计算机网络实验——以太网安全实验

实验1. 访问控制列表实验

一、实验目的

1. 验证交换机端口静态配置访问控制列表的过程。
2. 验证访问控制列表控制终端接入的过程。
3. 验证关闭端口的重新开启过程。

二、实验任务

1. 使用自己的语言简述访问控制列表实验的过程。

如图1所示的网络拓扑中，在交换机端口1的访问控制列表中静态配置终端PC0的MAC地址，此时可以进行终端PC0到终端PC2之间的数据传输，若将PC1接入端口1，与PC2进行通信，交换机端口1自动关闭。此时再次将PC0接入端口1，PC0与PC2之间不能通信，需要重新启动交换机端口1，再次实现终端PC0到PC2之间的数据传输。

图 1 网络拓扑

1. 使用自己的语言简述该实验原理。

在交换机端口1的访问控制列表中静态配置终端PC0的地址后，交换机端口1只转发源MAC地址与此配置地址相同的MAC帧。当PC0向端口1传输帧时，源MAC与访问控制列表中的MAC地址相同，交换机转发该帧；同理，当PC1接入交换机端口1且向交换机端口发送MAC帧，源MAC地址与控制列表中的MAC地址不同，交换机丢弃该帧，关闭交换机端口1，需要通过控制命令再次重启端口1，才能在PC0再次接入后使用。

1. 实验步骤

1. 搭建如图2所示的网络拓扑图。

图 2 访问控制网络拓扑

1. 分别对PC0、PC1和PC2进行网络配置，具体配置如图3a、b、c所示。

（c）

图 3 PC0、PC1和PC2网络配置

1. 对交换机的Fastethernet0/1端口进行配置，具体配置如图4所示，在访问控制列表中静态配置PC0的MAC地址00D0.9741.91DE。

图 4 交换机的Fastethernet0/1端口配置

1. 启动PC0与PC2之间的ICMP报文交换，如图5所示，PC0与PC2之间可以交换报文，链路完整。

图 5 PC0与PC2之间的ICMP报文交换

1. 断开PC0与端口1的连接，将PC1接入交换机端口1，网络拓扑图如图6所示。

图 6 PC1接入交换机的网络拓扑图

1. 启动PC1与PC2之间的ICMP报文交换过程，导致Fastethernet0/1端口关闭，如图7所示，同时ICMP报文交换失败，如图8所示。

图 7 Fastethernet0/1端口关闭

图 8 PC1与PC2ICMP报文交换失败

1. 断开PC1与端口1的连接，再次将PC0接入交换机端口1，网络拓扑图如图2所示。此时直接启动PC0与PC2之间的ICMP报文交换，发现交换失败，端口Fastethernet0/1关闭，如图9所示。

图 9 未重启端口前进行PC0与PC2ICMP交换

1. 如图10所示，重启交换机端口Fastethernet0/1，再次启动PC0与PC2之间的ICMP报文交换，报文交换成功，如图11所示。

图 10 重启端口

图 11 重启后PC0与PC2再次进行ICMP交换

三、思考与总结

1. 实验过程中你遇到什么问题，如何解决的？通过该实验有何收获？

问题：

在对交换机完成访问控制配置后，PC0与PC2之间的ICMP通信一直失败，如图12所示。

图 12 通信失败

解决：

排查完链路连接和IP地址无误后，对MAC地址进行检查，访问控制列表中的MAC地址与PC0中的不一致，重新进行静态配置后解决。

收获：

本次实验让我深入理解了访问控制列表的原理和作用，并掌握了在交换机端口上配置静态的方法。通过实际操作，我体验了如何控制端口访问，并通过 MAC 地址进行身份验证，认识到其在网络安全中的重要性。实验过程中，我遇到了 PC 间无法通信的问题，通过排查链路连接、IP 地址和 MAC 地址，最终找到了问题根源并成功解决。总的来说，本次实验不仅提升了我的网络配置技能，也培养了我的问题解决能力，让我对网络安全有了更深入的认识。

实验2. 安全端口实验

一、实验目的

1. 验证交换机端口安全功能配置过程。
2. 验证访问控制列表自动添加MAC地址的过程。
3. 验证对违规接入终端采取的各种动作的含义。
4. 验证安全端口方式下的终端接入控制过程。

