交换机安全配置检查包括哪些方面
❶ 交换机的配置主要有那五种
关于交换机配置,根据不同品牌、不同系列的交换机而有所不同,本文教给大家的只是通用配置方法,有了这些通用配置方法,我们就能举一反三,融会贯通。 一般分为两种方法:一是本地配置;二是远程网络配置;但是要注意后一种配置方法只有在前一种配置成功后才可进行,下面分别讲述。 一、本地配置方式 本地配置我们首先要遇到的是它的物理连接方式,然后还需要面对软件配置,在软件配置方面我们主要以最常见的思科的“Catalyst 1900”交换机为例来讲述。 因为要进行交换机的本地配置就要涉及到硬、软件的连接了,所以下面我们分这两步来说明配置的基本连接过程。 1.物理连接 因为笔记本电脑的便携性能,所以配置交换机通常是采用笔记本电脑进行,在实在无笔记本的情况下,当然也可以采用台式机,但移动起来麻烦些。交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的,它的连接图如图1所示。
图1 可进行网络管理的交换机上一般都有一个“Console”端口,它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机,是配置和管理交换机必须经过的步骤。虽然除此之外还有其他若干种配置和管理交换机的方式(如Web方式、Telnet方式等),但是,这些方式必须通过Console端口进行基本配置后才能进行。因为其他方式往往需要借助于IP地址、域名或设备名称才可以实现,而新购买的交换机显然不可能内置有这些参数,所以通过Console端口连接并配置交换机是最常用、最基本也是网络管理员必须掌握的管理和配置方式。 不同类型的交换机Console端口所处的位置并不相同,有的位于前面板(如Catalyst 3200和Catalyst 4006),而有的则位于后面板(如Catalyst 1900和Catalyst 2900XL)。通常是模块化交换机大多位于前面板,而固定配置交换机则大多位于后面板。不过,倒不用担心无法找到Console端口,在该端口的上方或侧方都会有类似“CONSOLE”字样的标识,如图2所示。
除位置不同之外,Console端口的类型也有所不同,绝大多数(如Catalyst 1900和Catalyst 4006)都采用RJ-45端口(如图2所示),但也有少数采用DB-9串口端口(如Catalyst 3200)或DB-25串口端口(如Catalyst 2900)。 无论交换机采用DB-9或DB-25串行接口,还是采用RJ-45接口,都需要通过专门的Console线连接至配置用计算机(通常称作终端)的串行口。与交换机不同的Console端口相对应,Console线也分为两种:一种是串行线,即两端均为串行接口(两端均为母头),两端可以分别插入至计算机的串口和交换机的Console端口;另一种是两端均为RJ-45接头(RJ-45-to-RJ-45)的扁平线。由于扁平线两端均为RJ-45接口,无法直接与计算机串口进行连接,因此,还必须同时使用一个如图3所示的RJ-45-to-DB-9(或RJ-45-to-DB-25)的适配器。通常情况下,在交换机的包装箱中都会随机赠送这么一条Console线和相应的DB-9或DB-25适配器。
图3 2、软件配置 物理连接好了我们就要打开计算机和交换机电源进行软件配置了,下面我们以思科的一款网管型交换机“Catalyst 1900”来讲述这一配置过程。在正式进入配置之前我们还需要进入系统,步骤如下: 第1步:打开与交换机相连的计算机电源,运行计算机中的Windows 95、Windows 98或Windows 2000等其中一个操作系统。 第2步:检查是否安装有“超级终端”(Hyper Terminal)组件。如果在“附件”中没有发现该组件,可通过“添加/删除程序”(Add/Remove Program)的方式添加该Windows组件。 好了,“超级终端”安装好后我们就可以与交换机进行通信了(当然要连接好,并打开交换机电源了),下面的步骤就是正式进行配置了。在使用超级终端建立与交换机的通信之前,必须先对超级终端进行必要的设置。 Catalyst 1900交换机在配置前的所有缺省配置为:所有端口无端口名;所有端口的优先级为Normal方式,所有10/100Mbps以太网端口设为Auto方式,所有10/100Mbps以太网端口设为半双工方式,未配置虚拟子网。正式配置步骤如下(本文以Windows 98系统为例): 第1步:单击“开始”按钮,在“程序”菜单的“附件”选项中单击“超级终端”,弹出如图4所示界面。
图4
第2步:双击“Hypertrm”图标,弹出如图5所示对话框。这个对话框是用来对立一个新的超级终端连接项。
图5
第3步:在“名称”文本框中键入需新建超的级终端连接项名称,这主要是为了便于识别,没有什么特殊要求,我们这里键入“Cisco”,如果您想为这个连接项选择一个自己喜欢的图标的话,您也可以在下图的图标栏中选择一个,然后单击“确定”按钮,弹出如图6所示的对话框。
图6
第4步:在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口。单击“确定”按钮,弹出如图7所示的对话框。 图7
第5步:在“波特率”下拉列表框中选择“9600”,因为这是串口的最高通信速率,其他各选项统统采用默认值。单击“确定”按钮,如果通信正常的话就会出现类似于如下所示的主配置界面,并会在这个窗口中就会显示交换机的初始配置情况。
