端口安全实验.docx
- 文档编号:16350431
- 上传时间:2023-07-12
- 格式:DOCX
- 页数:15
- 大小:120.55KB
端口安全实验.docx
《端口安全实验.docx》由会员分享,可在线阅读,更多相关《端口安全实验.docx(15页珍藏版)》请在冰点文库上搜索。
端口安全实验
实验一
实验名称:
交换机的端口安全配置。
实验目的:
掌握交换机的端口安全功能。
技术原理:
利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。
如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。
交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能
实现功能:
查看交换机的各项参数。
实验设备:
S2126G一台,主机一台,直连网线一根。
实验拓朴:
实验步骤:
1.配置交换机端口最大连接数限制。
Switch(config)#interfacerangefastethernet0/1-23!
进行一组端口的配置。
Switch(config-if-range)#switchportport-security!
开放交换机端口的安全功能。
Switch(config-if-range)#switchportport-securitymaximum1!
配置端口的最大连接数为1。
Switch(config-if-range)#switchportport-securityviolationshutdown!
配置安全违例的处理方式为shutdown.
Switch#showport-security!
查看交换机端口的安全配置。
SecurePortMaxSecureAddr(count)CurrentAddr(count)SecurityAction
------------------------------------------------------------------
Fa0/110Shutdown
Fa0/210Shutdown
Fa0/310Shutdown
Fa0/410Shutdown
Fa0/510Shutdown
Fa0/610Shutdown
Fa0/710Shutdown
Fa0/810Shutdown
Fa0/910Shutdown
Fa0/1010Shutdown
Fa0/1110Shutdown
Fa0/1210Shutdown
Fa0/1310Shutdown
Fa0/1410Shutdown
Fa0/1510Shutdown
Fa0/1610Shutdown
Fa0/1710Shutdown
Fa0/1810Shutdown
Fa0/1910Shutdown
Fa0/2010Shutdown
Fa0/2110Shutdown
Fa0/2210Shutdown
Fa0/2310Shutdown
2.配置交换机端口的地址绑定。
Switch(config)#interfacefastethernet0/3
Switch(config-if)#switchportport-security
Switch(config-if)#switchportport-securitymac-address0006.1bde.13b4ip-address172.16.1.55!
配置IP地址和MAC地址的绑定,MAC地址用ipconfig/all命令。
Switch#showport-securityaddress!
查看地址安全绑定配置。
VlanMacAddressIPAddressTypePortRemainingAge(mins)
-----------------------------------------------------------------------
10016.ecd3.913663.5.8.2ConfiguredFa0/3-
注意事项:
1.交换机端口安全功能只能在ACCESS接口进行配置。
2.交换机最大连接数限制取值范围是1—128,默认128。
3.交换机最大连接数限制默认的处理方式是protect。
4.有三种安全违例处理方式:
●Protect:
当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
●RestrictTrap:
当违例产生时,将发送一个Trap通知。
●Shutdown:
当违例产生时,将关闭端口并发送一个Trap通知。
5.当端口因为违例而被关闭后,在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。
实验二
实验名称:
标准IP访问控制列表。
实验目的:
掌握路由器上标准IP访问控制列表规则及配置。
技术原理:
IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。
标准访问列表根据数据包源IP地址进行规则定义。
1.定义标准ACL
Ø编号的标准访问列表
Router(config)#access-list<1-99>{permit|deny}源地址[反掩码]
Ø命名的标准访问列表
switch(config)#ipaccess-liststandard
switch(config-std-nacl)#{permit|deny}源地址[反掩码]
2.应用ACL到接口
Router(config-if)#ipaccess-group<1-99>{in|out}
实现功能:
实现网段间相互访问的安全控制。
实验设备:
R1762路由器两台,V.35线缆一条,直连线或交叉线三根。
实验拓朴:
实验步骤:
1.router1基本配置。
Router(config)#hostnamerouter1
Router1(config)#interfacefastethernet1/0
Router1(config-if)#ipaddress172.16.1.1255.255.255.0
Router1(config-if)#noshutdown
Router1(config)#interfacefastethernet1/1
Router1(config-if)#ipaddress172.16.2.1255.255.255.0
Router1(config-if)#noshutdown
Router1(config)#interfaceserial1/2
Router1(config-if)#ipadd172.16.3.1255.255.255.0
Router1(config-if)#clockrate64000
Router1(config-if)#noshutdown
Router1(config-if)#end
Router1#showipinterfacebrief!