二、实验任务

1. 使用自己的语言简述交换机端口的安全配置过程。

在如图13所示的网络拓扑图中，将交换机端口1设置为安全端口，并且将最先学习到的两个MAC地址写入访问控制列表中。此时，终端PC0接入端口1，与终端PC3进行通信，终端PC0的MAC地址自动添加到访问控制列表中；将终端PC2接入端口1，与终端PC3进行通信，终端PC1的MAC地址自动添加到访问控制列表中,；若再将PC2接入交换机端口1，与终端PC3进行通信，PC2的源MAC地址不在控制列表中，且控制列表中的MAC地址数已经达到设置的最大值，交换机丢弃该帧；再次将PC0接入端口1，PC0与PC3之间可以继续通信。

图 13 安全端口配置网络拓扑图

1. 使用自己的语言简述该实验原理。

同图13所示，将交换机端口1设置为安全端口，且将控制列表中最大的MAC地址数设置为2，在终端PC0与终端PC1分别接入端口1并且与PC3进行通信，终端PC0与终端PC1的MAC地址被写入访问控制列表。当PC2接入端口时并且尝试通信时，此时的MAC帧的源MAC不在访问控制列表中，且访问列表中的MAC地址数已经达到最大值，因此交换机丢弃该MAC帧。

1. 实验步骤

1. 搭建如图14所示的网络拓扑图。

图 14 网络图片图

1. 分别对PC0~PC3进行网络配置，具体配置如图15所示。

图 15 PC0~PC3网络配置

1. 对交换机端口Fastethernet0/1进行安全配置，具体配置如图16所示。

图 16 端口Fastethernet0/1安全配置

1. 在PC0与PC3之间启动ICMP报文交换，如图17所示，报文交换成功。

图 17 PC0与PC3之间的ICMP报文交换

1. 断开PC0与端口1的连接，将PC1接入交换机端口1，网络拓扑图如图18所示。

图 18 PC1接入交换机端口1的网络拓扑图

1. 在PC1与PC3之间启动ICMP报文交换，如图19所示，报文交换成功。

图 19 PC1与PC3之间的ICMP报文交换

1. 查看访问控制列表中的MAC地址，如图20所示，由表中可知，PC0与PC1的MAC地址已经写入访问控制列表中。

图 20 访问控制列表

1. 断开PC1与端口1的连接，将PC2接入交换机端口1，网络拓扑图如图18所示。

图 21 PC2接入交换机端口1的网络拓扑图

1. 在PC2与PC3之间启动ICMP报文交换，如图22所示，报文交换失败。

图 22 PC2与PC3之间的ICMP报文交换

1. 查看交换机端口Fastethernet0/1的工作状态，如图23所示，仍然开启。

图 23 Fastethernet0/1的状态

1. 再次将PC0接入交换机端口Fastethernet0/1，与在PC0与PC3之间启动ICMP报文交换，如图24所示，报文交换成功。

图 24 PC0与PC3之间的ICMP报文交换2

三、思考与总结

1. 请简述什么是安全端口，它的作用是什么？

答：

安全端口是交换机端口的一种配置方式，它可以限制连接到该端口的设备数量，并允许或拒绝特定 MAC 地址的访问。

1. 实验过程中还遇到什么问题，如何解决的？通过该实验有何收获？

无明显问题。

收获：

本次安全端口实验让我深刻理解了交换机端口安全功能的重要性及其配置过程。通过实验，我掌握了如何将端口设置为安全端口，并配置访问控制列表限制允许连接的MAC地址数量。实验过程中，我观察到当端口首次学习到MAC地址时，它会自动将该地址添加到访问控制列表中，从而允许该设备访问网络。当尝试连接的设备MAC地址不在访问控制列表中且列表已满时，交换机会丢弃该设备的流量，有效防止了未经授权的设备接入网络。此外，实验还让我了解了安全端口下终端接入控制的过程，以及如何通过配置交换机来保护网络的安全。我认识到，在网络环境中，采取有效的安全措施至关重要，而安全端口是保护网络安全的重要工具之一。

实验3. 防DHCP欺骗攻击实验

一、实验目的

1. 验证DHCP服务器配置过程。
2. 验证DNS服务器配置过程。
3. 验证终端用完全合格的域名访问Web服务器的过程。
4. 验证DHCP欺骗攻击过程。
5. 验证钓鱼网站实施过程。
6. 验证交换机防DHCP欺骗攻击功能的配置过程。

二、实验任务

1. 使用自己的语言简述DHCP欺骗攻击过程。

DHCP欺骗的网络拓扑图如图25所示。正常情况下，PC0通过DHCP服务器获取正确的DNS地址（192.1.2.7），访问www.bank.com时，DNS解析出正确的Web服务器地址（192.1.3.7）。