Catalyst 1900 Management Console Copyright (c) Cisco Systems, Inc。 1993-1999 All rights reserved。 Standard Edition Software Ethernet address: 00-E0-1E-7E-B4-40 PCA Number: 73-2239-01 PCA Serial Number: SAD01200001 Model Number: WS-C1924-A System Serial Number: FAA01200001 --------------------------------------- User Interface Menu 〔M〕 Menus //主配置菜单 〔I〕 IP Configuration //IP地址等配置 〔P〕 Console Password //控制密码配置 Enter Selection: //在此输入要选择项的快捷字母,然后按回车键确认 【注】“//”后面的内容为笔者对前面语句的解释,下同。 至此就正式进入了交换机配置界面了,下面的工作就可以正式配置交换机了。 3、交换机的基本配置 进入配置界面后,如果是第一次配置,则首先要进行的就是IP地址配置,这主要是为后面进行远程配置而准备。IP地址配置方法如下: 在前面所出现的配置界面“Enter Selection:”后中输入“I”字母,然后单击回车键,则出现如下配置信息: The IP Configuration Menu appears。 Catalyst 1900 - IP Configuration Ethernet Address:00-E0-1E-7E-B4-40 -------------Settings------------------ 〔I〕 IP address 〔S〕 Subnet mask 〔G〕 Default gateway 〔B〕 Management Bridge Group 〔M〕 IP address of DNS server 1 〔N〕 IP address of DNS server 2 〔D〕 Domain name 〔R〕 Use Routing Information Protocol -------------Actions------------------- 〔P〕 Ping 〔C〕 Clear cached DNS entries 〔X〕 Exit to previous menu Enter Selection: 在以上配置界面最后的“Enter Selection:”后再次输入“I”字母,选择以上配置菜单中的“IP address选项,配置交换机的IP地址,单击回车键后即出现如下所示配置界面: Enter administrative IP address in dotted quad format (nnn。nnn。nnn。nnn): //按”nnn。nnn。nnn。nnn“格式输入IP地址 Current setting ===> 0.0.0.0 //交换机没有配置前的IP地址为”0.0.0.0“,代表任何IP地址 New setting ===> //在此处键入新的IP地址 如果你还想配置交换机的子网掩码和默认网关,在以上IP配置界面里面分别选择”S“和”G“项即可。现在我们再来学习一下密码的配置: 在以上IP配置菜单中,选择”X“项退回到前面所介绍的交换机配置界面。 输入”P“字母后按回车键,然后在出现的提示符下输入一个4 ̄8位的密码(为安全起见,在屏幕上都是以”*“号显示),输入好后按回车键确认,重新回到以上登录主界面。 在你配置好IP和密码后,交换机就能够按照默认的配置来正常工作。如果想更改交换机配置以及监视网络状况,你可以通过控制命令菜单,或者是在任何地方通过基于WEB的Catalyst 1900 Switch Manager来进行操作。 如果交换机运行的是Cisco Catalyst 1900/2820企业版软件。你可以通过命令控制端口(command-line interface CLI)来改变配置。当进入配置主界面后,就在显示菜单多了项”Command Line“,而少了项”Console Password“,它在下级菜单中进行。 1 user(s) now active on Management Console。 User Interface Menu 〔M〕 Menus 〔K〕 Command Line 〔I〕 IP Configuration Enter Selection: 在这一版本中的配置方法与前面所介绍的配置方法基本一样,不同的只是在这一版本中可以通过命令方式(选择”〔K〕 Command Line“项即可)进行一些较高级配置,下面本文仅作简单介绍,在下篇中将介绍一个常见的高级配置,那就是VLAN的配置。 4、交换机高级配置的常见命令 在交换机的高级配置中,通常是利用以上配置菜单中的”〔K〕 Command Line“项进行的。 Cisco交换机所使用的软件系统为Catalyst IOS。CLI的全称为”Command-Line Interface“,中文名称就称之为”命令行界面“,它是一个基于DOS命令行的软件系统模式,对大小写不敏感(即不区分大小写)。有这种模式的不仅交换机有、路由器、防火墙都有,其实就是一系列相关命令,但它与DOS命令不同,CLI可以缩写命令与参数,只要它包含的字符足以与其他当前可用至的命令和参数区别开来即可。