查处接口状态。
InterfaceIP-Address(Pri)OK?
Status
serial1/2172.16.3.1/24YESDOWN
serial1/3noaddressYESDOWN
FastEthernet1/0172.16.1.1/24YESDOWN
FastEthernet1/1172.16.2.1/24YESDOWN
Null0noaddressYESUP
2.router2基本配置。
Router(config)#hostnamerouter2
Router2(config)#interfacefastethernet1/0
Router2(config-if)#ipaddress172.16.4.1255.255.255.0
Router2(config-if)#noshutdown
Router2(config)#interfaceserial1/2
Router2(config-if)#ipadd172.16.3.2255.255.255.0
Router2(config-if)#noshutdown
Router2(config-if)#end
Router2#showipinterfacebrief!
查处接口状态。
InterfaceIP-Address(Pri)OK?
Status
serial1/2172.16.3.2/24YESDOWN
serial1/3noaddressYESDOWN
FastEthernet1/0172.16.4.1/24YESDOWN
FastEthernet1/1noaddressYESDOWN
Null0noaddressYESUP
Router1(config)#iproute172.16.4.0255.255.255.0serial1/2!
配置静态路由。
Router2(config)#iproute172.16.1.0255.255.255.0serial1/2!
配置静态路由。
Router2(config)#iproute172.16.2.0255.255.255.0serial1/2!
配置静态路由。
Router1#showiproute!
查看路由表信息。
Codes:
C-connected,S-static,R-RIP
O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
*-candidatedefault
Gatewayoflastresortisnoset
C172.16.3.0/24isdirectlyconnected,serial1/2
C172.16.3.1/32islocalhost.
S172.16.4.0/24isdirectlyconnected,serial1/2
注意:
两台路由器没连接之前只能显示:
Codes:
C-connected,S-static,R-RIP
O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
*-candidatedefault
Gatewayoflastresortisnoset
Router2#showiproute!
查看路由表信息。
Codes:
C-connected,S-static,R-RIP
O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
*-candidatedefault
Gatewayoflastresortisnoset
S172.16.1.0/24isdirectlyconnected,serial1/2
S172.16.2.0/24isdirectlyconnected,serial1/2
C172.16.3.0/24isdirectlyconnected,serial1/2
C172.16.3.2/32islocalhost.
3.配置标准访问控制列表。
Router2(config)#access-list1deny172.16.2.00.0.0.255!
拒绝来自172.16.2.0网段的流量通过。
Router2(config)#access-list1permit172.16.1.00.0.0.255!
允许来自172.16.1.0网段的流量通过。
Router2#showaccess-lists1
StandardIPaccesslist1includes2items:
deny172.16.2.0,wildcardbits0.0.0.255
permit172.16.1.0,wildcardbits0.0.0.255
4.在接口下应用访问控制列表。
Router2(config)#interfacefastethernet1/0
Router2(config-if)#ipaccess-group1out!
访问列表的出栈应用
Router2#showipinterfacefastethernet1/0
FastEthernet1/0
IPinterfacestateis:
DOWN
IPinterfacetypeis:
BROADCAST
IPinterfaceMTUis:
1500
IPaddressis:
172.16.4.1/24(primary)
IPaddressnegotiateis:
OFF
Forwarddirect-boardcastis:
ON
ICMPmaskreplyis:
ON
SendICMPredirectis:
ON
SendICMPunreachabledis:
ON
DHCPrelayis:
OFF
Fastswitchis:
ON
Routehorizontal-splitis:
ON
Helpaddressis:
0.0.0.0
ProxyARPis:
ON
Outgoingaccesslistis1.
Inboundaccesslistisnotset.
