交换机的安全配置(Packet Tracer 5.0)
2008-12-29 11:30
567 查看
实验目的:
在本实验中,将学习交换机的安全配置:
1. 掌握访问控制列表ACL的使用
2. 基于端口的传输控制
实验环境:
1.实验的逻辑图如图1:
2. 实验环境描述:
l 三台交换机集联,其中SW3560为核心交换机3560,分支交换机为SW2950
Switch0通过Fastethernet0/1与SW1的Fastethernet0/1相连
Switch1通过Fastethernet0/1与SW1的Fastethernet0/2相连
注意:交换机的集联使用交叉线
实验相关知识:
1. 访问控制列表是应用在路由器和三层交换机接口的指令列表,通过它可以指定哪些数据报可以接收,哪一些需要拒绝。
2. 标准访问列表:
l 定义标准访问列表
access-list access-list-number {permit|deny} source [wildcard mask]
标准访问列表的access-list-number取值范围从1到99;缺省wildcard mask为0.0.0.0
l 在特定接口上启用ACL
ip access-group access-list-number {in|out}
l 在特定接口上禁用ACL
no ip access-group access-list-number {in|out}
3. 扩展访问列表:
l 定义扩展访问列表
Access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination- wildcard [operator port]
[align=left]source-wildcard/ destination- wildcard:通配符掩码,跟源地址/目的地址相对应[/align]
标准访问列表的access-list-number取值范围从100到199;缺省wildcard mask为0.0.0.0
l 在特定接口上启用/禁用ACL与标准访问控制列表一样
4. 命名访问列表:
命名访问列表允许标准、扩展访问列表用名字字符代替数字编号。但是使用该种访问列表,不允许单独删除一条单独列表项,必须删除整个编号访问列表。
①MAC命名访问列表
l 进入命名访问列表配置模式
[align=left]Mac access-list {standard|extended } name[/align]
standard|extended:标准|扩展
l 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则
l 将访问列表应用与接口
MAC access-group name {in|out}
②IP命名访问列表
l 进入命名访问列表配置模式
[align=left]IP access-list {standard|extended } name[/align]
standard|extended:标准|扩展
l 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则
l 将访问列表应用与接口
IP access-group name {in|out}
注意:如果是对三层交换机的接口启用ACL,首先必须将该接口转换为三层交换接口:
no switchport
实验内容:
步骤一 配置计算机pc4可以远程telnet到核心交换机3560
1、 设置SW3560的管理地址为192.168.1.1
2、 开启SW3560的telnet服务
3、 将pc4的IP地址和SW3560的管理地址设置为同一网段192.168.1.2
4、 进行测试
步骤二 仅允许来自pc4的用户通过telnet访问交换机:
1、 定义访问控制列表。
2、 (一个是标准一个是扩展都可以用)
如:Switch(config)#access-list 1 permit 192.168.1.2 0.0.0.0
Switch(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 any eq 23
2、 引用访问控制列表。
3、
如:Switch (config)#line vty 0
Switch(config-line)#access-class 1/100 in
Switch(config-line)#login
Switch(config-line)#password 123
Switch(config-line)#exit
3、进行测试
因为任何Telnet到交换机或路由器的用户都使用vty线,因此可以创建一个标准访问列表或扩展访问列表,然后使用access-class命令将其应用到vty线上。
(注:这下面的在Packet Tracer 5.0就不能配置了发上来让大家熟悉下)
[align=left]步骤三 使用访问控制策略限制控制192.168.2.0网段用户在每周的上班时间8:00--16:00才可以和web服务器进行相互通信(该步骤需要在真实环境中完成)[/align]
1、配置时间段:使用time-range命令。
Switch(config)#time-range ourwokingtime
Switch(config-time-range)#periodic weekdays 8:00 to 17:00
(Switch(config-time-range)#absolute start 08:00 1 november 2008 end 17:00 31 march 2009)
2、2、定义访问控制列表
如:Switch (config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 time-range ourworkingtime
[align=left]3、3、引用访问控制列表[/align]
4、进行测试
[align=left]步骤四 基于端口的传输控制(MAC地址与端口绑定)[/align]
