交換機安全配置檢查包括哪些方面
❶ 交換機的配置主要有那五種
關於交換機配置,根據不同品牌、不同系列的交換機而有所不同,本文教給大家的只是通用配置方法,有了這些通用配置方法,我們就能舉一反三,融會貫通。 一般分為兩種方法:一是本地配置;二是遠程網路配置;但是要注意後一種配置方法只有在前一種配置成功後才可進行,下面分別講述。 一、本地配置方式 本地配置我們首先要遇到的是它的物理連接方式,然後還需要面對軟體配置,在軟體配置方面我們主要以最常見的思科的「Catalyst 1900」交換機為例來講述。 因為要進行交換機的本地配置就要涉及到硬、軟體的連接了,所以下面我們分這兩步來說明配置的基本連接過程。 1.物理連接 因為筆記本電腦的便攜性能,所以配置交換機通常是採用筆記本電腦進行,在實在無筆記本的情況下,當然也可以採用台式機,但移動起來麻煩些。交換機的本地配置方式是通過計算機與交換機的「Console」埠直接連接的方式進行通信的,它的連接圖如圖1所示。
圖1 可進行網路管理的交換機上一般都有一個「Console」埠,它是專門用於對交換機進行配置和管理的。通過Console埠連接並配置交換機,是配置和管理交換機必須經過的步驟。雖然除此之外還有其他若干種配置和管理交換機的方式(如Web方式、Telnet方式等),但是,這些方式必須通過Console埠進行基本配置後才能進行。因為其他方式往往需要藉助於IP地址、域名或設備名稱才可以實現,而新購買的交換機顯然不可能內置有這些參數,所以通過Console埠連接並配置交換機是最常用、最基本也是網路管理員必須掌握的管理和配置方式。 不同類型的交換機Console埠所處的位置並不相同,有的位於前面板(如Catalyst 3200和Catalyst 4006),而有的則位於後面板(如Catalyst 1900和Catalyst 2900XL)。通常是模塊化交換機大多位於前面板,而固定配置交換機則大多位於後面板。不過,倒不用擔心無法找到Console埠,在該埠的上方或側方都會有類似「CONSOLE」字樣的標識,如圖2所示。
除位置不同之外,Console埠的類型也有所不同,絕大多數(如Catalyst 1900和Catalyst 4006)都採用RJ-45埠(如圖2所示),但也有少數採用DB-9串口埠(如Catalyst 3200)或DB-25串口埠(如Catalyst 2900)。 無論交換機採用DB-9或DB-25串列介面,還是採用RJ-45介面,都需要通過專門的Console線連接至配置用計算機(通常稱作終端)的串列口。與交換機不同的Console埠相對應,Console線也分為兩種:一種是串列線,即兩端均為串列介面(兩端均為母頭),兩端可以分別插入至計算機的串口和交換機的Console埠;另一種是兩端均為RJ-45接頭(RJ-45-to-RJ-45)的扁平線。由於扁平線兩端均為RJ-45介面,無法直接與計算機串口進行連接,因此,還必須同時使用一個如圖3所示的RJ-45-to-DB-9(或RJ-45-to-DB-25)的適配器。通常情況下,在交換機的包裝箱中都會隨機贈送這么一條Console線和相應的DB-9或DB-25適配器。
圖3 2、軟體配置 物理連接好了我們就要打開計算機和交換機電源進行軟體配置了,下面我們以思科的一款網管型交換機「Catalyst 1900」來講述這一配置過程。在正式進入配置之前我們還需要進入系統,步驟如下: 第1步:打開與交換機相連的計算機電源,運行計算機中的Windows 95、Windows 98或Windows 2000等其中一個操作系統。 第2步:檢查是否安裝有「超級終端」(Hyper Terminal)組件。如果在「附件」中沒有發現該組件,可通過「添加/刪除程序」(Add/Remove Program)的方式添加該Windows組件。 好了,「超級終端」安裝好後我們就可以與交換機進行通信了(當然要連接好,並打開交換機電源了),下面的步驟就是正式進行配置了。在使用超級終端建立與交換機的通信之前,必須先對超級終端進行必要的設置。 Catalyst 1900交換機在配置前的所有預設配置為:所有埠無埠名;所有埠的優先順序為Normal方式,所有10/100Mbps乙太網埠設為Auto方式,所有10/100Mbps乙太網埠設為半雙工方式,未配置虛擬子網。正式配置步驟如下(本文以Windows 98系統為例): 第1步:單擊「開始」按鈕,在「程序」菜單的「附件」選項中單擊「超級終端」,彈出如圖4所示界面。
