思科交换机安全很全的详细配置讲解.docx

cisco全部局域网缓解技术 交换机安全 802.1X, port-security, DHCP SNOOP, DAI, VACL, SPAN RSPAN 端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping 常用的方式： 1, 802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全； 许多名字，有些烦当流量来到某个端口，须要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必需支持802.1X方式，如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)运用这个协议来传递认证授权信息 示例配置： Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用 可选配置： Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，留意：假如会话已经建立，此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证恳求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4 //客户端须要输入认证信息，通过该端口应答AAA服务器，假如交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次 Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host //默认是一个主机，当运用多个主机模式，必需运用AUTO方式授权，当一个主机胜利授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，全部主机都不可以运用该端口 Switch#configure terminal Switch(config)#dot1x guest-vlan supplicant Switch(config)#interface fa0/3 Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，供应了敏捷性 //留意：1, VLAN2必需是在本交换机激活的，安排安排给游客运用；2, VLAN2信息不会被VTP传递出去 Switch(config)#interface fa0/3 Switch(config-if)#dot1x default //回到默认设置 show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x all Dot1x Info for interface FastEthernet0/3 Supplicant MAC 0040.4513.075b AuthSM State = AUTHENTICATED BendSM State = IDLE PortStatus = AUTHORIZED MaxReq = 2 HostMode = Single Port Control = Auto QuietPeriod = 60 Seconds Re-authentication = Enabled ReAuthPeriod = 120 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds Guest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all} 2, 端口安全，解决CAM表溢出攻击（有种MACOF的工具，每分钟可以产生155000个MAC地址，去轰击CAM表，从而使合法主机的要求都必需被FLOOD） 示例配置： Switch#configure terminal Switch(config)#interface fastethernet0/0 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 20 //这里默认是1 Switch(config-if)#switchport port-security mac-address sticky //保存学习到的地址到RUN CONFIG文件中，避开手动配置的麻烦，并省去动态学习所消耗的资源 switchport port-security violation {protect | restrict | shutdown} 三个参数说明： protect（爱护）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，且不产生通知 restrict（限制）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，产生通知，如SNMP TRAP, SYSLOG信息，并增加违反记数；这里有个问题，恶意攻击会产生大量的类似信息，给网络带来不利。 shutdown（关闭）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接关闭该端口，除非手动开启，或改变端口安全策略 端口安全须要全部手动配置，增加工作量，下面的两种方式 DHCP SNOOP 如网吧的管理员运用DHCP安排地址的时候执行IP和MAC地址的捆绑 Switch#configure terminal Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 34 Switch(config)#ip dhcp snooping information option Switch(config)#interface fa0/0 //连接DHCP服务器的接口 Switch(config-if)#ip dhcp snooping limit rate 70 Switch(config-if)#ip dhcp snooping trust //指定该接口为信任接口，将获得DHCP服务器所安排的地址，其他接口所发生的DHCP行为将被否决 DAI 动态ARP审查，调用ACL和DHCP SNOOP的IP-TO-MAC数据库 Switch#configure terminal Switch(config)#ip arp inspection filter //这里调用ACL留意，只能调用ARP ACL，该ACL优先及IP-TO-MAC表被审查，也就是说，即使有绑定项存在，假如被ARP-ACL拒绝，也不能通过 Switch(config)#ip arp inspection vlan 34 Switch(config)#interface fa0/0 Switch(config-if)#ip arp inspection trust //连接到DHCP服务器的接口，调用该接口上的DHCP SNOOP的IP-TO-MAC表，默认连接到主机的接口都是不信任的接口 Switch(config-if)#ip arp inspection limit rate 20 burst interval 2 //不信任接口限制为每秒14个ARP恳求，信任接口默认不受限制，这里修改为每秒20 Switch(config-if)#exit Switch(config)#ip arp inspection log-buffer entries 64 //记录64条拒绝信息 留意：DHCP SNOOP只供应IP-TO-MAC绑定表，本身不参及流量策略，只是防止DHCP欺瞒，而对任何IP和MAC欺瞒是没有实力阻挡的，但是它供应这样一张表给DAI调用，以防止MAC欺瞒。 ip arp-inspection // 仅仅对违规的ARP包进行过滤，不对IP包和其他包起作用。 ip source verify //会对绑定接口的IP或者IP+MAC进行限制 3, VACL Configuring VACLs for Catalyst 6500 Traffic Capture Router(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80 Router(config)# vlan access-map my_map Router(config-access-map)# match ip address 110 Router(config-access-map)# action forward capture Router(config)# vlan filter my_map 10-12,15 Router(config)# interface fa 5/7 Router(config-if) switchport capture allowed vlan 10-12, 15 第 8 页