第3章 交换机端口安全

2020年1月30日星期四网络设备配置与管理1第3章交换机端口安全2020年1月30日星期四网络设备配置与管理2学习目标•掌握交换机交换数据的基本原理•掌握交换机端口的安全配置•掌握MAC地址表的建立过程•熟练掌握思科交换机MAC地址表的管理命令•掌握端口安全在网络中的应用2020年1月30日星期四网络设备配置与管理3基本原理•连接在交换机端口上的主机通过地址解析协议ARP相互查询对方网卡的物理地址(又称MAC地址，即MediaAccessControl地址)，以便进行相互间的数据帧的传输。•由于交换机在数据传递过程中不用检查第三层(网络层)的包头信息，而是直接由第二层帧结构中的MAC地址来决定数据的转发目标，因此，数据的交换过程几乎没有软件的参与，从而大大提高了交换进程的速率。2020年1月30日星期四网络设备配置与管理4基本原理•在交换式网络中，各主机的MAC地址是存储在交换机的MAC地址表(也称MAC地址数据库)中的。交换机在工作过程中，会向MAC地址表不断写入新学到的MAC地址。一旦交换机掉电或重新上电后，其内部的MAC地址表会被自动清空或清空后又重新建立。2020年1月30日星期四网络设备配置与管理5MAC地址•MAC地址是固化在网卡内部用于唯一确定网卡身份的标识，是网卡在生产时被永久写入芯片的固定值。•全球的网卡生产厂商按照买得的MAC地址范围制造网卡，因此不会有两块相同MAC地址的网卡。这样，MAC地址就可用做唯一标识设备的地址。•第二层交换过程通过使用MAC地址在低层实现通信寻的，即是说，网络中的数据包最终是通过MAC地址找到目标的。2020年1月30日星期四网络设备配置与管理6局域网的三种帧交换方式•局域网交换机在传送数据时，采用帧交换(FrameSwitching)，该技术包括三种主要的交换方式，即：•存储转发(StoreandForward)•伺机通过(CutThrough)•自由分段(FragmentFree)。2020年1月30日星期四网络设备配置与管理7存储转发•LANswitch复制整个帧到它的缓冲区里。然后计算CRC。帧的长短可能不一样,所以延时根据帧的长短而变化。•如果CRC不正确,帧将被丢弃;如果正确，LANswitch查找硬件目标地址然后转发它们。•交换机需要解读数据帧的目的地址与源地址，并在MAC地址列表中进行适当的过滤。2020年1月30日星期四网络设备配置与管理8存储转发•如果所接收到的数据帧存在错误、太短(小于64B)或太长(大于l518B)，最终都会被抛弃。•采用这种转发方式的交换机在接收数据帧时延迟较大，且越大的数据帧延迟时间越长。2020年1月30日星期四网络设备配置与管理9伺机通过•Cisco称这种模式叫cut-through,fastforward或者realtime模式,使用这种模式的时候，LANswitch只读取到帧的目标地址为止,减少延时,但是不适合于高偏向错误率的网络。•在减少传输延迟的同时也削减了对数据帧的错误检测能力。2020年1月30日星期四网络设备配置与管理10自由分段•fragmentfree(modifiedcut-through):和cut-through类似，但在转发数据之前，过滤有包错误的冲突分段(长度为64B)。这是因为通常认为数据帧的错误总是发生在刚开始的64B内。•该方式的错误检测级别要高于伺机通过交换方式。•是Catalyst1900的默认模式。2020年1月30日星期四网络设备配置与管理11学习情境2020年1月30日星期四网络设备配置与管理12端口安全配置任务计划与设计•设计局域网中的计算机配置192.168.1.0/30网段的地址。图3-2标出了每台计算机的具体IP地址。交换机的名称为switch1。•设计交换机的Fa0/1端口只允许PC1通过。2020年1月30日星期四网络设备配置与管理13任务实施与验证2020年1月30日星期四网络设备配置与管理142020年1月30日星期四网络设备配置与管理15验证网络连通性2020年1月30日星期四网络设备配置与管理16配置交换机端口安全•Switch1ena•Switch1#conft•Switch1(config)#intf0/1•Switch1(config-if)#shutdown•Switch1(config-if)#switchportmodeaccess•Switch1(config-if)#switchportport-security•Switch1(config-if)#switchportport-securitymaximum1•Switch1(config-if)#switchportport-securityviolationshutdown•Switch1(config-if)#switchportport-securitymac-address00D0.BC49.D378•！设定PC1的安全MAC地址。•Switch1(config-if)#noshut2020年1月30日星期四网络设备配置与管理17查看交换机端口安全信息•Switch1#showmac-address-table•MacAddressTable•-------------------------------------------•VlanMacAddressTypePorts•----------------------------•10001.64eb.d81bDYNAMICFa0/2•100d0.bc49.d378STATICFa0/1测试网络连通性2020年1月30日星期四网络设备配置与管理18思考题•1．简述MAC地址表建立过程。•2．局域网的三种帧交换方式各自的特点是什么？•3．交换机的某个端口是否只允许一个MAC地址？为什么？2020年1月30日星期四网络设备配置与管理19