圖4
第2步:雙擊「Hypertrm」圖標,彈出如圖5所示對話框。這個對話框是用來對立一個新的超級終端連接項。
圖5
第3步:在「名稱」文本框中鍵入需新建超的級終端連接項名稱,這主要是為了便於識別,沒有什麼特殊要求,我們這里鍵入「Cisco」,如果您想為這個連接項選擇一個自己喜歡的圖標的話,您也可以在下圖的圖標欄中選擇一個,然後單擊「確定」按鈕,彈出如圖6所示的對話框。
圖6
第4步:在「連接時使用」下拉列表框中選擇與交換機相連的計算機的串口。單擊「確定」按鈕,彈出如圖7所示的對話框。 圖7
第5步:在「波特率」下拉列表框中選擇「9600」,因為這是串口的最高通信速率,其他各選項統統採用默認值。單擊「確定」按鈕,如果通信正常的話就會出現類似於如下所示的主配置界面,並會在這個窗口中就會顯示交換機的初始配置情況。
Catalyst 1900 Management Console Copyright (c) Cisco Systems, Inc。 1993-1999 All rights reserved。 Standard Edition Software Ethernet address: 00-E0-1E-7E-B4-40 PCA Number: 73-2239-01 PCA Serial Number: SAD01200001 Model Number: WS-C1924-A System Serial Number: FAA01200001 --------------------------------------- User Interface Menu 〔M〕 Menus //主配置菜單 〔I〕 IP Configuration //IP地址等配置 〔P〕 Console Password //控制密碼配置 Enter Selection: //在此輸入要選擇項的快捷字母,然後按回車鍵確認 【注】「//」後面的內容為筆者對前面語句的解釋,下同。 至此就正式進入了交換機配置界面了,下面的工作就可以正式配置交換機了。 3、交換機的基本配置 進入配置界面後,如果是第一次配置,則首先要進行的就是IP地址配置,這主要是為後面進行遠程配置而准備。IP地址配置方法如下: 在前面所出現的配置界面「Enter Selection:」後中輸入「I」字母,然後單擊回車鍵,則出現如下配置信息: The IP Configuration Menu appears。 Catalyst 1900 - IP Configuration Ethernet Address:00-E0-1E-7E-B4-40 -------------Settings------------------ 〔I〕 IP address 〔S〕 Subnet mask 〔G〕 Default gateway 〔B〕 Management Bridge Group 〔M〕 IP address of DNS server 1 〔N〕 IP address of DNS server 2 〔D〕 Domain name 〔R〕 Use Routing Information Protocol -------------Actions------------------- 〔P〕 Ping 〔C〕 Clear cached DNS entries 〔X〕 Exit to previous menu Enter Selection: 在以上配置界面最後的「Enter Selection:」後再次輸入「I」字母,選擇以上配置菜單中的「IP address選項,配置交換機的IP地址,單擊回車鍵後即出現如下所示配置界面: Enter administrative IP address in dotted quad format (nnn。nnn。nnn。nnn): //按」nnn。nnn。nnn。nnn「格式輸入IP地址 Current setting ===> 0.0.0.0 //交換機沒有配置前的IP地址為」0.0.0.0「,代表任何IP地址 New setting ===> //在此處鍵入新的IP地址 如果你還想配置交換機的子網掩碼和默認網關,在以上IP配置界面裡面分別選擇」S「和」G「項即可。