网络安全运行与维护 教学课件 M5-3 实施接入层安全技术.ppt

《网络安全运行与维护 教学课件 M5-3 实施接入层安全技术.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、《网络安全运行与维护》模块五网络基础设备的安全配置技术总体概述安全管理路由器与交换机；实施身份验证与网络接入控制；实施安全路由协议的；配置访问控制；实施接入层安全；能力单元3实施接入层安全技术任务描述针对上面所讲诉的IT企业的现状，配置和管理路由器，使其在公司网络运营中起到一定的作用。任务分析在相对比较危险的网络中，为了保证网络管理员的正常网络设备管理我们需要增加远程访问的安全连接。为了保证2层网络内部的地址有效性，避免ARP欺骗，我们需要增加关于ARP检查、DHCP监听等内容。为了避免单点失败并避免网络冗余链路

2、可能带来的负面效应，我们需要开启STP相关内容。1．配置端口安全2．STP、风暴控制、系统保护3．配置ARP检查4．配置DHCP监听相关知识虽然DHCP为我们的网络带来了极大的便利，但是就像很多其他协议一样，由于DHCP自身不存在任何安全机制，它也会被攻击者利用，产生网络安全问题。攻击者可以在网络中私自架设DHCP服务器，当DHCP客户端请求IP地址等信息时，网络中收到此报文的DHCP服务器都会响应一个DHCPOFFER报文，但是客户端通常只会选择收到的第一个DHCPOFFER报文。如果伪DHCP的DHCPOFF

3、ER报文最先到达客户端，那么客户端将接收它，并且后续将使用伪DHCP服务器提供的IP地址等信息，导致客户端不能正常访问网络资源。这就是我们常说的伪DHCP攻击，也称作无赖（Rogue）DHCP攻击，相关知识DHCP监听（DHCPSnooping）是交换机中的一种安全特性，它能够通过过滤网络中接入的伪DHCP（非法的、不可信的）服务器发送的DHCP报文增强网络安全性。DHCP监听还可以检查DHCP客户端发送的DHCP报文的合法性，防止DHCPDoS攻击。当在交换机上启用了DHCP监听特性后，交换机将检查收到的所有D

4、HCP报文。通过读取DHCP报文中的内容，DHCP监听建立并维护着一个DHCP监听数据库，也称为DHCP监听绑定表，表中包含着客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息。相关知识STP是在网络中避免第二层桥接环路，并给交换网络提供了冗余性。虽然STP已经在网络中得到了广泛的部署，但它自身也存在着一些限制，其中最为突出的就是收敛速度慢，通常要花费至少30s的时间进行收敛，才能使网络拓扑达到稳定状态。但是对于现在的网络，显然30s的时间就太漫长了，例如某些路由协议，如OSPF、IS-IS

5、等，都可以在短短的几秒内就完成收敛，显然STP的过长的收敛时间已经不能满足现在网络的需求，以及现代网络中的高可用性（HA）标准。为了克服STP的这些限制，一些STP的增强和安全机制被开发了出来，包括快速端口（PortFast）、BPDU防护（BPDUGuard）和BPDU过滤（BPDUFilter）。任务实施拓扑结构任务实施项目设备计算机（2台）；二层交换机（2台）；网络线（若干根）；三层交换机（3台）；服务器（2台）；。操作步骤〖步骤1〗配置接入层安全第一步：在交换机SW-C和SW-D配置端口安全第二步：在交换

6、机SW-C和SW-D配置ARP检查第三步：配置DHCP监听第四步：配置DAI第五步：配置端口阻塞第六步：配置风暴控制第七步：配置系统保护操作步骤〖步骤2〗配置STP安全机制第一步：启动STP协议第二步：配置STP优先级第三步：配置BPDUGuard第四步：配置BPDUFilter总结本项目主要是完成配置一个网络中的接入层的安全配置。用来学习并掌握如何满足接入层网络安全需求。内容包括：配置端口安全配置ARP检查配置DHCP监听配置DAI配置端口阻塞配置风暴控制配置系统保护