交换机端口安全性总结
对端口安全最常用的理解是,可以根据mac地址对网络流量进行控制和管理,比如将MAC地址绑定到特定端口,限制通过特定端口的MAC地址数量,或者不允许某些MAC地址的帧流量通过特定端口。推而广之,端口安全意味着网络访问流量可以按照802.1X来控制
先说说MAC地址和端口的绑定,以及根据MAC地址允许流量的配置。
1.MAC地址绑定到端口。当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机的相应端口将关闭。当MAC地址分配给端口时,端口模式必须是接入或中继。
3550-1号会议室
3550-1(配置)#int f0/1
350-1 (config-if) #交换机端口模式访问/指定端口模式。
350-1(配置-if) #交换机端口端口-安全MAC地址00-90-F5-10-79-C1/配置MAC地址。
350-1(config-if)# switch port-security maximum 1/将允许通过此端口的MAC地址数量限制为1。
350-1 (config-if) # switchport端口-安全违规关闭/当发现与上述配置不一致时,端口关闭。
2.通过MAC地址限制端口流量。这种配置允许中继端口传递多达100个MAC地址。如果超过100,来自新主机的数据帧将会丢失。
3550-1号会议室
3550-1(配置)#int f0/1
3550-1(配置-if)#交换机端口中继封装dot1q
350-1 (config-if) #交换机端口模式中继/将端口模式配置为中继。
350-1(config-if)# switch port-安全最大值100/此端口允许的最大MAC地址数为100。
350-1(config-if)# switch port-security violation protect/当主机MAC地址数量超过100时,交换机将继续工作,但来自新主机的数据帧将会丢失。
上面的配置允许基于MAC地址的流量,而下面的配置拒绝基于MAC地址的流量。
1.此配置只能过滤Catalyst交换机中的单播流量,而不能过滤组播流量。
3550-1号会议室
350-1(配置)# MAC-address-tablestatic 00-90-F5-10-79-C1 Vlan 2 Drop/Drop相应VLAN中的流量。
3550-1号会议室
350-1(配置)# MAC-address-tablestatic 00-90-F5-10-79-C1 VLAN 2 int F0/1/丢弃相应接口的流量。
了解端口安全:
当您为端口配置最大数量的安全mac地址时,安全地址会以下列方式包含在地址表中:
-您可以将所有mac地址配置为使用switch port port-security MAC-address MAC address这一接口命令。
-您还可以允许动态配置安全mac地址,并使用连接设备的mac地址。
-您可以配置地址数量,并允许动态配置。
注意:如果此端口关闭,所有动态mac地址都将被删除。
一旦达到配置的最大mac地址数,这些地址将存储在地址表中。将mac地址的最大数量设置为1,并配置连接到该设备的地址,以确保该设备独占该端口的带宽。
在以下情况下会发生安全违规:
-最大安全号的mac地址表之外的mac地址试图访问此端口。
-其mac地址被配置为其他接口的安全mac地址的站试图访问此端口。
您可以配置界面的三种违规模式,这些模式基于违规发生后的操作:
-protect-当mac地址数量达到该端口允许的最大数量时,带有未知源地址的数据包将被丢弃,直到删除足够多的mac地址以降低最大值,才会被丢弃。
-restrict-限制数据总量并导致“安全违规”计数器增加的端口安全违规操作。
shut down端口安全违规操作,导致接口立即关闭并发送SNMP陷阱。当安全端口处于错误禁用状态时,如果要恢复正常,必须在全局情况下输入errdisable recovery cause p secure-violation命令,也可以手动关闭,然后关闭端口。这是端口安全违规的默认操作。
默认端口安全配置:
以下是接口下的端口安全配置-
属性:端口隐私默认设置:关闭。
属性:安全mac地址的最大数量默认设置:1
功能:违规模式默认配置:关机。当安全mac地址达到最大数量时,此端口将关闭并导致snmp陷阱。
以下是配置端口安全的向导-
-安全端口不能在动态接入端口或中继端口上完成,换句话说,它必须在交换机模式acc之后,端口安全之前。
-安全端口不能是受保护的端口。
-安全端口不能是SPAN的目的地址。
-安全端口不能属于GEC或FEC组。
-安全端口不能属于802.1x端口。如果尝试在安全端口打开802.1x,会出现错误信息,802.1x也被关闭。如果您尝试将802.1x开放的端口更改为安全端口,将出现错误信息,并且安全设置不会更改。
最后讨论了802.1X的相关概念和配置。
802.1X认证协议最早用于无线网络,后来用于普通交换机、路由器等网络设备。它可以基于端口对用户的身份进行认证,即当用户的数据流量试图通过配置了802.1X协议的端口时,必须对用户的身份进行验证,如果合法则允许用户访问网络。这样做的好处是可以在内网认证用户,简化配置,一定程度上可以替代Windows的AD。
要配置802.1X认证协议,首先要全局启用AAA认证,这和在网络边界上使用AAA认证区别不大,只是认证协议是802.1 x;其次,你需要在相应的接口上启用802.1X认证。(建议在所有端口上启用802.1X身份验证,并使用radius服务器管理用户名和密码)
以下配置使用本地用户名和密码进行AAA身份验证。
3550-1号会议室
350-1(配置)# AAA新型号/启用AAA认证。
350-1(配置)# AAA身份验证dot1x默认本地/全局启用802.1X协议身份验证并使用本地用户名和密码。
3550-1(配置)#int范围f0/1 -24
350-1(config-if-range)# dot 1 xport-control auto/在所有接口上启用802.1X身份验证。
附言
通过MAC地址控制网络流量可以通过上述配置实现,也可以通过访问控制列表实现。比如在Cata3550上,可以通过访问控制列表No实现MAC地址过滤。700-799.不过用访问控制列表控制流量比较麻烦,好像用的比较少,这里就不介绍了。
MAC地址绑定虽然可以在一定程度上保证内网的安全,但是效果并不是很好。建议使用802.1X身份验证协议。802.1X在可控性和可管理性上是个不错的选择。
