項(xiàng)目10基于端口安全的財(cái)務(wù)部網(wǎng)絡(luò)組建正月十六工作室

出品項(xiàng)目描述相關(guān)知識(shí)項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)施項(xiàng)目驗(yàn)證項(xiàng)目拓展目錄項(xiàng)目描述項(xiàng)目描述Jan16公司的開發(fā)部為重要部門，該部門的所有員工都使用指定的計(jì)算機(jī)工作，為防止員工或訪客使用個(gè)人計(jì)算機(jī)接入網(wǎng)絡(luò)，將使用基于端口安全的策略組建開發(fā)部網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)鋱D如圖10-1所示，具體要求如下。（1）開發(fā)部采用華為可網(wǎng)管交換機(jī)作為接入設(shè)備。（2）出于安全考慮，需要在交換機(jī)的端口上綁定指定計(jì)算機(jī)的MAC地址，防止非法計(jì)算機(jī)的接入。（3）計(jì)算機(jī)的IP地址、MAC地址和接入交換機(jī)的端口信息如圖10-1所示。項(xiàng)目描述圖10-1網(wǎng)絡(luò)拓?fù)鋱D相關(guān)知識(shí)1.ARPIP數(shù)據(jù)包通過以太網(wǎng)發(fā)送，但以太網(wǎng)設(shè)備并不能識(shí)別IP地址，它們是以MAC地址傳輸?shù)?。因此，必須把IP目的地址轉(zhuǎn)換成MAC目的地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。ARP（AddressResolutionProtocol）協(xié)議是網(wǎng)絡(luò)層的協(xié)議，用于將IP地址解析為的MAC地址。2．ARP的工作原理每個(gè)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè)ARP列表，以記錄IP地址和MAC地址之間的對(duì)應(yīng)關(guān)系。主機(jī)（網(wǎng)絡(luò)接口）在新加入網(wǎng)絡(luò)時(shí)（也可能只是MAC地址發(fā)生變化，接口重啟等），會(huì)發(fā)送ARP報(bào)文，把自己的IP地址與MAC地址的映射關(guān)系廣播給其他主機(jī)。網(wǎng)絡(luò)上的主機(jī)接收到ARP報(bào)文時(shí)，會(huì)更新自己的ARP緩沖區(qū)。將新的映射關(guān)系更新到自己的ARP表中。具體工作過程如下。（1）當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包發(fā)送到目的主機(jī)時(shí)，會(huì)檢查自己的ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址，若有，則直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；若沒有，則向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包中包括源主機(jī)的IP地址、硬件地址，以及目的主機(jī)的IP地址。2．ARP的工作原理（2）網(wǎng)絡(luò)中所有的主機(jī)都收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。若不相同，則忽略此數(shù)據(jù)包；若相同，則該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，那么將其覆蓋，然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址。（3）源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始進(jìn)行數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，那么表示ARP查詢失敗。3．ARP報(bào)頭結(jié)構(gòu)ARP的報(bào)頭結(jié)構(gòu)，如表10-1所示。表10-1ARP報(bào)頭結(jié)構(gòu)硬件類型協(xié)議類型硬件地址長(zhǎng)度協(xié)議長(zhǎng)度操作類型源硬件地址（0-3字節(jié)）源硬件地址（4-5字節(jié)）源IP地址（0-1字節(jié)）源IP地址（2-3字節(jié)）目的硬件地址（0-1字節(jié)）目的硬件地址（2-5字節(jié)）目的IP地址（0-3字節(jié)）3．