最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來做對(duì)網(wǎng)絡(luò)流量的控制和管理���,比如 MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數(shù)量�,或者在具體的端口不允許某些MAC地址的幀流量通過�。稍微引申下端口安全���,就是可以根據(jù)802.1X來控制網(wǎng)絡(luò)的訪問流量�����。
首先談一下MAC地址與端口綁定���,以及根據(jù)MAC地址允許流量的配置。
1.MAC地址與端口綁定�,當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí),交換機(jī)相應(yīng)的端口將down掉���。當(dāng)給端口指定MAC地址時(shí)�,端口模式必須為access或者Trunk狀態(tài)�����。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式�����。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址�。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許 通過的MAC地址數(shù)為1�。
3550-1(config-if)#switchport port-security violation shutdown /當(dāng)發(fā)現(xiàn)與上述配置不符時(shí)�����,端口down掉���。
2.通過MAC地址來限制端口流量�����,此配置允許一TRUNK口最多通過100個(gè)MAC地址�,超過100時(shí)�,但來自新的主機(jī)的數(shù)據(jù)幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK�����。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數(shù)目為100�����。
3550-1(config-if)#switchport port-security violation protect /當(dāng)主機(jī)MAC地址數(shù)目超過100時(shí)�����,交換機(jī)繼續(xù)工作�,但來自新的主機(jī)的數(shù)據(jù)幀將丟失。
上面的配置根據(jù)MAC地址來允許流量�,下面的配置則是根據(jù)MAC地址來拒絕流量。
1.此配置在Catalyst交換機(jī)中只能對(duì)單播流量進(jìn)行過濾�����,對(duì)于多播流量則無效���。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應(yīng)的Vlan丟棄流量�。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應(yīng)的接口丟棄流量���。
最后說一下802.1X的相關(guān)概念和配置�����。
802.1X身份驗(yàn)證協(xié)議最初使用于無線網(wǎng)絡(luò)���,后來才在普通交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備上使用。它可基于端口來對(duì)用戶身份進(jìn)行認(rèn)證�����,即當(dāng)用戶的數(shù)據(jù)流量企圖 通過配置過802.1X協(xié)議的端口時(shí),必須進(jìn)行身份的驗(yàn)證�����,合法則允許其訪問網(wǎng)絡(luò)���。這樣的做的好處就是可以對(duì)內(nèi)網(wǎng)的用戶進(jìn)行認(rèn)證���,并且簡(jiǎn)化配置,在一定的 程度上可以取代Windows 的AD�。
配置802.1X身份驗(yàn)證協(xié)議,首先得全局啟用AAA認(rèn)證�����,這個(gè)和在網(wǎng)絡(luò)邊界上使用AAA認(rèn)證沒有太多的區(qū)別���,只不過認(rèn)證的協(xié)議是802.1X;其次則需 要在相應(yīng)的接口上啟用802.1X身份驗(yàn)證���。(建議在所有的端口上啟用802.1X身份驗(yàn)證���,并且使用radius服務(wù)器來管理用戶名和密碼)
下面的配置AAA認(rèn)證所使用的為本地的用戶名和密碼���。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認(rèn)證���。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協(xié)議認(rèn)證,并使用本地用戶名與密碼�����。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗(yàn)證�����。
后記
通過MAC地址來控制網(wǎng)絡(luò)的流量既可以通過上面的配置來實(shí)現(xiàn)���,也可以通過訪問控制列表來實(shí)現(xiàn)�����,比如在Cata3550上可通過700-799號(hào)的訪問控制列表可實(shí)現(xiàn)MAC地址過濾���。但是利用訪問控制列表來控制流量比較麻煩���,似乎用的也比較少,這里就不多介紹了���。
通過MAC地址綁定雖然在一定程度上可保證內(nèi)網(wǎng)安全�,但效果并不是很好���,建議使用802.1X身份驗(yàn)證協(xié)議���。在可控性,可管理性上802.1X都是不錯(cuò)的選擇�����。
關(guān)于交換機(jī)端口安全配置的補(bǔ)充
實(shí)現(xiàn)交換機(jī)端口安全配置后一旦接入口的PC更換,則該端口需要重新配置.
使用如下操作會(huì)更加快捷
1 端口 shutdown
2 清端口上綁定的Mac地址并綁入新的Mac地址
3 clear arp
4 clear port all int fa0/*
5 端口 no shutdown
來源:互聯(lián)網(wǎng)
企業(yè)通訊
