交換機端口安全總結
- 發布于:2021-06-14
- 共 270 人圍觀
首先談一下MAC地址與端口綁定,以及根據MAC地址允許流量的配置。
1.MAC地址與端口綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時,交換機相應的端口將down掉。當給端口指定MAC地址時,端口模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,端口down掉。
2.通過MAC地址來限制端口流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對于多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。
最后說一下802.1X的相關概念和配置。
802.1X身份驗證協議最初使用于無線網絡,后來才在普通交換機和路由器等網絡設備上使用。它可基于端口來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的端口時,必須進行身份的驗證,合法則允許其訪問網絡。這樣的做的好處就是可以對內網的用戶進行認證,并且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全局啟用AAA認證,這個和在網絡邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的接口上啟用802.1X身份驗證。(建議在所有的端口上啟用802.1X身份驗證,并且使用radius服務器來管理用戶名和密碼)
下面的配置AAA認證所使用的為本地的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證,并使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗證。
后記
通過MAC地址來控制網絡的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這里就不多介紹了。
通過MAC地址綁定雖然在一定程度上可保證內網安全,但效果并不是很好,建議使用802.1X身份驗證協議。在可控性,可管理性上802.1X都是不錯的選擇。
標簽:
