-
各种交换机端口安全总结
(
配置实例
)
最常用的对端口安全的理解就是可根据
mac
地址来
做对网络流量的控制和管理,比如
mac
地址与具体的端口绑定
,限制具体端口通过的
mac
地址的数量,或者在具体的端口不
允许某些
mac
地址的帧流量通过。稍
微引申下端口安全,就是可以根据
802.1x
来控制网络
p>
的访问流量。
首先谈
一下
mac
地址与端口绑定,以及根据
mac
地址允许流量的配置。
p>
地址与端口绑定,当发现主机的
mac
p>
地址与交换机上指定的
mac
地址不同时,
交换机相应的端口将
down
掉。
p>
当给端口指定
mac
地址时,
端口模式必须为
access
或者
< br>trunk
状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode
access /
指定端口模式。
3550-1(config-if)#switchport port-
security mac-address 00-90-f5-10-79-c1 /
配置
mac
地址。
3550-1(config-
if)#switchport
port-security
maximum
1
/
限制此端口允许通过的
mac
地址
< br>数为
1
。
3550-1(config-
if)#switchport port-security violation shutdown /<
/p>
当发现与上述配置不符时,
端口
down
掉。
2.<
/p>
通过
mac
地址来限制端口流量,
此配置允许一
trunk
口最多通过
100
个
mac
地址,
超
过
100
时
,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk
encapsulation dot1q
3550-1(config-if)#switchport mode trunk
/
配置端口模式为
trunk
。
3550-1(config-
if)#switchport
port-security
maximum
100
/
允许此端口通过的最大
mac
地
址数目为
100
。
3550-1(config-
if)#switchport port-security violation protect /
p>
当主机
mac
地址数目超过
100
时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据
< br>mac
地址来允许流量,下面的配置则是根据
mac
p>
地址来拒绝流量。
p>
1.
此配置在
catalyst
交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static
00-90-f5-10-79-c1 vlan 2 drop /
在相应的
vlan
丢弃
流量。
3550-1#conf t
3550-1(config)#mac-address-table static
00-90-f5-10-79-c1 vlan 2 int f0/1
/
在相应的接口丢
弃流量。
最后说一下
802.1x
的相关概念和配置。
802
.1x
身份验证协议最初使用于无线网络,
后来才在普通交换机
和路由器等网络设备上
使用。它可基于端口来对用户身份进行认证,即当用户的数据流量
企图通过配置过
802.1x
协议的端口时,
< br>必须进行身份的验证,
合法则允许其访问网络。
这样的做
的好处就是可以对
内网的用户进行认证,并且简化配置,在一定的程度上可以取代
windows
的
ad
。
配置
802.1x
< br>身份验证协议,首先得全局启用
aaa
认证,这个和在网
络边界上使用
aaa
认证没有太多的区别,
只不过认证的协议是
802.1x
;
其次则需要在相应的接口上启用
802.1x
身份验证。
p>
(建议在所有的端口上启用
802.1x
身
份验证,并且使用
radius
服务器来管理用户
名和密码)
下面的
配置
aaa
认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-
model /
启用
aaa
认证。
p>
3550-1(config)#aaa authentication dot1x
default local /
全局启用
802.1x
协议认证,并使用
本地用户名与密码。
3550-1(config)#int range
f0/1 -24
3550-1(config-
if-range)#dot1x port-control auto /
在所有的
接口上启用
802.1x
身份验证。
后记
p>
通过
mac
地址来控制网络的流量既可以通
过上面的配置来实现,也可以通过访问控制
列表来实现,比如在
cata3550
上可通过
700-799
号的访问控制列表可实现
mac
地址过滤。
但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
< br>
通过
mac
地址绑定虽然在一定程度上可保证内网安全,但效
果并不是很好,建议使用
802.1x
身份验证协议。在可控性
,可管理性上
802.1x
都是不错的选择。
< br>
一、通过
IP
查端口
先查MAC地址,再根据MAC地址查端口:
bangonglou3#show arp | include 208.41
或者
show mac-address-table
来查看整
个端口的
ip-
mac
表
nternet
10.138.208.41