現在我們再來學習一下密碼的配置: 在以上IP配置菜單中,選擇」X「項退回到前面所介紹的交換機配置界面。 輸入」P「字母後按回車鍵,然後在出現的提示符下輸入一個4 ̄8位的密碼(為安全起見,在屏幕上都是以」*「號顯示),輸入好後按回車鍵確認,重新回到以上登錄主界面。 在你配置好IP和密碼後,交換機就能夠按照默認的配置來正常工作。如果想更改交換機配置以及監視網路狀況,你可以通過控制命令菜單,或者是在任何地方通過基於WEB的Catalyst 1900 Switch Manager來進行操作。 如果交換機運行的是Cisco Catalyst 1900/2820企業版軟體。你可以通過命令控制埠(command-line interface CLI)來改變配置。當進入配置主界面後,就在顯示菜單多了項」Command Line「,而少了項」Console Password「,它在下級菜單中進行。 1 user(s) now active on Management Console。 User Interface Menu 〔M〕 Menus 〔K〕 Command Line 〔I〕 IP Configuration Enter Selection: 在這一版本中的配置方法與前面所介紹的配置方法基本一樣,不同的只是在這一版本中可以通過命令方式(選擇」〔K〕 Command Line「項即可)進行一些較高級配置,下面本文僅作簡單介紹,在下篇中將介紹一個常見的高級配置,那就是VLAN的配置。 4、交換機高級配置的常見命令 在交換機的高級配置中,通常是利用以上配置菜單中的」〔K〕 Command Line「項進行的。 Cisco交換機所使用的軟體系統為Catalyst IOS。CLI的全稱為」Command-Line Interface「,中文名稱就稱之為」命令行界面「,它是一個基於DOS命令行的軟體系統模式,對大小寫不敏感(即不區分大小寫)。有這種模式的不僅交換機有、路由器、防火牆都有,其實就是一系列相關命令,但它與DOS命令不同,CLI可以縮寫命令與參數,只要它包含的字元足以與其他當前可用至的命令和參數區別開來即可。雖然對交換機的配置和管理也可以通過多種方式實現,既可以使用純字元形式的命令行和菜單(Menu),也可以使用圖形界面的Web瀏覽器或專門的網管軟體(如CiscoWorks 2000)。相比較而言,命令行方式的功能更強大,但掌握起來難度也更大些。下面把交換機的一些常用的配置命令介紹如下。 Cisco IOS共包括6種不同的命令模式:User EXEC模式、Privileged EXEC模式、VLAN dataBase模式、Global configuration模式、Interface configuration模式和Line configuration模式。當在不同的模式下,CLI界面中會出現不同的提示符。為了方便大家的查找和使用,表1列出了6種CLI命令模式的用途、提示符、訪問及退出方法。 Cisco IOS命令需要在各自的命令模式下才能執行,因此,如果想執行某個命令,必須先進入相應的配置模式。例如」interface type_number「命令只能在」Global configuration「模式下執行,而」plex full-flow-control「命令卻只能在」Interface configuration「模式下執行。 在交換機CLI命令中,有一個最基本的命令,那就是幫助命令」?「,在任何命令模式下,只需鍵入」?「,即顯示該命令模式下所有可用到的命令及其用途,這就交換機的幫助命令。另外,還可以在一個命令和參數後面加」?「,以尋求相關的幫助。 例如,我們想看一下在」Privileged Exec「模式下在哪些命令可用,那麼,可以在」#「提示符下鍵入」?「,並回車。再如,如果想繼續查看」Show「命令的用法,那麼,只需鍵入」show ?「並回車即可。另外,」?「還具有局部關鍵字查找功能。也就是說,如果只記得某個命令的前幾個字元,那麼,可以使用」?「讓系統列出所有以該字元或字元串開頭的命令。但是,在最後一個字元和」?「之間不得有空格。例如,在」Privileged Exec「模式下鍵入」c?