ARP報(bào)頭結(jié)構(gòu)硬件類型：指明了發(fā)送方想知道的硬件端口類型，以太網(wǎng)的值為1。協(xié)議類型：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進(jìn)制）。硬件地址長(zhǎng)度和協(xié)議長(zhǎng)度：指明了硬件地址和高層協(xié)議地址的長(zhǎng)度，這樣ARP報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用。操作類型：用來表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2，RARP請(qǐng)求為3，RARP響應(yīng)為4。源硬件地址（0-3字節(jié)）：源主機(jī)硬件地址的前3個(gè)字節(jié)。源硬件地址（4-5字節(jié)）：源主機(jī)硬件地址的后3個(gè)字節(jié)。源IP地址（0-1字節(jié)）：源主機(jī)IP地址的前2個(gè)字節(jié)。源IP地址（2-3字節(jié)）：源主機(jī)IP地址的后2個(gè)字節(jié)。目的硬件地址（0-1字節(jié)）：目的主機(jī)硬件地址的前2個(gè)字節(jié)。目的硬件地址（2-5字節(jié)）：目的主機(jī)硬件地址的后4個(gè)字節(jié)。目的IP地址（0-3字節(jié)）：目的主機(jī)的IP地址。4．端口安全在對(duì)接入用戶的安全性要求較高的網(wǎng)絡(luò)中，可以配置端口安全功能，將端口學(xué)習(xí)到的MAC地址轉(zhuǎn)換為安全MAC地址，端口學(xué)習(xí)的最大MAC數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址，只允許學(xué)習(xí)到MAC地址的設(shè)備通信?；蛘咄ㄟ^手動(dòng)配置將端口和MAC地址一一對(duì)應(yīng)。這樣可以阻止其他非信任用戶通過本端口和交換機(jī)通信，提高設(shè)備與網(wǎng)絡(luò)的安全性。端口安全一般應(yīng)用在接入層設(shè)備，通過配置端口安全可以防止仿冒用戶從其他端口發(fā)起攻擊。在接入層交換機(jī)的每個(gè)端口都開啟端口安全功能，并綁定接入用戶的MAC地址與VLAN信息，當(dāng)有非法用戶通過已配置端口安全的端口接入網(wǎng)絡(luò)時(shí)，交換機(jī)會(huì)查找對(duì)應(yīng)的MAC地址表，若發(fā)現(xiàn)非法用戶的MAC地址與表中的不符，則將數(shù)據(jù)包丟棄。項(xiàng)目規(guī)劃設(shè)計(jì)10.3項(xiàng)目規(guī)劃設(shè)計(jì)MAC地址是計(jì)算機(jī)的唯一物理標(biāo)識(shí)，可以在交換機(jī)對(duì)應(yīng)的端口上進(jìn)行綁定，非綁定的MAC地址將無法接入到網(wǎng)絡(luò)中。查看MAC地址的方法有如下幾種。（1）在計(jì)算機(jī)中執(zhí)行【ipconfig/all】命令即可查看本機(jī)的MAC地址。（2）在計(jì)算機(jī)中執(zhí)行【ARP-a】命令可以查看鄰近計(jì)算機(jī)的MAC地址和IP地址。（3）在交換機(jī)上執(zhí)行【displaymac-address】命令可以查看對(duì)應(yīng)端口上的MAC地址。在進(jìn)行端口綁定時(shí)，需要查看兩個(gè)信息，一個(gè)是計(jì)算機(jī)的MAC地址，另一個(gè)是計(jì)算機(jī)接入的端口。因此，可以先從計(jì)算機(jī)上查看本機(jī)的MAC地址，然后從交換機(jī)上查看MAC地址對(duì)應(yīng)的端口，最后進(jìn)行MAC地址和端口的綁定。配置步驟如下。（1）登記交換機(jī)端口需要綁定的計(jì)算機(jī)MAC地址。（2）開啟該交換機(jī)端口的端口安全功能并綁定終端的MAC地址。端口規(guī)劃表1和IP地址規(guī)劃表1如表10-2和表10-3所示。10.3項(xiàng)目規(guī)劃設(shè)計(jì)表10-3地址規(guī)劃計(jì)算機(jī)IP地址MAC地址PC1192.168.10.1/2454-89-98-CA-03-58PC2192.168.10.2/2454-89-98-6F-0A-10PC3192.168.10.3/2454-89-98-AE-46-88本端設(shè)備端口號(hào)對(duì)端設(shè)備SW1E0/0/1PC1SW1E0/0/2PC2SW1E0/0/3PC3表10-2端口規(guī)劃項(xiàng)目實(shí)施任務(wù)10-1登記交換機(jī)端口