虽然对交换机的配置和管理也可以通过多种方式实现,既可以使用纯字符形式的命令行和菜单(Menu),也可以使用图形界面的Web浏览器或专门的网管软件(如CiscoWorks 2000)。相比较而言,命令行方式的功能更强大,但掌握起来难度也更大些。下面把交换机的一些常用的配置命令介绍如下。 Cisco IOS共包括6种不同的命令模式:User EXEC模式、Privileged EXEC模式、VLAN dataBase模式、Global configuration模式、Interface configuration模式和Line configuration模式。当在不同的模式下,CLI界面中会出现不同的提示符。为了方便大家的查找和使用,表1列出了6种CLI命令模式的用途、提示符、访问及退出方法。 Cisco IOS命令需要在各自的命令模式下才能执行,因此,如果想执行某个命令,必须先进入相应的配置模式。例如”interface type_number“命令只能在”Global configuration“模式下执行,而”plex full-flow-control“命令却只能在”Interface configuration“模式下执行。 在交换机CLI命令中,有一个最基本的命令,那就是帮助命令”?“,在任何命令模式下,只需键入”?“,即显示该命令模式下所有可用到的命令及其用途,这就交换机的帮助命令。另外,还可以在一个命令和参数后面加”?“,以寻求相关的帮助。 例如,我们想看一下在”Privileged Exec“模式下在哪些命令可用,那么,可以在”#“提示符下键入”?“,并回车。再如,如果想继续查看”Show“命令的用法,那么,只需键入”show ?“并回车即可。另外,”?“还具有局部关键字查找功能。也就是说,如果只记得某个命令的前几个字符,那么,可以使用”?“让系统列出所有以该字符或字符串开头的命令。但是,在最后一个字符和”?“之间不得有空格。例如,在”Privileged Exec“模式下键入”c?“,系统将显示以”c“开头的所有命令。 还要说明的一点是:Cisco IOS命令均支持缩写命令,也就是说,除非您有打字的癖好,否则根本没有必要键入完整的命令和关键字,只要键入的命令所包含的字符长到足以与其他命令区别就足够了。例如,可将”show configure“命令缩写为”sh conf“,可将”show configure“命令缩写为”sh conf“然后回车执行即可。 以上介绍了命令方式下的常见配置命令,由于配置过程比较复杂,在此不作详细介绍。 二、远程配置方式 我们上面就已经介绍过交换机除了可以通过Console端口与计算机直接连接外,还可以通过交换机的普通端口进行连接。如果是堆栈型的,也可以把几台交换机堆在一起进行配置,因为这时实际上它们是一个整体,一般只有一台具有网管能力。这时通过普通端口对交换机进行管理时,就不再使用超级终端了,而是以Telnet或Web浏览器的方式实现与被管理交换机的通信。因为我们在前面的本地配置方式中已为交换机配置好了IP地址,我们可通过IP地址与交换机进行通信,不过要注意,同样只有是网管型的交换机才具有这种管理功能。因为这种远程配置方式中又可以通过两种不同的方式来进行,所以我们也就分别介绍。 1、Telnet方式 Telnet协议是一种远程访问协议,可以用它登录到远程计算机、网络设备或专用TCP/IP网络。Windows 95/98及其以后的Windows系统、UNIX/Linux等系统中都内置有Telnet客户端程序,我们就可以用它来实现与远程交换机的通信。 在使用Telnet连接至交换机前,应当确认已经做好以下准备工作: ·在用于管理的计算机中安装有TCP/IP协议,并配置好了IP地址信息。 ·在被管理的交换机上已经配置好IP地址信息。如果尚未配置IP地址信息,则必须通过Console端口进行设置。 ·在被管理的交换机上建立了具有管理权限的用户帐户。如果没有建立新的帐户,则Cisco交换机默认的管理员帐户为”Admin“。
在计算机上运行Telnet客户端程序(这个程序在Windows 系统中与UNIX、Linux系统中都有,而且用法基本是是兼容的,特别是在Windows 2000系统中的Telnet程序),并登录至远程交换机。如果我们前面已经设置交换机的IP地址为:61.159.62.182,下面只介绍进入配置界面的方法,至于如何配置那是比较多的,要视具体情况而定,不作具体介绍。进入配置界面步骤很简单,只需简单的两步: 第1步:单击”开始“按钮选择”运行“菜单项,然后在对话框中按”telnet 61.159.62.182“格式输入登录(当然也可先不输入IP地址,在进入telnet主界面后再进行连接,但是这样会多了一步,直接在后面输入要连接的IP的地址更好些),如图8所示。如果为交换机配置了名称,则也可以直接在”Telnet“命令后面空一个空格后输入交换机的名称。 Telnet命令的一般格式如下: telnet 〔Hostname/port〕,这里要注意的是”Hostnqme包括了交换机的名称,但更多的是我们在前面是为交换机配置了IP地址,所以在这里更多的是指交换机的IP地址。格式后面的“Port”一般是不需要输入的,它是用来设定Telnet通信所用的端口的,一般来说Telnet通信端口,在TCP/IP协议中有规定,为23号端口,最好不用改它,也就是说我们可以不接这个参数。 