企业网资料学生中职培训三.ppt

中职职业技能大赛培训,网络安全及网络出口,本章内容,交换机端口安全 IP访问控制列表 NAT技术,课程议题,,交换机端口安全,交换机端口安全,交换机端口安全,安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知,配置安全端口,端口安全最大连接数配置 switchport port-security ！打开该接口的端口安全功能 switchport port-security maximum value ！设置接口上安全地址的最大个数，范围是1－128，缺省值为128 switchport port-security violation{protect|restrict |shutdown} ！设置处理违例的方式 注意： 1、端口安全功能只能在access端口上进行配置。

2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来配置安全端口,端口的安全地址绑定 switchport port-security ！打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address ！手工配置接口上的安全地址 注意： 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,案例（一）,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,案例（二）,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,查看配置信息,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action ----------------- -------- --------- -------------- Gi1/3 8 1 Protect 查看安全地址信息 Switch# show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- ----------- ---------- ------- --------- -------- 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,,IP访问控制列表,什么是访问列表,IP Access-list：IP访问列表或访问控制列表，简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,,,,,,,ISP,,,,,√,访问列表的组成,定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表规则的分类： 1、标准访问控制列表 2、扩展访问控制列表,,,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,IP ACL的基本准则,一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……”,,IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表 Router(config)#access-list {permit|deny} 源地址 [反掩码] 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group { in | out },标准IP ACL配置示例,要求172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。

IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group { in | out },扩展IP ACL配置示例,172.17.1.1为公司的文件服务器，要求网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务，而对服务器的其它服务禁止访问名称IP ACL配置示例,,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用 3、访问列表的缺省规则是：拒绝所有,基于时间的ACL,基于时间的ACL 对于不同的时间段实施不同的访问控制规则 在原有ACL的基础上应用时间段 任何类型的ACL都可以应用时间段 时间段 绝对时间段（absolute） 周期时间段（periodic） 混合时间段,配置时间段,配置时间段,time-range time-range-name,Router(config)#,配置绝对时间,absolute { start time date [ end time date ] | end time date },Router(config-time-range)#,start time date：表示时间段的起始时间。

time表示时间，格式为“hh:mm”date表示日期，格式为“日 月 年” end time date：表示时间段的结束时间，格式与起始时间相同 示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008,配置时间段（续）,配置周期时间,periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm periodic { weekdays | weekend | daily } hh:mm to hh:mm,Router(config-time-range)#,day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday hh:mm：表示时间 weekdays：表示周一到周五 weekend：表示周六到周日 daily：表示一周中的每一天 示例：periodic weekdays 09:00 to 18:00,配置时间段（续）,应用时间段 在ACL规则中使用time-range参数引用时间段 只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响 确保设备的系统时间的正确！,基于时间的ACL配置示例,在上班时间（9：00~18：00）不允许员工的主机（172.16.1.0/24）访问Internet，下班时间可以访问Internet上的Web服务。

课程议题,,网络地址转换 NAT,NAT实施,NAT优点： 节省公共地址 可减少编址方案重叠的情况发生 将私有网络转化成公网时，无需要重新进行编址 NAT缺点： NAT会增加延迟 无法进行端到端的IP跟踪 NAT使某些在有效负载中使用IP地址的应用无法运行,配置静态NAT,第一步：在路由器上配置IP路由选择和IP地址 第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ip nat { inside | outside } 第三步：使用全局命令ip nat inside source static local-ip { interface interface | global-ip } 配置静态转换条目配置静态端口地址转换,第一步：在路由器上配置IP路由选择和IP地址 第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat { inside | outside } 第三步：使用全局命令ip nat inside source static { tcp | udp } local-ip local-port { interface interface | global-ip } global-port指定静态PAT条目。

配置静态外部源地址转换,第一步：在路由器上配置IP路由选择和IP地址。