一�、mac綁定
交換機(jī)安全特性可以讓我們配置交換機(jī)端口,使得當(dāng)具有非法MAC地址的設(shè)備接入時����,交換機(jī)會自動關(guān)閉接口或者拒絕非法設(shè)備接入����,也可以限制某個端口上最大的MAC地址數(shù)
情景模擬(Cisco S3550)
在交換機(jī)上配置從f0/11接口上只允許MAC地址為00e0.fc01.0000的主機(jī)接入
S1(config)#int f0/11
S1(config-if)#shutdown
S1(config-if)#switch mode access//把端口改為訪問模式
S1(config-if)#switch port-security//打開交換機(jī)的端口安全功能
S1(confg-if)#switch port-security maximum 1//設(shè)置只允許該端口下的MAC條目最大數(shù)量為1,即只允許一個設(shè)備接入
S1(config-if)#switch port-security violation shutdown
“switch port-securityviolation{protect|shutdown|restrict}”//命令含義如下:
lprotect;當(dāng)新的計算機(jī)接入時�����,如果該接口的MAC條目超過最大數(shù)量�,則這個新的計算機(jī)將無法接入,而原有的計算機(jī)不受影響;
lshutdown;當(dāng)新的計算機(jī)接入時�����,如果該接口的MAC條目超過最大數(shù)量,則該接口將會被關(guān)閉�,則這個新的計算機(jī)和原有的計算機(jī)都無法接入,需要管理員使用”no shutdown”命令重新打開;
lrestrcit;當(dāng)新的計算機(jī)接入時�,如果該接口的MAC條目超過最大數(shù)量,則這個新的計算機(jī)可以接入����,然而交換機(jī)將向發(fā)送警告信息。
S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//設(shè)置接入該端口要匹配的MAC地址
二�、ARP綁定
ARP(Address Resolution Protocol,地址解析協(xié)議)是獲取物理地址的一個TCP/IP協(xié)議����。某節(jié)點的IP地址的ARP請求被廣播到網(wǎng)絡(luò)上后,這個節(jié)點會收到確認(rèn)其物理地址的應(yīng)答�����,這樣的數(shù)據(jù)包才能被傳送出去�����。RARP(逆向ARP)經(jīng)常在無盤工作站上使用�,以獲得它的邏輯IP地址�。
使用ARP綁定可以有效的避免廣播�����,將ip地址與mac地址進(jìn)行綁定����,也可以防止本網(wǎng)段內(nèi)的其他主機(jī)假冒本機(jī)的ip地址來進(jìn)行非法的活動
例:
Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1
配置局域網(wǎng)內(nèi)IP 地址129.102.0.1對應(yīng)的MAC地址為00e0.fc01.0000��,經(jīng)過VLAN1 經(jīng)過以太網(wǎng)端口Ethernet0/1
情景模擬(華為交換機(jī))
在交換機(jī)上配置只允許ip地址為192.168.1.200����,mac地址為00e0.fc01.0000的主機(jī)進(jìn)行日常的遠(yuǎn)程維護(hù)
acl number 2000
rule 10 permit source 192.168.1.200 0.0.0.0
rule 20 deny source any
user-interface vty 0 4
acl 2000 inbound
此時已經(jīng)設(shè)置只有ip地址為192.168.1.200的主機(jī)可以進(jìn)行遠(yuǎn)程訪問,此時要防止其他主機(jī)來盜用管理主機(jī)的ip地址來進(jìn)行遠(yuǎn)程訪問
arp static 192.168.1.200 00e0.fc01.0000
arp綁定之后��,冒充管理主機(jī)ip地址的主機(jī)就無法進(jìn)行遠(yuǎn)程訪問了
三�、vlan
可以實現(xiàn)交換機(jī)的各個端口之間兩兩互不通信,將每個端口放在不同的vlan中即可實現(xiàn)�����,可以用在寬帶接入中的每家每戶之間不能通信����,但與上聯(lián)鏈路可以通信。
四����、端口隔離
通過端口隔離特性�,用戶可以將需要進(jìn)行控制的端口加入到一個隔離組中���,實現(xiàn)隔
離組中的端口之間二層���、三層數(shù)據(jù)的隔離,既增強(qiáng)了網(wǎng)絡(luò)的安全性����,也為用戶提供
了靈活的組網(wǎng)方案。
當(dāng)聚合組中的某個端口加入到隔離組后����,同一聚合組內(nèi)的其它端口,均會自動加入
隔離組中���。
可以在二層和三層交換機(jī)上實現(xiàn)端口隔離
在二層交換機(jī)上只能創(chuàng)建一個隔離組�����,處在同一個隔離組的端口兩兩之間不能通信
例:(華為二層交換機(jī))
1. 組網(wǎng)需求
小區(qū)用戶PC2、PC3���、PC4分別與交換機(jī)的以太網(wǎng)端口Ethernet1/0/2�����、
Ethernet1/0/3��、Ethernet1/0/4相連
交換機(jī)通過Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
小區(qū)用戶PC2�、PC3和PC4之間不能互通
2. 組網(wǎng)圖
3. 配置步驟
# 將以太網(wǎng)端口Ethernet1/0/2、Ethernet1/0/3�、Ethernet1/0/4加入隔離組。
system-view
System View: return to User View withCtrl+Z.
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
[Quidway]
# 顯示隔離組中的端口信息��。
display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
在三層交換機(jī)上可以創(chuàng)建多個隔離組�����,處在同一個隔離組的端口兩兩之間不能通信�,但可以與其他隔離組中的端口通信
例:(華為 S3526)
1. 組網(wǎng)需求
小區(qū)用戶PC2、PC3�、PC4分別與交換機(jī)的以太網(wǎng)端口Ethernet1/0/2、
Ethernet1/0/3�、Ethernet1/0/4相連
交換機(jī)通過Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
小區(qū)用戶PC2和PC3之間不能互通,但都能與PC4互通
2. 組網(wǎng)圖
3. 配置步驟
# 將以太網(wǎng)端口Ethernet1/0/2����、Ethernet1/0/3加入隔離組�����。
system-view
System View: return to User View withCtrl+Z.
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3
[Quidway-Ethernet1/0/2] quit
# 由于在ethernet1/0/2已經(jīng)指明要隔離的端口是ethernet1/0/3�,所以無需在端口ethernet1/0/3重復(fù)指明其隔離端口是ethernet1/0/2�����,ethernet1/0/3端口將會自動將端口ethernet1/0/2視為隔離端口
在三層交換機(jī)上不僅可以實現(xiàn)與二層交換機(jī)上相類似的端口隔離的功能還能實現(xiàn)端口與IP地址的綁定�����。端口和ip綁定����,要求數(shù)據(jù)流量必須通過三層設(shè)備,如vlan間通信的時候就可以用到這項技術(shù)��,但是如果數(shù)據(jù)流量沒有通過三層設(shè)備�,如vlan內(nèi)部的通信,端口和ip綁定是沒有意義的
例:(華為 S3526)
1. 組網(wǎng)需求
vlan20的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/2端口
vlan30的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/3端口
交換機(jī)通過Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
vlan20內(nèi)的主機(jī)只允許IP地址為192.168.20.10的主機(jī)通過Ethernet1/0/2端口與外部通信
2. 組網(wǎng)圖
3. 配置步驟
# 修改端口類型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 創(chuàng)建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 設(shè)置允許通過的主機(jī)
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10
[Quidway-Ethernet1/0/2] quit
# 此時vlan20中能通過其網(wǎng)關(guān)的就只有192.168.20.10這臺主機(jī)了
五��、ACL(二層����、三層)
ACL(Access Control List,訪問控制列表)主要用來實現(xiàn)流識別功能����。網(wǎng)絡(luò)設(shè)備為
了過濾數(shù)據(jù)包,需要配置一系列的匹配規(guī)則���,以識別需要過濾的報文��。在識別出特
定的報文之后�,才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過����。
ACL通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類,這些條件可以是數(shù)據(jù)包的源地址�����、
目的地址�����、端口號等�。
由ACL定義的數(shù)據(jù)包匹配規(guī)則,可以被其它需要對流量進(jìn)行區(qū)分的功能引用,如
QoS中流分類規(guī)則的定義�����。
根據(jù)應(yīng)用目的�,可將ACL分為下面幾種:
基本ACL:只根據(jù)三層源IP地址制定規(guī)則。
高級ACL:根據(jù)數(shù)據(jù)包的源IP地址信息�、目的IP地址信息、IP承載的協(xié)議類
型��、協(xié)議特性等三�、四層信息制定規(guī)則。
二層ACL:根據(jù)源MAC地址���、目的MAC地址�、VLAN優(yōu)先級����、二層協(xié)議類
型等二層信息制定規(guī)則。
ACL在交換機(jī)上的應(yīng)用方式
1. ACL直接下發(fā)到硬件中的情況
交換機(jī)中ACL可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中報文的過濾和
流分類���。此時一條ACL中多個規(guī)則的匹配順序是由交換機(jī)的硬件決定的��,用戶即使
在定義ACL時配置了匹配順序����,該匹配順序也不起作用。
ACL直接下發(fā)到硬件的情況包括:交換機(jī)實現(xiàn)QoS功能時引用ACL��、通過ACL過
濾轉(zhuǎn)發(fā)數(shù)據(jù)等��。
2. ACL被上層模塊引用的情況
交換機(jī)也使用ACL來對由軟件處理的報文進(jìn)行過濾和流分類�。此時ACL規(guī)則的匹
配順序有兩種:config(指定匹配該規(guī)則時按用戶的配置順序)和auto(指定匹配
該規(guī)則時系統(tǒng)自動排序��,即按“深度優(yōu)先”的順序)��。這種情況下用戶可以在定義
ACL的時候指定一條ACL中多個規(guī)則的匹配順序�����。用戶一旦指定某一條ACL的匹
配順序��,就不能再更改該順序�。只有把該列表中所有的規(guī)則全部刪除后,才能重新
指定其匹配順序�����。
ACL被軟件引用的情況包括:對登錄用戶進(jìn)行控制時引用ACL等�。
例:(華為 S3526)
ACL 直接下發(fā)到硬件中
1. 組網(wǎng)需求
vlan20的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/2端口
vlan30的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/3端口
交換機(jī)通過Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
IP地址為192.168.20.10的主機(jī)MAC地址為1E-65-9D-2D-21-E2
IP地址為192.168.30.10的主機(jī)MAC地址為1C-65-9D-2D-21-E2
禁止192.168.20.10的主機(jī)與192.168.30.10的主機(jī)通信
2. 組網(wǎng)圖
3. 配置步驟
# 修改端口類型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 創(chuàng)建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 設(shè)置被禁止通信的主機(jī)
[Quidway]acl number 4000 match-order auto
[Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2
[Quidway-acl-link-4000]quit
[Quidway]packet-filter link-group 4000
例:(華為 S3526)
ACL 被上層模塊引用
1�、需求
某個設(shè)備只允許管理員主機(jī)進(jìn)行遠(yuǎn)程訪問�,假設(shè)管理員主機(jī)IP為192.168.2.100
2、配置
# 創(chuàng)建訪問控制列表
system-view
[Quidway] acl number 2000 match-order auto
[Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0
[Quidway-acl-basic-2000] rule deny source any
[Quidway-acl-basic-2000] quit
# 被上層模塊引用
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none
[Quidway-ui-vty0-4] acl 2000 inbound
[Quidway-ui-vty0-4]quit