第2步,输入好后,单击“确定”按钮,或单击回车键,建立与远程交换机的连接。如图9所示为与计算机通过Tetnet与Catalyst 1900交换机建立连接时显示的界面。 在图中显示了包括两个菜单项的配置菜单:Menus、Command Line。然后,就可以根据实际需要对该交换机进行相应的配置和管理了。 2、Web浏览器的方式 当利用Console口为交换机设置好IP地址信息并启用HTTP服务后,即可通过支持JAVA的Web浏览器访问交换机,并可通过Web通过浏览器修改交换机的各种参数并对交换机进行管理。事实上,通过Web界面,可以对交换机的许多重要参数进行修改和设置,并可实时查看交换机的运行状态。不过在利用Web浏览器访问交换机之前,应当确认已经做好以下准备工作: ·在用于管理的计算机中安装TCP/IP协议,且在计算机和被管理的交换机上都已经配置好IP地址信息。 ·用于管理的计算机中安装有支持JAVA的Web浏览器,如Internet Explorer 4.0及以上版本、Netscape 4.0及以上版本,以及Oprea with JAVA。 ·在被管理的交换机上建立了拥有管理权限的用户帐户和密码。 ·被管理交换机的Cisco IOS支持HTTP服务,并且已经启用了该服务。否则,应通过Console端口升级Cisco IOS或启用HTTP服务。 通过Web浏览器的方式进行配置的方法如下: 第1步:把计算机连接在交换机的一个普通端口上,在计算机上运行Web浏览器。在浏览器的“地址”中栏键入被管理交换机的IP地址(如61.159.62.182)或为其指定的名称。单击回车键,弹出如图10所示对话框。 第2步:分别在“用户名”和“密码”框中,键入拥有管理权限的用户名和密码。用户名/密码对应当事先通过Console端口进行设置。 第3步:单击“确定”按钮,即可建立与被管理交换机的连接,在Web浏览器中显示交换机的管理界面。如图11所示页面为与Cisco Catalyst 1900建立连接后,显示在Web浏览器中的配置界面。首先看到的是要求输入用户帐号和密码,这时您就输入在上面已设置好的交换机配置超级用户帐号和密码进入系统。 接下来,就可以通过Web界面中的提示,一步步查看交换机的各种参数和运行状态,并可根据需要对交换机的某些参数作必要的修改。
❷ 光纤交换机配置
谈起交换机本地配置,首先我们来看一下交换机的物理连接。交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的。下面是我跟大家分享的是光纤交换机配置,欢迎大家来阅读学习。
光纤交换机配置
工具/原料
Windows电脑
交换机
第1步:
1第1步:单击“开始”按钮,在“程序”菜单的“附件”选项中单击“超级终端”,弹出如图所示界面。
3第2步,输入正确的用户名和密码。
4第3步,连接建立,可进入交换机配置系统。
5第4步,根据提示进行交换机设置和参数修改。
交换机的安全配置
1交换机的安全配置在病毒肆意的今天越来越受到人们的关注,下面介绍六种交换机配置方法来增强交换机的安全。
21、 L2-L4层过滤
现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则配置有两种模式,一种是MAC模式配置,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式配置,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包。
建立好的规则必须附加到相应的接收或传送端口上,则当交换机六种安全设置此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机六种安全设置通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
32、802.1X 基于端口的访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。
持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性。
另外,GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。
43、流量控制(traffic control)
交换机六种安全设置的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机六种安全设置带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。
54、SNMP v3及SSH
安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即USM.USM对网管消息进行加密和认证是基于用户进行的。
具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。
至于通过Telnet 的远程网络管理,由于Telnet 服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听,便于网管人员进行远程的安全网络管理。
65、Syslog和Watchdog
交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