需要綁定的計(jì)算機(jī)MAC地址任務(wù)10-1查看計(jì)算機(jī)本地MAC地址任務(wù)描述根據(jù)表10-2為PC1、PC2及PC3配置好相應(yīng)的IP地址后，查看MAC地址。任務(wù)實(shí)施（1）PC1的IP地址配置結(jié)果如圖10-2所示。同理，完成其他計(jì)算機(jī)的IP地址配置。圖10-2PC1I地址配置任務(wù)10-1查看計(jì)算機(jī)本地MAC地址（2）在PC1上使用【ipconfig/all】命令查看MAC地址配置，配置命令如下。PC1>ipconfig/all//顯示本機(jī)TCP/IP配置的詳細(xì)信息

本地連接:

連接特定的DNS后綴.......:

描述...............:RealtekUSBGbEFamilyController

物理地址.............:54-89-98-CA-03-58DHCP已啟用...........:否

自動(dòng)配置已啟用..........:是IPv4地址............:192.168.10.1(首選)

子網(wǎng)掩碼............:255.255.255.0

默認(rèn)網(wǎng)關(guān).............:TCPIP上的NetBIOS.......:已啟用任務(wù)10-1查看計(jì)算機(jī)本地MAC地址3.在PC2上使用【ipconfig/all】命令查看MAC地址配置，配置命令如下。PC2>ipconfig/all//顯示本機(jī)TCP/IP配置的詳細(xì)信息

本地連接:

連接特定的DNS后綴.......:

描述...............:RealtekUSBGbEFamilyController

物理地址.............:54-89-98-6F-0A-10DHCP已啟用...........:否

自動(dòng)配置已啟用..........:是IPv4地址............:192.168.10.2(首選)

子網(wǎng)掩碼............:255.255.255.0

默認(rèn)網(wǎng)關(guān).............:TCPIP上的NetBIOS.......:已啟用任務(wù)10-1查看計(jì)算機(jī)本地MAC地址4.在PC3上使用【ipconfig/all】命令查看MAC地址配置，配置命令如下。PC3>ipconfig/all//顯示本機(jī)TCP/IP配置的詳細(xì)信息

本地連接:

連接特定的DNS后綴.......:

描述...............:RealtekUSBGbEFamilyController

物理地址.............:54-89-98-AE-46-88DHCP已啟用...........:否

自動(dòng)配置已啟用..........:是IPv4地址............:192.168.10.3(首選)

子網(wǎng)掩碼............:255.255.255.0

默認(rèn)網(wǎng)關(guān).............:TCPIP上的NetBIOS.......:已啟用任務(wù)10-1查看計(jì)算機(jī)本地MAC地址任務(wù)驗(yàn)證待PC1、PC2和PC3相互通信后，在SW1上使用【displaymac-address】命令查看交換機(jī)與計(jì)算機(jī)之間連接的端口對(duì)應(yīng)的MAC地址，配置命令如下?？梢钥吹?，交換機(jī)在Eth0/0/1~Eth0/0/3端口均動(dòng)態(tài)學(xué)習(xí)到了MAC地址。<Huawei>system-view//進(jìn)入系統(tǒng)視圖[Huawei]sysnameSW1//將設(shè)備名稱更改為SW1[SW1][SW1]displaymac-address//查看MAC地址表項(xiàng)MACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-98ca-03581--Eth0/0/1dynamic0/-5489-986f-0a101--Eth0/0/2dynamic0/-5489-98ae-46881--Eth0/0/3dynamic0/--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=3任務(wù)10-2開啟該交換機(jī)端口的端口安全功能并綁定終端MAC地址任務(wù)10-2開啟該交換機(jī)端口的端口安全，

并綁定對(duì)應(yīng)的MAC地址任務(wù)描述在交換機(jī)端口上打開端口安全功能，將MAC地址綁定到對(duì)應(yīng)的端口中并在vlan1上有效。任務(wù)實(shí)施在SW1上進(jìn)入對(duì)應(yīng)的端口內(nèi)并開啟端口安全功能，將MAC地址綁定到對(duì)應(yīng)的端口中，使其在VLAN1上生效。執(zhí)行【port-securityenable】命令配置端口安全功能后，該端口學(xué)習(xí)到的MAC地址變?yōu)榘踩珓?dòng)態(tài)MAC?！緋ort-securitymac-addresssticky】命令用來開啟端口MAC地址綁定功能。執(zhí)行【port-securitymac-addresssticky】命令后，可以執(zhí)行【port-securitymac-addressstickymac-addressvlanvlan-id】命令手動(dòng)配置一條MAC地址綁定表項(xiàng)。配置命令如下。[SW1]interfaceEth0/0/1//進(jìn)入Eth0/0/1端口[SW1-Ethernet0/0/1]port-securityenable//開啟端口安全功能

