返回
如何在路由器配置访问控制列表acl

如何在路由器配置访问控制列表acl

ID:11631469

大小:5.13 MB

页数:98页

时间:2018-07-13

如何在路由器配置访问控制列表acl_第1页
如何在路由器配置访问控制列表acl_第2页
如何在路由器配置访问控制列表acl_第3页
如何在路由器配置访问控制列表acl_第4页
如何在路由器配置访问控制列表acl_第5页
资源描述:

《如何在路由器配置访问控制列表acl》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、如何在路由器配置访问控制列表ACL园区网常见安全隐患非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。人为但属于操作人员无意的失误造成的数据丢失或损坏;。来自园区网外部和内部人员的恶意攻击和破坏。威胁人自然灾害恶意非恶意不熟练的员工(外部)黑客威胁(内部)不满的员工(外部)战争漏洞物理自然硬件软件媒介通讯人External attackerCorporateAssetsInternal attackerIncorrect permissionsVirus网络安全的演化第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混

2、合威胁(蠕虫+病毒+特洛伊)广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL71%常见解决安全隐患的方案交换机端口安全配置访问控制列表ACL在防火墙实现包过滤……交换机端口安全通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地

3、址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何包。此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。为了增强安全性,你可以将MAC地址和IP地址绑定起来作为安全地址。交换机端口安全如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。当安全违例产生时,你可以选择多种方式来处理违例:Protect:当安全地址个数满后,安全端口将丢弃

4、未知名地址(不是该端口的安全地址中的任何一个)的包。RestrictTrap:当违例产生时,将发送一个Trap通知。Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。配置安全端口interfaceinterface-id进入接口配置模式。switchportmodeaccess设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)。switchportport-security打开该接口的端口安全功能switchportport-securitymaximumvalue设置接口上安全地址的最大个数,范围是1-128,缺省值为12

5、8。switchportport-securityviolation{protect

6、restrict

7、shutdown}设置处理违例的方式当端口因为违例而被关闭后,你可以在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。switchportport-securitymac-addressmac-address[ip-addressip-address]手工配置接口上的安全地址。ip-address:可选IP为这个安全地址绑定的地址。端口安全配置示例下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能,设置

8、最大地址个数为8,设置违例方式为protect。Switch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-i

9、f)#end验证命令Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredGi1/38100d0.f800.3cc9192.168.12.5ConfiguredGi1/17验证命令Switch#sh

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。