返回
交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc

交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc

ID:50802294

大小:231.00 KB

页数:11页

时间:2020-03-08

交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc_第1页
交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc_第2页
交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc_第3页
交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc_第4页
交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc_第5页
资源描述:

《交换机与路由器配置实验教程 教学课件 作者 张世勇07第7章 安全配置实验.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七章安全配置实验随着网络技术的发展,现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络,但现在必须高度重视网络的安全性,只有更安全的网络才能保证网络为人民服务,才能推动网络的发展,最终推动社会的发展和人类的进步,针对网络的安全问题,我们从网络设备的安全配置方面,介绍一些安全技术的实验。实验一交换机端口安全交换机(包括路由器)的端口安全,就是对交换机的端口(接口)进行配置,主要包括限制端口的状态,允许或拒绝符合条件的访问,从而实现网络安全。一、实验概述大多数交换机都有端口安全配置,也就

2、是对端口进行相应的设置,实现对网络设备的安全控制。端口的安全配置主要有以下三项:1、端口工作方式所谓端口工作方式,主要是在网络设备发展的时间渐进过程中形成的,一般分为单工、半双工、全双工,自动等工作模式。早期的端口,工作能力不行,只能发送,不能接收,称为单工。发送数据的时候不能同时接收,接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下,在两台设备之间同时可以接收和发送数据,使得工作能力增强。交换机端口工作方式的设置命令为:Duplexauto/full/half其中auto,表示端口的工作模

3、式为自动协商模式,即交换机端口根据所连设备的速率来自动确定其工作速率。full,表示强制进入全双工模式。half,表示强制进入半双工模式。端口工作方式这个命令,在dynamips仿真软件上使用3640的iso做仿真是可以使用的。但以下两个功能(端口最大连接数和MAC(或IP)地址绑定)不能在仿真软件上实现,因为3640是cisco的一款路由器产品,在进行仿真时,一般是增加路由器网络模块:NM-4E——4端口10bT以太网网络模块,实现路由器功能。增加交换机模块NM-16ESW——16端口10/100快速以太网交换

4、机网络模块,实现交换机功能。但这个交换机模块不支持以下两种端口命令。不过这两种功能比较简单,我们在此还是讲一下:2、端口最大连接数限制交换机端口的最大连接数,就是控制交换机某端口所能连接的计算机数量。因为端口可以级联下一级交换机(或集线器),下一级交换机又可以连接多台电脑。所以端口的最大连接数也可以很多。11不同品牌或型号的交换机,默认允许的端口最大连接数不同,一般为100以上。假如人为设定交换机端口最大连接数为1,那么连接到该端口的设备只能是一个设备,如果一个设备建立了连接,其余设备将不能建立连接。命令:Swi

5、tport-securitymaximumvaluevalue是最大连接数量。3、MAC(或IP)地址绑定为了增强交换机的端口安全,可以针对交换机进行端口地址的绑定,将接入设备的MAC地址或IP地址绑定到某端口,也可以MAC地址+IP地址双重绑定。绑定以后,不符合要求的设备将不能建立连接。命令:Switport-securitymac-addressmacadd或:switport-securityip-addressipadd其中macadd和ipadd,指的是具体的MAC地址和IP地址。实验二标准IP访问控制

6、列表访问控制列表ACL(AccessControlList),是一种安全技术,配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许(permit)或拒绝(deny)进入(in)或离开(out)路由器的数据包,对网络起到安全保护作用。ACL包含了一组安全控制和检查的命令,根据设定,指定哪些数据可以通过,哪些数据被拒绝,网管人员通过设置对网络中的数据包过滤,实现访问控制。一般是根据IP地址进行ACL。ACL分为标准IP访问控制列表和扩展访问控制列表,标准访问控制列表比较简单,只对数据包的源地址进行检

7、查,其编号取值范围为1—99或1300—1999。命令格式,全局配置模式下:1、Access-listnumber{permit

8、deny}source-addsource-wildcard其中number就是访问控制列表的号,其编号取值范围为1—99或1300—1999permit就是允许数据包通过,deny就是拒绝通过source-add就是允许或拒绝的源地址,source-wildcard就是通配符掩码。比如:acce-list10permit10.0.0.00.0.0.255表示允许来自10.0.0.0/

9、24网段的访问另外还可以用主机的IP地址来进行精确控制,其通配符为0.0.0.0:如:acce-list10permit10.0.0.20.0.0.0表示允许10.0.0.2这个IP地址访问或:acce-list10permithost10.0.0.2,也可以表达同一个意思。允许所有报文通过则用参数any:acce-list10permitany。我们再来看一个例子:Ro

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。