[align=left]1、 将swich0的F0/3端口与pc1的MAC地址绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉[/align]
switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport mode access /指定端口模式。
switch(config-if)#switchport port-security mac-address pc1的MAC /配置MAC地址。
switch(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
switch(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2、进行测试
[align=left] [/align]
[align=left]步骤五 基于端口的传输控制(通过MAC地址限制端口流量)[/align]
1、 允许SW3560的F0/1口最多通过10个MAC地址,超过10时,来自新的主机的数据帧将丢失。
switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk /配置端口模式为TRUNK。
switch(config-if)#switchport port-security maximum 10 /允许此端口通过的最大MAC地址数目为10。
s
witch(config-if)#switchport port-security violation protect /当主机MAC地址数目超过10时,交换机继续工作,但来自新的主机的数据帧将丢失。
[align=left]2、 进行测试[/align]
[align=left] [/align]
[align=left]上课时的实验,还有很多不足的地方,望高手多多指点···[/align]
[align=center] [/align]
在本实验中,将学习交换机的安全配置:
1. 掌握访问控制列表ACL的使用
2. 基于端口的传输控制
实验环境:
1.实验的逻辑图如图1:
2. 实验环境描述:
l 三台交换机集联,其中SW3560为核心交换机3560,分支交换机为SW2950
Switch0通过Fastethernet0/1与SW1的Fastethernet0/1相连
Switch1通过Fastethernet0/1与SW1的Fastethernet0/2相连
注意:交换机的集联使用交叉线
交换机 | 连接网段 | 子网掩码 |
Switch0 | 192.168.2.0 | 255.255.255.0 |
Switch1 | 192.168.3.0 | 255.255.255.0 |
1. 访问控制列表是应用在路由器和三层交换机接口的指令列表,通过它可以指定哪些数据报可以接收,哪一些需要拒绝。
2. 标准访问列表:
l 定义标准访问列表
access-list access-list-number {permit|deny} source [wildcard mask]
标准访问列表的access-list-number取值范围从1到99;缺省wildcard mask为0.0.0.0
l 在特定接口上启用ACL
ip access-group access-list-number {in|out}
l 在特定接口上禁用ACL
no ip access-group access-list-number {in|out}
3. 扩展访问列表:
l 定义扩展访问列表
Access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination- wildcard [operator port]
[align=left]source-wildcard/ destination- wildcard:通配符掩码,跟源地址/目的地址相对应[/align]
标准访问列表的access-list-number取值范围从100到199;缺省wildcard mask为0.0.0.0
l 在特定接口上启用/禁用ACL与标准访问控制列表一样
4. 命名访问列表:
命名访问列表允许标准、扩展访问列表用名字字符代替数字编号。但是使用该种访问列表,不允许单独删除一条单独列表项,必须删除整个编号访问列表。
①MAC命名访问列表
l 进入命名访问列表配置模式
[align=left]Mac access-list {standard|extended } name[/align]
standard|extended:标准|扩展
l 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则
l 将访问列表应用与接口
MAC access-group name {in|out}
②IP命名访问列表
l 进入命名访问列表配置模式
[align=left]IP access-list {standard|extended } name[/align]
standard|extended:标准|扩展
l 在该模式下,输入测试条件
switch(config{std|ext-}nacl)#{permit|deny} {test condition}
test condition:根据standard|extended的选择,使用标准访问列表或扩展访问列表的相应定义规则
l 将访问列表应用与接口
IP access-group name {in|out}
注意:如果是对三层交换机的接口启用ACL,首先必须将该接口转换为三层交换接口:
no switchport
实验内容:
步骤一 配置计算机pc4可以远程telnet到核心交换机3560
1、 设置SW3560的管理地址为192.168.1.1
2、 开启SW3560的telnet服务
3、 将pc4的IP地址和SW3560的管理地址设置为同一网段192.168.1.2
