1、 交换机端口上捆绑安全地址 交换机端口镜像安全 了解交换机端口安全 在交换机端口上捆绑安全 IP地址 在交换机端口上捆绑安全 MAC地址 区别不同的端口安全违例方式 配置交换机端口镜像技术 绿丰公司是家消费品销售公司,最近公司为适应当前信息化以及网购发展趋势需要,组建了互联互通的办公网络,实现资源共享。 公司的信息中心为了保护公司企业内部网络互连设备的安全,一方面禁止外部人员,非法接入公司内部的办公网,获取公司内部资料;另一方面拒绝网内用户随意修改 IP地址,造成内部经常发生的地址冲突,因此希望配置安全地址接入技术。 公司安全地址的接入计划,就是把把所有员工的设备的地址,都捆绑其对应的交换机端
2、口上,禁止非授权员工的登录,以保护办公网网络安全。 默认的情况下,企业网络内所有的计算机设备,都能随意接入交换机,实现网络连通。在有些安全防范实施等级严格的环境中,需要实现严格的交换网络安全措施,如登录办公网中每一台设备的 IP地址, MAC地址,把其捆绑到对应的接口上,实施交换机安全地址配置。 通过在交换机的端口上配置安全端口技术,可以实现这一交换网络的安全效果。 本项目从网络管理员日常安全管理角度出发,讲解接入网络中交换机基础安全技术,了解交换网络安全隐患发生的场景,采取对应的安全措施;了解交换机端口安全技术,会配置交换机端口安全技术,会区别端口安全的违例方式;会配置交换机的端口镜像安全技
3、术,是作为网络管理员必备基本安全职业技能。16.1 什么是交换机端口安全交换机的端口是连接网络终端设备重要关口,加强交换机的端口安全是提高整个网络安全的关键。默认的情况下交换机的端口是完全敞开,不提供任何安全检查措施。因此为保护网络内的用户安全,对交换机的端口增加安全访问功能,可以有效保护网络的安全。 交换机的端口安全功能,防止网内部攻击 , 如 MAC地址攻击、 ARP攻击、 IP/MAC欺骗等。 交换机端口安全的基本功能1、限制端口最大连接数 ,控制恶意扩展接入例:学校宿舍网可以防止学生随意购买小型交换机或 HUB扩展网络,对网络造成破坏。2、端口安全地址绑定 , 解决网中 IP地址冲突、
4、 ARP欺骗例:在学校宿舍网内端口地址绑定,可以解决学生随意更改 IP地址,造成 IP地址冲突,或者学生利用黑客工具,进行 ARP地址欺骗。 安全端口收到不属于端口上安全地址包时, 一个安全违例将产生。 当安全违例产生时,可以选择多种方式来处理违例:Protect: 安全端口将丢弃未知名地址的包(不是该端口的安全地址中的任何一个)。RestrictTrap: 当违例产生时,将发送一个 Trap通知。Shutdown: 当违例产生时,将关闭端口并发送一个 Trap通知。 配置 fa1/3端口安全功能,设置最大地址个数为 8,违例方式为 protect。Switch(config)# interface fa1/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect
