10個局域網安全實驗

1、 配置端口安全

Switch(config)#int f0/1

Switch(config-if)#switchport port-security

               Switchport port-security mac-address 0001.0001.0001

               Switchport port-security maximum 1

               Switchport port-secruity violation shutdown

注意事項：

l         配置安全端口之前必須使用命令switchport mode access將端口設置為access端口。

l         當端口由于違規被關閉時，可以在全局模式下用errdisable recovery 命令將其恢復到UP狀態。

l         在實驗中安全MAC地址清配置為測試主機PC1的真實MAC地址。

2、 配置動態ARP檢測

SW2(config)#ip arp inspection

SW2(config)#ip arp inspection vlan 2

! 在VLAN2上啟用DAI

SW2(config)#int f0/24

SW2(config-if)#ip arp inspection trust

! 配置F0/24端口為監控信任端口

注意事項：

l         DHCP監聽只能夠配置在物理端口上，不能配置在VLAN接口上。

l         DAI只能夠配置在物理端口上，不能配置在VLAN接口上。

l         如果端口所屬的VLAN啟用了DAI，并且為Untrust端口，當端口收到ARP報文后，若查找不到DHCP監聽表項，則丟棄ARP報文，造成網絡中斷。

l         WinArpSpoofer軟件僅可用于實驗。

3、 配置端口阻塞

Switch(config)#int f0/3

Switch(config-if)#switchport block unicast

! 配置F0/3為阻塞端口

實驗原理：交換機的端口阻塞是指在特定端口上，阻止廣播、未知目的的MAC單播或未知目的的MAC組播幀從這個端口泛洪出去，這樣不僅節省了帶寬資源，同時也避免了終端設備收到多余的數據幀。

4、 配置系統保護

Switch(config)#int f0/1

Switch(config-if)#system-guard enable

Switch(config-if)#system-guard scan-dest-ip-attack-packets 100

! 配置針對目的IP地址變化的掃描的檢測閾值為每秒100個不同目的的IP的報文

Switch(config-if)#system-guard isolate-time 600

! 配置隔離時間為600s

實驗原理：交換機系統保護特性是一種工作在物理端口的安全機制，它通過監視端口收到的報文的速率判斷是否存在掃描攻擊，并對攻擊IP進行阻斷，保護交換機系統資源。系統保護可以識別兩種攻擊行為：目的IP地址變化的掃描和針對網絡中不存在的IP發送大量報文的攻擊。

5、 配置風暴控制

Switch(config)#int f0/1

Switch(config-if)#storm-control broadcast pps 100

! 設置報文速率閾值為每秒100個報文

注意事項：

l         實際啟用風暴控制的端口所允許通過的流量可能會與配置的閾值有細微的偏差。

6、 配置ARP檢查

Switch(config)#port-security arp-check

Switch(config)#int f0/1

Switch(config-if)#switchport port-secruity

               Switchport port-secruity mac-address 0008.0df9.4c64 ip-address 172.16.1.64

               !將攻擊者的MAC地址與其真實的IP地址綁定

注意事項：

l         WinArpSpoofer軟件僅可用于實驗。

7、              配置BPDU Guard

Switch(config)#int f0/1

Switch(config-if)#spanning-tree bpduguard enable

注意事項：

l         當端口進入“err-disabled”狀態后，端口將被關閉，丟棄所有報文，需要使用errdisable recovery命令手工啟用端口，或者使用errdisable recovery interval time命令設置超時間隔，此時間間隔過后，端口將自動被啟用。

8、 配置DHCP監聽

SW1(config)#ip dhcp snooping

SW1(config)#int f0/1

SW1(config-if)#ip dhcp snooping trust

注意事項：

l         DHCP監聽只能夠配置在物理端口上，不能配置在VLAN接口上。

9、 配置保護端口

Switch(config)#int r f0/1-2

Switch(config-if-range)#switchport protected

! 配置端口F0/1和端口F0/2為保護端口

背景描述：某網絡中，有兩臺服務器屬于同一個VLAN中，并且接入到了一臺交換機上。為了安全起見，需要防止這兩臺服務器之間進行通信。

10、 配置PortFast

Switch(config)#int r f0/1-2

Switch(config-if-range)#spanning-tree portfast

注意事項：

l         僅RSTP與MSTP支持PortFast特性

背景描述：

正常情況下，交換機會向所有啟用的接口發送BPUD報文，以便進行生成樹的選舉與拓撲維護。但是如果交換機的某個端口連接的為終端設備，如PC機、打印機等，而這些設備無需參與STP計算，所以無需接收BPDU報文。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]