4、 进行测试
步骤二 仅允许来自pc4的用户通过telnet访问交换机:
1、 定义访问控制列表。
2、 (一个是标准一个是扩展都可以用)
如:Switch(config)#access-list 1 permit 192.168.1.2 0.0.0.0
Switch(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 any eq 23
2、 引用访问控制列表。
3、
如:Switch (config)#line vty 0
Switch(config-line)#access-class 1/100 in
Switch(config-line)#login
Switch(config-line)#password 123
Switch(config-line)#exit
3、进行测试
因为任何Telnet到交换机或路由器的用户都使用vty线,因此可以创建一个标准访问列表或扩展访问列表,然后使用access-class命令将其应用到vty线上。
(注:这下面的在Packet Tracer 5.0就不能配置了发上来让大家熟悉下)
[align=left]步骤三 使用访问控制策略限制控制192.168.2.0网段用户在每周的上班时间8:00--16:00才可以和web服务器进行相互通信(该步骤需要在真实环境中完成)[/align]
1、配置时间段:使用time-range命令。
Switch(config)#time-range ourwokingtime
Switch(config-time-range)#periodic weekdays 8:00 to 17:00
(Switch(config-time-range)#absolute start 08:00 1 november 2008 end 17:00 31 march 2009)
2、2、定义访问控制列表
如:Switch (config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 time-range ourworkingtime
[align=left]3、3、引用访问控制列表[/align]
4、进行测试
[align=left]步骤四 基于端口的传输控制(MAC地址与端口绑定)[/align]
[align=left]1、 将swich0的F0/3端口与pc1的MAC地址绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉[/align]
switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport mode access /指定端口模式。
switch(config-if)#switchport port-security mac-address pc1的MAC /配置MAC地址。
switch(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
switch(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2、进行测试
[align=left] [/align]
[align=left]步骤五 基于端口的传输控制(通过MAC地址限制端口流量)[/align]
1、 允许SW3560的F0/1口最多通过10个MAC地址,超过10时,来自新的主机的数据帧将丢失。
switch#conf t
switch(config)#int f0/1
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk /配置端口模式为TRUNK。
switch(config-if)#switchport port-security maximum 10 /允许此端口通过的最大MAC地址数目为10。
s
witch(config-if)#switchport port-security violation protect /当主机MAC地址数目超过10时,交换机继续工作,但来自新的主机的数据帧将丢失。
[align=left]2、 进行测试[/align]
[align=left] [/align]
[align=left]上课时的实验,还有很多不足的地方,望高手多多指点···[/align]
[align=center] [/align]
相关文章推荐
- Packet Tracer 5.0实验(一) 交换机的基本配置与管理
- Packet Tracer 5.0实验(三) 交换机划分VLAN配置
- Packet Tracer 5.0实验(三) 交换机划分VLAN配置
- Packet Tracer 5.0实验(三) 交换机划分VLAN配置
- Packet Tracer 5.0实验(一) 交换机的基本配置与管理
- Packet Tracer 5.0实验(一) 交换机的基本配置与管理
- Packet Tracer 5.0实验(三) 交换机划分VLAN配置
- Packet Tracer 5.0实验(三) 交换机划分VLAN配置
- 交换机端口安全配置
- 安全配置交换机端口提高网络安全性
- Packet Tracer 5.0实验(二) 交换机的Telnet远程登录设置
- Packet Tracer 5.0实验(八) 路由器静态路由配置
- Cisco PT模拟实验(7) 交换机的端口安全配置
- 在Packet Tracer中交换机划分VLAN配置
- Packet Tracer 5.0实验(九) 路由器RIP动态路由配置
- PacketTracer 5.0实验(一) 交换机的基本配置与管理
- 交换机端口安全配置
- Packet Tracer 5.0建构CCNA实验攻略(10)――配置单区域OSPF
- 交换机端口安全总结(配置实例)
- 交换机端口安全配置实验(MAC动态绑定和静态绑定)