然而，当黑客接入伪造的DHCP、DNS和Web服务器后，PC0可能获得伪造的DNS地址（192.1.3.1）。此时，访问www.bank.com时，DNS解析出伪造的Web服务器地址（192.1.2.5），用户就会访问到伪造的网站。

图 25 DHCP欺骗

1. 使用自己的语言简述该实验原理。

在终端自动获取的网络配置信息中，本地域名服务器地址是由DHCP服务器分配的。以图25展示的网络应用系统为例，终端通过DHCP自动获取的网络信息里包含了本地域名服务器地址，该地址在图25所示的网络系统中为192.1.2.7。在此域名服务器上，完全合格的域名www.bank.com对应绑定的Web服务器地址是192.1.3.7，故终端可使用www.bank.com这一域名访问相应的Web服务器。

然而，若网络中混入了假冒的DHCP服务器，终端可能会从该服务器处获得网络配置信息，进而得到一个伪造的域名服务器IP地址192.1.3.1。在这台伪造的域名服务器上，域名www.bank.com被错误地解析至伪造的Web服务器地址192.1.2.5，导致终端使用www.bank.com域名时访问到的是假冒的Web服务器。

为防止此类DHCP欺骗攻击，若交换机启用了防护功能，则只有连接在信任端口的DHCP服务器才能向终端提供网络配置服务。因此，在如图25所示的网络环境中，若要防御DHCP欺骗攻击，只需将连接路由器Router1的交换机端口设为信任端口，而将其他端口设为非信任端口。这样，终端就只能接收到由路由器Router1转发的DHCP消息，确保终端获取的是由合法DHCP服务器提供的网络信息。

1. 实验步骤

1. 搭建如图26所示的网络拓扑图。

图 26网络拓扑图

1. 查看在交换机防DHCP欺骗攻击开启前，PC0获取到的网络信息，如图27所示，为从伪造的DNS服务器的IP地址，使得PC0使用合格的域名 www.bank.com但是访问了伪造的Web服务器，如图28所示。

图 27 DHCP欺骗攻击开启前PC0获取到的网络信息

图 28 访问伪造的Web服务器

1. 对交换机进行配置，开启交换机防DHCP欺骗功能的程序，如图29所示，其中交换机与路由器所连接的端口为Fastethernet0/1。

图 29 开启防DHCP欺骗

1. 查看在交换机防DHCP欺骗攻击开启后，PC0获取到的网络信息，如图30所示，为从正确的DNS服务器的IP地址，使得PC0使用合格的域名 www.bank.com访问了正确的Web服务器，如图31所示。

图 30 DHCP欺骗攻击开启后PC0获取到的网络信息

图 31 访问正确的Web服务器

1. 查看交换机的DHCP侦听消息，得到如下表所示的绑定关系，与图32中PC0~PC2所分配到的地址一致。

|-----|----------------|------------|------|
| 终端 | MAC地址 | 服务器分配的地址 | 端口 |
| PC0 | 00E0.F79C.DBDB | 192.1.1.11 | F0/2 |
| PC1 | 00E0.F985.6795 | 192.1.1.12 | F0/3 |
| PC2 | 0040.0B2B.DC1C | 192.1.1.13 | F0/4 |

图 32 PC0~PC2所分配到的网络信息

三、思考与总结

1. 如果将伪造的DHCP服务器放在192.3.0网段中，并且开始防DHCP欺骗功能，pc0还会获取到假的DNS服务器吗？为什么？

答：

会，因为此时伪造的DHCP服务器返回的DCHP提供消息也是从Fastethernet0/1收信任的端口进入，交换机不能分辨是否是伪造的DHCP服务器。

1. 实验过程中还遇到什么问题，如何解决的？通过该实验有何收获？

问题：

交换机上的配置不起效，仍然从伪造的DHCP服务器获取网络信息。

解决：

除设置Fastethernet0/1为信任端口外，还对其他端口进行非信任处理，如图33所示。

图 33

收获：

通过本次防DHCP欺骗攻击实验，我深入理解了DHCP欺骗攻击的原理和危害。

实验过程中，我亲自搭建了网络环境，并模拟了DHCP服务器被伪造后的攻击场景学习了如何配置交换机的防DHCP欺骗功能，并亲身体验了其有效性。实验过程中，我遇到了一些问题，例如交换机配置不起效，通过反复尝试，解决了问题。

总的来说，本次实验让我收获颇丰，不仅提升了我的网络安全意识和技能，也增强了我的动手实践能力和解决问题的能力。