區域網路安全實驗

1、 配置端口安全

Switch(config)#int f0/1

Switch(config-if)#switchport port-security

               Switchport port-security mac-address 0001.0001.0001

               Switchport port-security maximum 1

               Switchport port-secruity violation shutdown

注意事項：

l         配置安全端口之前必須使用指令switchport mode access将端口設定為access端口。

l         當端口由于違規被關閉時，可以在全局模式下用errdisable recovery 指令将其恢複到UP狀态。

l         在實驗中安全MAC位址清配置為測試主機PC1的真實MAC位址。

2、 配置ARP檢查

Switch(config)#port-security arp-check

Switch(config-if)#switchport port-secruity

               Switchport port-secruity mac-address 0008.0df9.4c64 ip-address 172.16.1.64

               !将攻擊者的MAC位址與其真實的IP位址綁定

l         WinArpSpoofer軟體僅可用于實驗。

3、 配置DHCP監聽

SW1(config)#ip dhcp snooping

SW1(config)#int f0/1

SW1(config-if)#ip dhcp snooping trust

l         DHCP監聽隻能夠配置在實體端口上，不能配置在VLAN接口上。

4、 配置動态ARP檢測

SW2(config)#ip arp inspection

SW2(config)#ip arp inspection vlan 2

! 在VLAN2上啟用DAI

SW2(config)#int f0/24

SW2(config-if)#ip arp inspection trust

! 配置F0/24端口為監控信任端口

l         DAI隻能夠配置在實體端口上，不能配置在VLAN接口上。

l         如果端口所屬的VLAN啟用了DAI，并且為Untrust端口，當端口收到ARP封包後，若查找不到DHCP監聽表項，則丢棄ARP封包，造成網絡中斷。

5、 配置保護端口

Switch(config)#int r f0/1-2

Switch(config-if-range)#switchport protected

! 配置端口F0/1和端口F0/2為保護端口

背景描述：某網絡中，有兩台伺服器屬于同一個VLAN中，并且接入到了一台交換機上。為了安全起見，需要防止這兩台伺服器之間進行通信。

6、 配置端口阻塞

Switch(config)#int f0/3

Switch(config-if)#switchport block unicast

! 配置F0/3為阻塞端口

實驗原理：交換機的端口阻塞是指在特定端口上，阻止廣播、未知目的的MAC單點傳播或未知目的的MAC多點傳播幀從這個端口泛洪出去，這樣不僅節省了帶寬資源，同時也避免了終端裝置收到多餘的資料幀。

7、 配置風暴控制

Switch(config-if)#storm-control broadcast pps 100

! 設定封包速率門檻值為每秒100個封包

l         實際啟用風暴控制的端口所允許通過的流量可能會與配置的門檻值有細微的偏差。

8、 配置系統保護

Switch(config-if)#system-guard enable

Switch(config-if)#system-guard scan-dest-ip-attack-packets 100

! 配置針對目的IP位址變化的掃描的檢測門檻值為每秒100個不同目的的IP的封包

Switch(config-if)#system-guard isolate-time 600

! 配置隔離時間為600s

實驗原理：交換機系統保護特性是一種工作在實體端口的安全機制，它通過監視端口收到的封包的速率判斷是否存在掃描攻擊，并對攻擊IP進行阻斷，保護交換機系統資源。系統保護可以識别兩種攻擊行為：目的IP位址變化的掃描和針對網絡中不存在的IP發送大量封包的攻擊。

9、 配置PortFast

Switch(config-if-range)#spanning-tree portfast

l         僅RSTP與MSTP支援PortFast特性

10、              配置BPDU Guard

Switch(config-if)#spanning-tree bpduguard enable

l         當端口進入“err-disabled”狀态後，端口将被關閉，丢棄所有封包，需要使用errdisable recovery指令手工啟用端口，或者使用errdisable recovery interval time指令設定逾時間隔，此時間間隔過後，端口将自動被啟用。

11、              配置BPDU Filter

Sw2(config)#int f0/1

Sw2(config-if)#spanning-tree bpdufilter enable

Sw2(config-if)#spanning-tree port-fast

! 配置完後PC1無法接收BPDU封包

背景描述：

正常情況下，交換機會向所有啟用的接口發送BPUD封包，以便進行生成樹的選舉與拓撲維護。但是如果交換機的某個端口連接配接的為終端裝置，如PC機、列印機等，而這些裝置無需參與STP計算，是以無需接收BPDU封包。

      本文轉自810105851 51CTO部落格，原文連結：http://blog.51cto.com/4708948/937717，如需轉載請自行聯系原作者