实际工作】
　　violationshutdown
　　发现违例，则丢弃报文、发送Trap并且关闭接口。【一般用于测验】
　　缺省配置
　　接口的安全缺省是关闭的。
　　命令模式
　　接口配置模式
　　使用指导
　　利用端口安全这个特性，可以通过限制允许访问设备上某个接口的MAC地址以及IP（可选）来实现严格控制对该接口的输入。
　　当为安全端口（打开了端口安全功能的端口）配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。
　　此外，还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全M地址）将独享该端口的全部带宽。
　　配置举例
　　下面的例子是在接口Gigabitethernet11上打开端口安全功能，并设置违例处理为shutdown：
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportportsecurity
　　Ruijie（configif）switchportportsecurityviolationshutdown
　　（2）switchportportsecurityaging
　　该命令为一个接口上的所有安全地址配置老化时间。打开这个功能，就需要设置安全地址的最大个数，这样，就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址，或者关闭老化功能。
　　switchportportsecurityaging｛statictimetime｝
　　noswitchportportsecurityaging｛statictime｝
　　参数说明
　　参数
　　描述
　　Static
　　表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则只应用于自动学习的地址。
　　timetime
　　表示这个端口上安全地址的老化时间，范围是01440，单位是分钟。如果设置为0，则老化功能实际上被关闭。
　　缺省配置
　　不老化任何安全地址
　　命令模式
　　接口配置模式
　　使用指导
　　可以在接口配置模式下使用命令noswitchportportsecurityagingtime关闭一个接口的安全地址老化功能，使用命令noswitchportportsecurityagingstatic来是老化时间仅应用于动态学习到的安全地址。
　　使用showportsecurity命令查看设置。
　　配置举例
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportportsecurityagingtime8
　　Ruijie（configif）switchportportsecurityagingstatic
　　相关命令
　　命令
　　描述
　　showportsecurity
　　显示端口安全的设置信息和安全地址。
　　（3）switchportportsecuritymaximum
　　设置端口最大安全地址个数，使用no选项可恢复缺省个数：
　　switchportportsecuritymaximumvalue
　　〔no〕switchportportsecuritymaximum
　　参数说明
　　参数
　　描述
　　value
　　安全地址个数1128
　　缺省配置128：命令模式
　　接口模式
　　使用指导
　　安全地址个数包含静态配置和动态学习的安全地址个数的总和，缺省为128个，如果设置的安全地址个数小于当前已有的安全地址个数，将提示设置失败。
　　即：当该接口设置了最大安全地址个数之后，该接口连接的MAC地址数是有限的，不能超过设置的数量。
　　配置举例
　　例1：设置口10的端口安全地址个数为2：
　　Ruijie（config）interg010
　　Ruijie（configif）switchportportsecuritymaximum2
　　（4）switchportportsecuritymacaddress
　　接口模式下手工配置静态安全地址，使用no选项删除配置的地址：
　　〔no〕switchportportsecuritymacaddressmacaddress〔vlanvlanid〕
　　参数说明
　　参数
　　描述
　　macaddress
　　静态安全地址【指的是终端网络设备的MAC地址】
　　vlanid
　　MAC地址的VID
　　注意：仅在TRUNK口下才支持设置vlanid的设置
　　缺省配置
　　无
　　命令模式
　　接口模式
　　配置举例
　　例1：设置TRUNK接口10的静态安全地址00d0。f800。5555VID2：
　　Ruijie（config）interg010
　　Ruijie（configif）switchportportsecuritymacaddress00d0。f800。5555vlan2
　　（5）showportsecurity
　　显示端口安全的设置信息和安全地址。
　　showportsecurity〔address〕〔interfaceinterfaceid〕〔all〕
　　参数说明
　　参数
　　描述
　　address
　　显示所有的安全地址，或者是指定接口的所有安全地址。
　　interfaceinterfaceid
　　显示指定接口的端口安全设置信息。
　　all
　　显示所有接口的端口安全设置信息。
　　命令模式
　　特权模式
　　使用指导
　　如果使用该命令时不加参数，则显示所有接口的安全设置状态、违例处理等信息，同时显示所有安全地址表的信息。
　　配置举例
　　Ruijieshowportsecurity
　　SecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction
　　Gi111281Restrict
　　Gi121280Restrict
　　Gi1381Protect
　　（6）switchportprotected
　　该命令是将接口设为保护接口。使用该命令的no选项关闭保护接口。
　　switchportprotected
　　noswitchportprotected
　　缺省配置
　　缺省关闭保护接口
　　命令模式
　　接口配置模式
　　使用指导
　　当将某些端口设为保护口之后，缺省情况下保护口和保护口之间不能进行二层交换可以进行3层路由，保护口与非保护口之间可以正常通讯。使用showinterfacesswitchport命令查看设置。
　　配置举例
　　Ruijie（config）interfacegigabitethernet11
　　Ruijie（configif）switchportprotected
　　相关命令
　　showintrfacesswitchport查看接口设置和统计信息。
　　13配置静态端口安全
　　（1）查看PC0机的MAC地址
　　（2）配置端口安全
　　sw1（config）intf02进入接口
　　sw1（configif）switchportportsecuritymaximum1设置端口的最大连接数是1
　　sw1（configif）switchportportsecuritymacaddress0090。0C3A。959E绑定允许通过该端口的终端网络设备
　　sw1（configif）switchportportsecurityviolationshutdown规划当该设备的接口不满足配置要求时，采取的措施；关闭并发送标识；
　　sw1（configif）switchportportsecurity启动端口安全
　　注意：当在配置网络端口安全时，提示如下信息，如何解决
　　sw1（configif）switchportportsecurity
　　Commandrejected：FastEthernet02isadynamicport。
　　提示：该接口是一个动态接口，不能配置用于配置端口安全；
　　解决办法：将该接口的工作模式设置成【access】模式
　　sw1（configif）switchportmodeaccess
　　（3）查看端口安全的配置
　　sw1showrunningconfig
　　（4）查看端口安全的信息
　　（5）查看端口安全的地址
　　（6）验证端口安全
　　现象：PC0无法PING通PC1，且F02接口出现了关闭的现象；
　　原因：F02端口启动了端口安全的功能，且该端口允许通过的最大地址数是1，但是在该接口上目前存在两个MAC地址，一个是PC0的MAC地址，另一个是接口F02本身的地址；
　　解决：将接口的最大连接数设置为【2】
　　第一步：利用命令关闭该接口
　　sw1（config）intf02
　　sw1（configif）shutdown
　　第二步：利用命令打开该接口
　　sw1（config）intf02
　　sw1（configif）noshutdown
　　第三步：改变该接口的最大连接数
　　sw1（config）intf02
　　sw1（configif）switchportportsecuritymaximum2
　　第四步：测试端口安全情况
　　C：amp；gt；PING192。168。10。2
　　Replyfrom192。168。10。2：bytes32time1msTTL128
　　Replyfrom192。168。10。2：bytes32timeamp；lt；1msTTL128
　　Replyfrom192。168。10。2：bytes32time1msTTL128
　　Replyfrom192。168。10。2：bytes32timeamp；lt；1msTTL128
　　第五步：查看端口安全信息
　　说明：
　　【0090。0C3A。959E】是设备PC0的MAC地址；
　　【0006。2AAB。2394】是设备SW1的接口F02的地址；
　　14配置动态端口安全
　　（1）配置端口安全
　　sw1（config）intf03
　　sw1（configif）switchportmodeaccess设置接口的工作模式
　　sw1（configif）switchportportsecuritymaximum2配置接口最大的连接数
　　sw1（configif）switchportportsecurityviolationshutdown设置接口错误的处理方法
　　sw1（configif）switchportportsecurity启动端口安全
　　（2）查看端口安全的配置情况
　　sw1showrunningconfig
　　。。。。。。
　　interfaceFastEthernet03
　　switchportmodeaccess
　　switchportportsecurity
　　switchportportsecuritymaximum2
　　。。。。。
　　（3）测验网络安全配置
　　C：amp；gt；ping192。168。10。3
　　Replyfrom192。168。10。3：bytes32time2msTTL128
　　Replyfrom192。168。10。3：bytes32time1msTTL128
　　Replyfrom192。168。10。3：bytes32timeamp；lt；1msTTL128
　　Replyfrom192。168。10。3：bytes32time1msTTL128
　　（4）查看网络安全信息
　　（5）查看动态端口安全
　　（6）查看端口的安全配置情况
　　15、思考题
　　在拓扑图中，交换机SW2的F04接口上，应该配置的最小连接数是多少，才能够满足设置的要求？