5.验证测试。
(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机,172.16.1.0网段的主机能ping通172.16.4.0网段的主机)
注意事项:
1.访问控制列表的网络掩码是反掩码。
2.访问控制列表要尽量应用在靠近目的地址的接口。
3.路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。
4.从头到尾,至顶向下的匹配方式,
匹配成功马上停止,执行规则中的deny或permit
5.一个端口在一个方向上只能应用一组ACL
实验三
实验名称:
扩展IP访问控制列表。
实验目的:
掌握三层交换机上扩展IP访问控制列表规则及配置。
技术原理:
扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。
1.定义扩展的ACL
Ø编号的扩展ACL
Switch(config)#access-list<100-199>{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]
Ø命名的扩展ACL
Switch(config)#ipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]
2.应用ACL到接口
Switch(config-if)#ipaccess-group<100-199>{in|out}
实现功能:
实现网段间相互访问的安全控制。
实验设备:
S3350交换机一台,PC三台,直连线三根。
实验拓朴:
实验步骤:
1.基本配置。
Switch(config)#vlan10
Switch(config-vlan)#nameserver
Switch(config)#vlan20
Switch(config-vlan)#nameteacher
Switch(config)#vlan30
Switch(config-vlan)#namestudent
Switch(config)#interfacefa0/5
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan10
Switch(config)#interfacefa0/10
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan20
Switch(config)#interfacefa0/15
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan30
Switch(config)#intervlan10
Switch(config-if)#ipadd192.168.1.1255.255.255.0
Switch(config-if)#noshutdown
Switch(config)#intervlan20
Switch(config-if)#ipadd192.168.2.1255.255.255.0
Switch(config-if)#noshutdown
Switch(config)#intervlan30
Switch(config-if)#ipadd192.168.3.1255.255.255.0
Switch(config-if)#noshutdown
2.配置扩展IP访问控制列表。
Switch(config)#ipaccess-listextendeddenystudentwww!
命名
Switch(config-ext-nac1)#denytcp192.168.3.00.0.0.255192.168.1.00.0.0.255eqwww!
禁止WWW服务。
Switch(config-ext-nacl)#permitipanyany!
允许其它服务。
Switch#showipaccess-listsdenystudentwww
3.在接口下应用访问控制列表。
Switch(config)#intervlan30
Switch(config-if)ipaccess-groupdenystudentwwwin
4.配置WEB服务器(参见局域网实验)。
5.验证测试。
(VLAN30中的主机pc3不能访问WEB服务器pc1,VLAN20中的主机pc2能访问WEB服务器pc1。
)
注意事项:
1.访问控制列表的网络掩码是反掩码。
2.访问控制列表要在接口下应用。
3.Deny某网段后要permit其它网段。
4.一个端口在一个方向上只能应用一组ACL
实验四
实验名称:
基于时间的访问控制列表。
实验目的:
掌握基于时间对网络进行访问控制,提高网络的使用效率和安全性。
实现功能:
基于时间段对网络进行访问控制的IP访问控制列表的配置。
实验设备:
R1762路由器一台,直连线或交叉线二根。
实验拓朴:
实验步骤:
1.router1基本配置。
Router(config)#interfacefastethernet1/0
Router(config-if)#ipaddress172.16.1.1255.255.255.0
Router(config-if)#noshutdown
Router(config)#interfacefastethernet1/1
Router(config-if)#ipaddress192.168.1.1255.255.255.0
Router(config-if)#noshutdown
Router#showipinterfacebrief!
查看路由器接口的状态。
InterfaceIP-Address(Pri)OK?
Status
serial1/2noaddressYESDOWN
serial1/3noaddressYESDOWN
serial2/0noaddressYESDOWN
serial2/1noaddressYESDOWN
FastEthernet1/0172.16.1.1/24YESUP
FastEthernet1/1192.168.1.1/24YESUP
Null0noaddressYESUP
2.配置路由器的时钟。
Router#showclock
clock:
2008-1-132:
0:
25
Router#clockset12:
40:
0815april2007
!
设置路由器的时钟。
3.定义时间段。
Router(config)#time-rangefreetimeRouter(config-time-range)#absolutestart8:
001jan2008end18:
0031dec2010!
定义绝对时间段。
Router(config-time-range)#periodicdaily0:
00to8:
00!
定义周期性时间段
Router(config-time-range)#periodicdaily17:
00to23:
59!
定义周期性时间段,此处不能写24:
00。
Router#showtime-rangefreetime!
查看时间段配置。
time-rangeentry:
freetime(inactive)
absolutestart08:
0001January2008end18:
0031December2010
periodicDaily0:
00to8:
00
periodicDaily17:
30to23:
59
4.定义访问控制列表规则。
Router(config)#access-list100permitipanyhost192.168.1.2!
定义扩展访问控制列表,允许访问主机192.168.1.2。
Router(config)#access-list100permitip
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 端口 安全 实验