「,系統將顯示以」c「開頭的所有命令。 還要說明的一點是:Cisco IOS命令均支持縮寫命令,也就是說,除非您有打字的癖好,否則根本沒有必要鍵入完整的命令和關鍵字,只要鍵入的命令所包含的字元長到足以與其他命令區別就足夠了。例如,可將」show configure「命令縮寫為」sh conf「,可將」show configure「命令縮寫為」sh conf「然後回車執行即可。 以上介紹了命令方式下的常見配置命令,由於配置過程比較復雜,在此不作詳細介紹。 二、遠程配置方式 我們上面就已經介紹過交換機除了可以通過Console埠與計算機直接連接外,還可以通過交換機的普通埠進行連接。如果是堆棧型的,也可以把幾台交換機堆在一起進行配置,因為這時實際上它們是一個整體,一般只有一台具有網管能力。這時通過普通埠對交換機進行管理時,就不再使用超級終端了,而是以Telnet或Web瀏覽器的方式實現與被管理交換機的通信。因為我們在前面的本地配置方式中已為交換機配置好了IP地址,我們可通過IP地址與交換機進行通信,不過要注意,同樣只有是網管型的交換機才具有這種管理功能。因為這種遠程配置方式中又可以通過兩種不同的方式來進行,所以我們也就分別介紹。 1、Telnet方式 Telnet協議是一種遠程訪問協議,可以用它登錄到遠程計算機、網路設備或專用TCP/IP網路。Windows 95/98及其以後的Windows系統、UNIX/Linux等系統中都內置有Telnet客戶端程序,我們就可以用它來實現與遠程交換機的通信。 在使用Telnet連接至交換機前,應當確認已經做好以下准備工作: ·在用於管理的計算機中安裝有TCP/IP協議,並配置好了IP地址信息。 ·在被管理的交換機上已經配置好IP地址信息。如果尚未配置IP地址信息,則必須通過Console埠進行設置。 ·在被管理的交換機上建立了具有管理許可權的用戶帳戶。如果沒有建立新的帳戶,則Cisco交換機默認的管理員帳戶為」Admin「。
在計算機上運行Telnet客戶端程序(這個程序在Windows 系統中與UNIX、Linux系統中都有,而且用法基本是是兼容的,特別是在Windows 2000系統中的Telnet程序),並登錄至遠程交換機。如果我們前面已經設置交換機的IP地址為:61.159.62.182,下面只介紹進入配置界面的方法,至於如何配置那是比較多的,要視具體情況而定,不作具體介紹。進入配置界面步驟很簡單,只需簡單的兩步: 第1步:單擊」開始「按鈕選擇」運行「菜單項,然後在對話框中按」telnet 61.159.62.182「格式輸入登錄(當然也可先不輸入IP地址,在進入telnet主界面後再進行連接,但是這樣會多了一步,直接在後面輸入要連接的IP的地址更好些),如圖8所示。如果為交換機配置了名稱,則也可以直接在」Telnet「命令後面空一個空格後輸入交換機的名稱。 Telnet命令的一般格式如下: telnet 〔Hostname/port〕,這里要注意的是」Hostnqme包括了交換機的名稱,但更多的是我們在前面是為交換機配置了IP地址,所以在這里更多的是指交換機的IP地址。格式後面的「Port」一般是不需要輸入的,它是用來設定Telnet通信所用的埠的,一般來說Telnet通信埠,在TCP/IP協議中有規定,為23號埠,最好不用改它,也就是說我們可以不接這個參數。 第2步,輸入好後,單擊「確定」按鈕,或單擊回車鍵,建立與遠程交換機的連接。如圖9所示為與計算機通過Tetnet與Catalyst 1900交換機建立連接時顯示的界面。 在圖中顯示了包括兩個菜單項的配置菜單:Menus、Command Line。然後,就可以根據實際需要對該交換機進行相應的配置和管理了。 2、Web瀏覽器的方式 當利用Console口為交換機設置好IP地址信息並啟用HTTP服務後,即可通過支持JAVA的Web瀏覽器訪問交換機,並可通過Web通過瀏覽器修改交換機的各種參數並對交換機進行管理。事實上,通過Web界面,可以對交換機的許多重要參數進行修改和設置,並可實時查看交換機的運行狀態。不過在利用Web瀏覽器訪問交換機之前,應當確認已經做好以下准備工作: ·在用於管理的計算機中安裝TCP/IP協議,且在計算機和被管理的交換機上都已經配置好IP地址信息。 ·用於管理的計算機中安裝有支持JAVA的Web瀏覽器,如Internet Explorer 4.0及以上版本、Netscape 4.0及以上版本,以及Oprea with JAVA。 ·在被管理的交換機上建立了擁有管理許可權的用戶帳戶和密碼。 ·被管理交換機的Cisco IOS支持HTTP服務,並且已經啟用了該服務。否則,應通過Console埠升級Cisco IOS或啟用HTTP服務。 通過Web瀏覽器的方式進行配置的方法如下: 第1步:把計算機連接在交換機的一個普通埠上,在計算機上運行Web瀏覽器。在瀏覽器的「地址」中欄鍵入被管理交換機的IP地址(如61.159.62.182)或為其指定的名稱。單擊回車鍵,彈出如圖10所示對話框。 第2步:分別在「用戶名」和「密碼」框中,鍵入擁有管理許可權的用戶名和密碼。用戶名/密碼對應當事先通過Console埠進行設置。 第3步:單擊「確定」按鈕,即可建立與被管理交換機的連接,在Web瀏覽器中顯示交換機的管理界面。如圖11所示頁面為與Cisco Catalyst 1900建立連接後,顯示在Web瀏覽器中的配置界面。首先看到的是要求輸入用戶帳號和密碼,這時您就輸入在上面已設置好的交換機配置超級用戶帳號和密碼進入系統。 接下來,就可以通過Web界面中的提示,一步步查看交換機的各種參數和運行狀態,並可根據需要對交換機的某些參數作必要的修改。
❷ 光纖交換機配置
談起交換機本地配置,首先我們來看一下交換機的物理連接。交換機的本地配置方式是通過計算機與交換機的“Console”埠直接連接的方式進行通信的。下面是我跟大家分享的是光纖交換機配置,歡迎大家來閱讀學習。
光纖交換機配置
工具/原料
Windows電腦
交換機
第1步:
1第1步:單擊“開始”按鈕,在“程序”菜單的“附件”選項中單擊“超級終端”,彈出如圖所示界面。
3第2步,輸入正確的用戶名和密碼。
4第3步,連接建立,可進入交換機配置系統。
5第4步,根據提示進行交換機設置和參數修改。
交換機的安全配置
1交換機的安全配置在病毒肆意的今天越來越受到人們的關注,下面介紹六種交換機配置方法來增強交換機的安全。
21、 L2-L4層過濾
現在的新型交換機大都可以通過建立規則的方式來實現各種過濾需求。規則配置有兩種模式,一種是MAC模式配置,可根據用戶需要依據源MAC或目的MAC有效實現數據的隔離,另一種是IP模式配置,可以通過源IP、目的IP、協議、源應用埠及目的應用埠過濾數據封包。
建立好的規則必須附加到相應的接收或傳送埠上,則當交換機六種安全設置此埠接收或轉發數據時,根據過濾規則來過濾封包,決定是轉發還是丟棄。另外,交換機六種安全設置通過硬體“邏輯與非門”對過濾規則進行邏輯運算,實現過濾規則確定,完全不影響數據轉發速率。
32、802.1X 基於埠的訪問控制
為了阻止非法用戶對區域網的接入,保障網路的安全性,基於埠的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。
持有某用戶賬號的用戶無論在網路內的何處接入,都會超越原有802.1Q 下基於埠VLAN 的限制,始終接入與此賬號指定的VLAN組內,這一功能不僅為網路內的移動用戶對資源的應用提供了靈活便利,同時又保障了網路資源應用的安全性。
另外,GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能,即在802.1X的應用中,如果埠指定了Guest VLAN項,此埠下的接入用戶如果認證失敗或根本無用戶賬號的話,會成為Guest VLAN 組的成員,可以享用此組內的相應網路資源,這一種功能同樣可為網路應用的某一些群體開放最低限度的資源,並為整個網路提供了一個最外圍的接入安全。
43、流量控制(traffic control)
交換機六種安全設置的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過大造成交換機六種安全設置帶寬的異常負荷,並可提高系統的整體效能,保持網路安全穩定的運行。
54、SNMP v3及SSH
安全網管SNMP v3 提出全新的體系結構,將各版本的SNMP 標准集中到一起,進而加強網管安全性。SNMP v3 建議的安全模型是基於用戶的安全模型,即USM.USM對網管消息進行加密和認證是基於用戶進行的。