4
0006.1bde.3de9
ARPA
Vlan10
bangonglou3#show mac-add | in 0006.1bde
10
0006.1bde.3de9
DYNAMIC
Fa0/17
bangonglou3#exit
二、
ip
与
mac
地址的绑定,
这种绑定可以简单有效的防止
ip
被盗用,<
/p>
别人将
ip
改成了你绑
< br>定了
mac
地址的
ip
后,
其网络不同,
(
t
cp/udp
协议不同,
但
netbi
os
网络共项可以访问)
,
具体做法:
cisco(config)#arp 10.138.208.81
0000.e268.9980 ARPA
这样就将
10.138.208.81
与
mac:0000.e268.9980
ARPA
绑定在一起了
三、
ip
与交换机端口的绑定,此种方法绑定后的
端口只有此
ip
能用,改为别的
ip<
/p>
后立即断
网。有效的防止了乱改
ip
p>
。
cisco(config)#
interface
FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit
10.138.208.81
这样就将交换机的
FastEthernet0/17
端口与
ip:
10.138.208.81
绑定了。
===========================
============
=====
最常用的对端口安全的理解
就是可根据
MAC
地址来做对网络流量的控制和管理,比如
p>
MAC
地址与具体的端口绑定,限制具体端口通过的
MAC
地址的数量,或者在具体的端口
不允许某些
p>
MAC
地址的帧流量通过。
地址与端
口绑定,当发现主机的
MAC
地址与交换机上指定的
MAC
地址不同时,交
换机相应的端口将
down
掉。
当给端口指定
MAC
地址时,
端口模式必须为
a
ccess
或者
Trunk
状态。
p>
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-
if)#switchport mode access
/
指定端口模式。
3550-1(config-
if)#switchport port-security mac-address
00-90-F5-10-79-C1 /
配置
MAC
地
址。
3550-1(config-
if)#switchport port-security maximum 1 /
限制此端口允许通过的
MAC
地址数
为
1
。
3550-1(config-
if)#switchport port-security violation shutdown /<
/p>
当发现与上述配置不符时,
端口
down
掉。
<
/p>
2.
通过
MAC
地址来限制端口流量,此配置允许一
TRUNK
口最多通过
p>
100
个
MAC
地
址,
超过
100
时,但来自新的主机的
数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-
if)#switchport trunk encapsulation dot1q
3550-1(config-
if)#switchport mode trunk /
配置端口模式为
TRUNK
。
3550-1(config-
if)#switchport port-security maximum 100 /
< br>允许此端口通过的最大
MAC
地
址数目为
100
。
3550-1(config-
if)#switchport port-security violation protect /
p>
当主机
MAC
地址数目超过
100
时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据
MAC
地址来允许流量,下面的配置则是根据
MAC
地址来拒绝流量。
1.
此配置在
Catalyst
交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static
00-90-F5-10-79-C1 vlan 2 drop /
在相应的
Vlan
丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-
table static 00-90-F5-10-79-C1 vlan 2 int f0/1
/
在相应的接口
丢弃流量。
===============
========================
=====
在
网络
安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍
采用的做法之一就是
IP
地址、
网卡的
MAC
地址与交换机端口绑定,
但是
MAC
与交换机端
口快速绑定的具体实现的原理和步骤却少有文章。
我们通常说的
MAC
地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功
p>
能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;
能根据
MAC
地址
确定允许访问的
设备;允许访问的设备的
MAC
地址既可以手工配置,也可以从
交换机
“
学
到
”
;
当一个未批准的
MAC
地址试图访问端口的时候,
交换机会挂起或者禁用该端口等等。
-
-
-
-
-
-
-
-
-
上一篇:磁盘被写保护请去掉写保护或使用另一张磁盘的
下一篇:辅音音标及字母对照