Watchdog 通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。
76、双映像文件
一些最新的交换机,像ASUSGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和 mirror两部分进行保存,如果一个文件系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。
如何清除交换机配置
一、清除交换机配置命令:write erase
二、删除vlan.
第一步:察看当前VLAN配置
Cat2950#show vlan
第二步:察看Flash中的文件名称(交换机的配置文件和ios都保存在Flash中)
Cat2950#dir flash: 看一下VLAN文件在FLASH里的具体名称,一般的都是VLAN.DAT
第三步:删除vlan.dat (交换机的VLAN信息保存在vlan.dat中)
Cat2950#delete flash:vlan.dat
第四步:察看当前的VLAN配置
Cat2950#show vlan
❸ 交换机端口安全主要有那两种方式端口地址绑定可以预防哪些内网的网络攻击
防止局域网ARP攻击。
限制交换机端口的最大连接数 ,控制网络的恶意扩展和接入,端口的安全地址绑定, 解决局域网中IP地址冲突、ARP欺骗等问题。
VLAN具备一个物理网段所具备的特性。相同的VLAN内的主机可以相互直接访问,不同的VLAN间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN内进行传播,不能传输到其他VLAN中。
(3)交换机安全配置检查包括哪些方面扩展阅读:
注意事项:
应该做好外部电源的供应工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。
如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注意。
在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。
❹ 交换机端口安全问题有哪些
交换机端口安全总结
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。
首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时 ,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
理解端口安全:
当你给一个端口配置了最大安全mac地址数量,安全地址是以一下方式包括在一个地址表中的:
·你可以配置所有的mac地址使用 switchport port-security mac-address
·你也可以允许动态配置安全mac地址,使用已连接的设备的mac地址。
·你可以配置一个地址的数目且允许保持动态配置。
注意:如果这个端口shutdown了,所有的动态学的mac地址都会被移除。
一旦达到配置的最大的mac地址的数量,地址们就会被存在一个地址表中。设置最大mac地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。
当以下情况发生时就是一个安全违规:
·最大安全数目mac地址表外的一个mac地址试图访问这个端口。
·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。
你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:
·protect-当mac地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac地址,来降下最大数值之后才会不丢弃。
·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。
·shutdown-一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态,你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发snmp陷阱。
下面是配置端口安全的向导-
·安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure之前必须的是switch mode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现,安全性设置不会改变。
最后说一下802.1X的相关概念和配置。
802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-model /启用AAA认证。
3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
后记
通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
通过MAC地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X身份验证协议。在可控性,可管理性上802.1X都是不错的选择