[SW1-Ethernet0/0/1]port-securitymac-addresssticky//開啟端口MAC地址綁定功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky5489-98ca-0358vlan1//配置端口綁定的MAC地址為5489-98ca-0358，VLAN為1[SW1-Ethernet0/0/1]quit//退出[SW1]interfaceEth0/0/2[SW1-Ethernet0/0/2]port-securityenable[SW1-Ethernet0/0/2]port-securitymac-addresssticky[SW1-Ethernet0/0/2]port-securitymac-addresssticky5489-986f-0a10vlan1[SW1-Ethernet0/0/2]quit[SW1]interfaceEth0/0/3[SW1-Ethernet0/0/3]port-securityenable[SW1-Ethernet0/0/3]port-securitymac-addresssticky[SW1-Ethernet0/0/3]port-securitymac-addresssticky5489-98ae-4688vlan1[SW1-Ethernet0/0/3]quit任務(wù)10-2開啟該交換機(jī)端口的端口安全，

并綁定對(duì)應(yīng)的MAC地址任務(wù)10-2開啟該交換機(jī)端口的端口安全，

并綁定對(duì)應(yīng)的MAC地址任務(wù)驗(yàn)證在SW1上使用【displaymac-address】命令查看交換機(jī)與計(jì)算機(jī)之間連接的端口的類型是否變?yōu)閟ticky，配置命令如下。可以看到，各MAC地址表項(xiàng)的類型已變?yōu)閟ticky。[SW1]displaymac-address//查看MAC地址表項(xiàng)MACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel----------------------------------------------------------------------------5489-98ae-46881--Eth0/0/3sticky-5489-98ca-03581--Eth0/0/1sticky-5489-986f-0a101--Eth0/0/2sticky-----------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=3項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證1．測(cè)試計(jì)算機(jī)的互通性（1）通過【Ping】命令測(cè)試內(nèi)部的通信情況。使用PC1PingPC2，配置命令如下。結(jié)果顯示PC1和PC2可以相互通信。PC1>ping192.168.10.2

Ping192.168.10.2:32databytes,PressCtrl_CtobreakFrom192.168.10.2:bytes=32seq=1ttl=128time=32msFrom192.168.10.2:bytes=32seq=2ttl=128time=46msFrom192.168.10.2:bytes=32seq=3ttl=128time=47msFrom192.168.10.2:bytes=32seq=4ttl=128time=31msFrom192.168.10.2:bytes=32seq=5ttl=128time=31ms

---192.168.10.2pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/37/47ms項(xiàng)目驗(yàn)證（2）使用PC1PingPC3，配置命令如下。結(jié)果顯示PC1和PC3可以相互通信。PC1>ping192.168.10.3

Ping192.168.10.3:32databytes,PressCtrl_CtobreakFrom192.168.10.3:bytes=32seq=1ttl=128time=47msFrom192.168.10.3:bytes=32seq=2ttl=128time=31msFrom192.168.10.3:bytes=32seq=3ttl=128time=47msFrom192.168.10.3:bytes=32seq=4ttl=128time=31msFrom192.168.10.3:bytes=32seq=5ttl=128time=47ms

---192.168.10.3pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/40/47ms項(xiàng)目驗(yàn)證2．更換計(jì)算機(jī)，測(cè)試互通性（1）把計(jì)算機(jī)PC3更換為計(jì)算機(jī)PC4，兩臺(tái)計(jì)算機(jī)IP地址相同、MAC地址不同，連接到交換機(jī)的Eth0/0/3端口上。（2）查看PC4的MAC地址，配置命令如下。結(jié)果顯示，PC4的MAC地址為54-89-98-87-61-7A。PC4>ipconfig/all

本地連接:

連接特定的DNS后綴.......:

描述...............:RealtekUSBGbEFamilyController

物理地址.............:54-89-98-87-61-7ADHCP已啟用...........:否

自動(dòng)配置已啟用..........:是IPv4地址............:192.168.10.3(首選)

子網(wǎng)掩碼............:255.255.255.0

默認(rèn)網(wǎng)關(guān).............:TCPIP上的NetBIOS.......:已啟用10-項(xiàng)目驗(yàn)證（3）使用PC1PingPC4，配置命令如下。結(jié)果顯示，更換計(jì)算機(jī)后，交換機(jī)Eth0/0/3端口綁定的MAC地址和記錄的MAC地址不同，交換機(jī)按規(guī)則不允許其對(duì)外通信。PC1>ping192.168.10.3

Ping192.168.10.3:32databytes,PressCtrl_CtobreakFrom192.168.10.1:DestinationhostunreachableFrom192.168.10.1:DestinationhostunreachableFrom192.168.10.1:DestinationhostunreachableFrom192.168.10.1:DestinationhostunreachableFrom192.168.10.1:Destinationhostunreachable