登录站点

用户名

密码

交换机安全

3已有 1934 次阅读  2013-01-26 17:18   标签交换机  安全  style 

1.基于主机MAC来允许流量
 ·可定义2个参数:授权的MAC地址/允许学习多少个MAC地址(默认=1
 ·违背端口安全,采取的行为:
  1.shutdown将永久性或特定周期内Err-Disable端口(默认行为),并发送snmp trap
    2.restrict
当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop,并将violation计数器增加
  3.protect 当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop

int f0/1
  switchport mode access      //
启用端口安全时,必须先设为access接口
  switchport port-security    //
启用端口安全(默认只能学一个MAC,当没有开Port-security时,可以接收无数个)
  switchport port-security maximum 1   //
指定最多允许学多少个地址
  switchport port-security mac-address aaaa.bbbb.cccc
  switchport port-security violation [protect|restrict|shutdown] //
指定行为

  switchport port-security aging time 1 (分钟)//设定多长时间后能重新学习MAC地址,也就是设定现有MAC地址的有效期

  switchport port-security mac-address sticky  //将动态学到的地址粘住,永久使用


show port-security                  //
可以看到哪些接口应用了端口安全
show port-security address          //
可以看到授权的MAC地址
show port-security interface f0/1   //
可以看到接口的具体状态
show interfaces fastEthernet 0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)

通常做接口安全,要先把接口shut down,这样它就不会自动学习

err-disable接口自动恢复
errdisable recovery cause psecure-violation(
设置时间:errdisable recovery interval time)
show errdisable

 

2.基于主机MAC来限制流量 3550上才可以做)
 列表中定义的MAC将被限制流量

mac-address-table static 0010.7b80.7b9b vlan 1 drop

 

3.阻塞未知单()播扩散 3550上才可以做)
 对未知MAC地址,SW将从本VLAN的其他端口转发出去,但对于某些端口(端口安全只需要一个MAC/已到最大MAC)没必要再转发这些单(组)播。就可以在这些端口上设定这一特性,通常结合端口安全来做。


int f0/1
  switchport block [unicast | multicast]

show int f0/1 switchport

...Unknown unicast blocked: enabled
...Unknown multicast blocked: disabled

 

4802.1x基于端口的认证
一种第二层的访问控制方法,通过AAA服务器对接入一个接口的用户进行认证,以决定客户能否访问网络。

配置:
aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control

interface f0/1
  dot1x port-control auto


Vlan
access-map (可以基于macip)
VACL也叫VLAN映射表通过VACL可以实现对一个VLAN中的流量进行过滤。VACL可以根据二层信息进行过滤,也可以根据三层信息来进行过滤。

1、通过调用IP  ACL,可以根据三层的IP地址、协议以及端口号等信息进行过滤。
2
、通过调用MAC  ACL,可以根据MAC地址进行过滤,还可以过滤其它的非IP流量。

     每一个VACL可以包含多条语句,每一条语句对于匹配的流量可以有三种不同的操作:
     1
forward   转发,对数据帧或数据包进行正常转发
     2
drop   丢弃,当数据流与某个拒绝语句匹配上,将被丢弃
     3
、重定向  对于数据流的转发方向作重定向   (高端交换机才支持)
    
注意:如果没有说明一条语句的操作行为,默认的行为是forward。如果进入VLAN的数据流没有匹配上任何一条语句,最后将被丢弃掉。

基于IP的:

access-list 1 permit 192.168.1.1 0.0.0.0

vlan access-map WOLF 10
  match ip address 1
  action drop
vlan access-map WOLF 20
  action forword

vlan filter WOLF vlan-list 100   //全局模式下调用,要指明用在哪个VLAN,也可对所有ALL

注意:每一条语句默认是转发的  show run 可以看到有 action forword

show vlan access-map
show vlan filter

 

基于mac地址的(MAC地址列表,PACL)
1
、先写MAC地址列表
mac access-list extended ccnp
 permit host 00e0.1e3d.d18c any

2、再写access-map
vlan access-map wolf 10
 action drop
 match mac address ccnp
vlan access-map wolf 20
 action forward

3、调用:
R1(config)#vlan filter wolf vlan-list 10
                      Access-map
的名字   vlan
R1(config)#vlan filter wolf vlan-list all  
对所有VLAN

注意:做这个实验时,要在每一台路由器上先clear arp-cache

 

分享 举报

发表评论 评论 (3 个评论)

涂鸦板