具體地說就是用什麼協議和密鑰進行加密和認證均由用戶名稱(userNmae)權威引擎標識符(EngineID)來決定(推薦加密協議CBCDES,認證協議HMAC-MD5-96 和HMAC-SHA-96),通過認證、加密和時限提供數據完整性、數據源認證、數據保密和消息時限服務,從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。
至於通過Telnet 的遠程網路管理,由於Telnet 服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令,所以,很容易被別有用心的人竊取口令,受到攻擊,但採用SSH進行通訊時,用戶名及口令均進行了加密,有效防止了對口令的竊聽,便於網管人員進行遠程的安全網路管理。
65、Syslog和Watchdog
交換機的Syslog日誌功能可以將系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等用戶設定的期望信息傳送給日誌伺服器,網管人員依據這些信息掌握設備的運行狀況,及早發現問題,及時進行配置設定和排障,保障網路安全穩定地運行。
Watchdog 通過設定一個計時器,如果設定的時間間隔內計時器沒有重啟,則生成一個內在CPU重啟指令,使設備重新啟動,這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟,保障網路的運行。
76、雙映像文件
一些最新的交換機,像ASUSGigaX2024/2048還具備雙映像文件。這一功能保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行。文件系統分majoy和 mirror兩部分進行保存,如果一個文件系統損害或中斷,另外一個文件系統會將其重寫,如果兩個文件系統都損害,則設備會清除兩個文件系統並重寫為出廠時默認設置,確保系統安全啟動運行。
如何清除交換機配置
一、清除交換機配置命令:write erase
二、刪除vlan.
第一步:察看當前VLAN配置
Cat2950#show vlan
第二步:察看Flash中的文件名稱(交換機的配置文件和ios都保存在Flash中)
Cat2950#dir flash: 看一下VLAN文件在FLASH里的具體名稱,一般的都是VLAN.DAT
第三步:刪除vlan.dat (交換機的VLAN信息保存在vlan.dat中)
Cat2950#delete flash:vlan.dat
第四步:察看當前的VLAN配置
Cat2950#show vlan
❸ 交換機埠安全主要有那兩種方式埠地址綁定可以預防哪些內網的網路攻擊
防止區域網ARP攻擊。
限制交換機埠的最大連接數 ,控制網路的惡意擴展和接入,埠的安全地址綁定, 解決區域網中IP地址沖突、ARP欺騙等問題。
VLAN具備一個物理網段所具備的特性。相同的VLAN內的主機可以相互直接訪問,不同的VLAN間的主機之間互相訪問必須經由路由設備進行轉發,廣播包只可以在本VLAN內進行傳播,不能傳輸到其他VLAN中。
(3)交換機安全配置檢查包括哪些方面擴展閱讀:
注意事項:
應該做好外部電源的供應工作,一般通過引入獨立的電力線來提供獨立的電源,並添加穩壓器來避免瞬間高壓或低壓現象。
如果條件允許,可以添加UPS(不間斷電源)來保證交換機的正常供電,有的UPS提供穩壓功能,而有的沒有,選擇時要注意。
在機房內設置專業的避雷措施,來避免雷電對交換機的傷害。現在有很多做避雷工程的專業公司,實施網路布線時可以考慮。
❹ 交換機埠安全問題有哪些
交換機埠安全總結
最常用的對埠安全的理解就是可根據MAC地址來做對網路流量的控制和管理,比如MAC地址與具體的埠綁定,限制具體埠通過的MAC地址的數量,或者在具體的埠不允許某些MAC地址的幀流量通過。稍微引申下埠安全,就是可以根據802.1X來控制網路的訪問流量。
首先談一下MAC地址與埠綁定,以及根據MAC地址允許流量的配置。
1.MAC地址與埠綁定,當發現主機的MAC地址與交換機上指定的MAC地址不同時 ,交換機相應的埠將down掉。當給埠指定MAC地址時,埠模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定埠模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時,埠down掉。
