实验目的:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

在本实验中,将学习交换机的安全配置:

1. 掌握访问控制列表ACL的使用

2. 基于端口的传输控制

实验环境:

1.实验的逻辑图如图1:

TSN交换机 系统架构_IP

2 . 实验环境描述:

l      三台交换机集联,其中 SW3560 为核心交换机 3560 ,分支交换机为 SW2950

Switch0 通过 Fastethernet0/1 与 SW1 的 Fastethernet0/1 相连

Switch1 通过 Fastethernet0/1 与 SW1 的 Fastethernet0/2 相连

注意:交换机的集联使用交叉线

交换机

连接网段

子网掩码

Switch0

192.168.2.0

255.255.255.0

Switch1

192.168.3.0

255.255.255.0

 

实验相关知识:

1.     访问控制列表是应用在路由器和三层交换机接口的指令列表,通过它可以指定哪些数据报可以接收,哪一些需要拒绝。

2.   标准访问列表:

l        定义标准访问列表

access-list access-list-number {permit|deny} source [wildcard mask]

标准访问列表的access-list-number取值范围从1到99;缺省wildcard mask为0.0.0.0

l        在特定接口上启用ACL

ip access-group access-list-number {in|out}

l        在特定接口上禁用ACL

no ip access-group access-list-number {in|out}

3.   扩展访问列表:

l        定义扩展访问列表

Access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination- wildcard [operator port]

source-wildcard/ destination- wildcard:通配符掩码,跟源地址/目的地址相对应

 

标准访问列表的access-list-number取值范围从100到199;缺省wildcard mask为0.0.0.0

l        在特定接口上启用/禁用ACL与标准访问控制列表一样

4.   命名访问列表:

命名访问列表允许标准、扩展访问列表用名字字符代替数字编号。但是使用该种访问列表,不允许单独删除一条单独列表项,必须删除整个编号访问列表。

①MAC命名访问列表

l         进入命名访问列表配置模式

Mac access-list {standard|extended } name

    standard| extended:标准|扩展

l         在该模式下,输入测试条件

switch(config{std|ext-}nacl)#{permit|deny} {test condition}

test condition:根据 standard| extended的选择,使用标准访问列表或扩展访问列表的相应定义规则

l         将访问列表应用与接口

MAC access-group name {in|out}

②IP命名访问列表

l         进入命名访问列表配置模式

IP access-list {standard|extended } name

    standard| extended:标准|扩展

l         在该模式下,输入测试条件

switch(config{std|ext-}nacl)#{permit|deny} {test condition}

test condition:根据 standard| extended的选择,使用标准访问列表或扩展访问列表的相应定义规则

l         将访问列表应用与接口

IP access-group name {in|out}

注意: 如果是对三层交换机的接口启用ACL,首先必须将该接口转换为三层交换接口:

no switchport

 

实验内容:

步骤一 配置计算机pc4可以远程telnet到核心交换机3560

1、  设置SW3560的管理地址为192.168.1.1

2、  开启SW3560的telnet服务

3、  将pc4的IP地址和SW3560的管理地址设置为同一网段192.168.1.2

4、  进行测试

 

步骤二 仅允许来自pc4的用户通过telnet访问交换机:

 

1、  定义访问控制列表。

2、 (一个是标准一个是扩展都可以用)

如: Switch(config)#access-list 1 permit 192.168.1.2 0.0.0.0

Switch(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 any eq 23

2、  引用访问控制列表。

3、  

如: Switch (config)#line vty 0

Switch(config-line)#access-class 1/100 in

Switch(config-line)#login

Switch(config-line)#password 123

Switch(config-line)#exit

3、进行测试

因为任何Telnet到交换机或路由器的用户都使用vty线,因此可以创建一个标准访问列表或扩展访问列表,然后使用access-class命令将其应用到vty线上。

 

(注:这下面的在Packet Tracer 5.0就不能配置了发上来让大家熟悉下)

步骤三 使用访问控制策略限制控制192.168.2.0网段用户在每周的上班时间8:00--16:00才可以和web服务器进行相互通信(该步骤需要在真实环境中完成)

1、 配置时间段 : 使用 time-range 命令。

Switch(config)#time-range ourwokingtime

Switch(config-time-range)#periodic weekdays 8:00 to 17:00

(Switch(config-time-range)#absolute start 08:00 1 november 2008 end 17:00 31 march 2009)

2 、 2 、 定义访问控制列表

如:Switch (config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 time-range ourworkingtime

3 、 3 、 引用访问控制列表

4 、 进行测试

 

步骤四 基于端口的传输控制(MAC地址与端口绑定)

1、  将 swich0 的 F0/3 端口与 pc1 的 MAC 地址绑定,当发现主机的 MAC 地址与交换机上指定的 MAC 地址不同时,交换机相应的端口将 down 掉

switch#conf t

 

switch(config)#int f0/1

 

switch(config-if)#switchport mode access / 指定端口模式。

switch(config-if)#switchport port-security mac-address pc1 的 MAC / 配置 MAC 地址。

switch(config-if)#switchport port-security maximum 1 / 限制此端口允许通过的 MAC 地址数为 1 。

switch(config-if)#switchport port-security violation shutdown / 当发现与上述配置不符时,端口 down 掉。

 

2 、 进行测试

 

步骤五 基于端口的传输控制(通过MAC地址限制端口流量)

1、  允许 SW3560 的 F0/1 口最多通过 10 个 MAC 地址,超过 10 时,来自新的主机的数据帧将丢失。

switch#conf t

 

switch(config)#int f0/1

 

switch(config-if)#switchport trunk encapsulation dot1q

 

switch(config-if)#switchport mode trunk / 配置端口模式为 TRUNK 。

 

switch(config-if)#switchport port-security maximum 10 / 允许此端口通过的最大 MAC 地址数目为 10 。

s

witch(config-if)#switchport port-security violation protect / 当主机 MAC 地址数目超过 10 时,交换机继续工作,但来自新的主机的数据帧将丢失。

2、  进行测试

上课时的实验,还有很多不足的地方,望高手多多指点···

转载于:https://blog.51cto.com/19880718/123217