查看完整版本: 各種交換器埠安全總結(配置實例)

論壇 › Linux › 各種交換器埠安全總結(配置實例)

scorpio920204 發表於 2017-11-2 02:13 AM

各種交換器埠安全總結(配置實例)

最常用的對埠安全的理解就是可根據MAC位址來做對網路流量的控制和管理，比如MAC位址與具體的埠綁定，限制具體埠通過的MAC位址的數量，或者在具體的埠不允許某些MAC位址的幀流量通過。 稍微引申下埠安全，就是可以根據802.1X來控制網路的訪問流量。首先談一下MAC位址與埠綁定，以及根據MAC位址允許流量的配置。
1.MAC位址與埠綁定，當發現主機的MAC位址與交換器上指定的MAC位址不同時，交換器相應的埠將down掉。 當給埠指定MAC位址時，埠模式必須為access或者Trunk狀態。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定埠模式。3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC位址。3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC位址數為1。3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，埠down掉。
2.通過MAC位址來限制埠流量，此配置允許一TRUNK口最多通過100個MAC位址，超過100時，但來自新的主機的資料幀將丟失。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport trunk encapsulation dot1q3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC位址數目為100。3550-1(config-if)#switchport port-security violation protect /當主機MAC位址數目超過100時，交換器繼續工作，但來自新的主機的資料幀將丟失。
上面的配置根據MAC位址來允許流量，下面的配置則是根據MAC位址來拒絕流量。
1.此配置在Catalyst交換器中只能對單播流量進行過濾，對於多播流量則無效。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。最後說一下802.1X的相關概念和配置。802.1X身份驗證協定最初使用於無線網路，後來才在普通交換器和路由器等網路設備上使用。 它可基於埠來對使用者身份進行認證，即當使用者的資料流量企圖通過配置過802.1X協定的埠時，必須進行身份的驗證，合法則允許其訪問網路。 這樣的做的好處就是可以對內網的使用者進行認證，並且簡化配置，在一定的程度上可以取代Windows 的AD。配置802.1X身份驗證協定，首先得全域啟用AAA認證，這個和在網路邊界上使用AAA認證沒有太多的區別，只不過認證的協定是802.1X；其次則需要在相應的介面上啟用802.1X身份驗證。 （建議在所有的埠上啟用802.1X身份驗證，並且使用radius伺服器來管理使用者名和密碼）下面的配置AAA認證所使用的為本地的使用者名和密碼。3550-1#conf t3550-1(config)#aaa new-model /啟用AAA認證。3550-1(config)#aaa authentication dot1x default local /全域啟用802.1X協定認證，並使用本地使用者名與密碼。3550-1(config)#int range f0/1 -243550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。
後記通過MAC位址來控制網路的流量既可以通過上面的配置來實現，也可以通過存取控制清單來實現，比如在Cata3550上可通過700-799號的存取控制清單可實現MAC位址過濾。 但是利用存取控制清單來控制流量比較麻煩，似乎用的也比較少，這裡就不多介紹了。
通過MAC位址綁定雖然在一定程度上可保證內網安全，但效果並不是很好，建議使用802.1X身份驗證協定。 在可控性，可管理性上802.1X都是不錯的選擇。

...<div class='locked'><em>瀏覽完整內容，請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div>