2.通過MAC地址來限制埠流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。
理解埠安全:
當你給一個埠配置了最大安全mac地址數量,安全地址是以一下方式包括在一個地址表中的:
·你可以配置所有的mac地址使用 switchport port-security mac-address
·你也可以允許動態配置安全mac地址,使用已連接的設備的mac地址。
·你可以配置一個地址的數目且允許保持動態配置。
注意:如果這個埠shutdown了,所有的動態學的mac地址都會被移除。
一旦達到配置的最大的mac地址的數量,地址們就會被存在一個地址表中。設置最大mac地址數量為1,並且配置連接到設備的地址確保這個設備獨占這個埠的帶寬。
當以下情況發生時就是一個安全違規:
·最大安全數目mac地址表外的一個mac地址試圖訪問這個埠。
·一個mac地址被配置為其他的介面的安全mac地址的站點試圖訪問這個埠。
你可以配置介面的三種違規模式,這三種模式基於違規發生後的動作:
·protect-當mac地址的數量達到了這個埠所最大允許的數量,帶有未知的源地址的包就會被丟棄,直到刪除了足夠數量的mac地址,來降下最大數值之後才會不丟棄。
·restrict-一個限制數據和並引起"安全違規"計數器的增加的埠安全違規動作。
·shutdown-一個導致介面馬上shutdown,並且發送SNMP陷阱的埠安全違規動作。當一個安全埠處在error-disable狀態,你要恢復正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手動的shut再no shut埠。這個是埠安全違規的默認動作。
默認的埠安全配置:
以下是埠安全在介面下的配置-
特性:port-sercurity 默認設置:關閉的。
特性:最大安全mac地址數目 默認設置:1
特性:違規模式 默認配置:shutdown,這埠在最大安全mac地址數量達到的時候會shutdown,並發snmp陷阱。
下面是配置埠安全的向導-
·安全埠不能在動態的access口或者trunk口上做,換言之,敲port-secure之前必須的是switch mode acc之後。
·安全埠不能是一個被保護的口。
·安全埠不能是SPAN的目的地址。
·安全埠不能屬於GEC或FEC的組。
·安全埠不能屬於802.1x埠。如果你在安全埠試圖開啟802.1x,就會有報錯信息,而且802.1x也關了。如果你試圖改變開啟了802.1x的埠為安全埠,錯誤信息就會出現,安全性設置不會改變。
最後說一下802.1X的相關概念和配置。
802.1X身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路設備上使用。它可基於埠來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的用戶進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全局啟用AAA認證,這個和在網路邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的介面上啟用802.1X身份驗證。(建議在所有的埠上啟用802.1X身份驗證,並且使用radius伺服器來管理用戶名和密碼)
下面的配置AAA認證所使用的為本地的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證,並使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。
後記
通過MAC地址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這里就不多介紹了。
通過MAC地址綁定雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1X身份驗證協議。在可控性,可管理性上802.1X都是不錯的選擇