思科交換機(jī)安全(很全的詳細(xì)配置、講解)

1、cisco所有局域網(wǎng)緩解技術(shù)交換機(jī)安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN端口和MAC綁定：port-security基于DHCP的端口和IP,MAC綁定：ip source guard基于DHCP的防止ARP攻擊：DAI防止DHCP攻擊：DHCP Snooping常用的方式： 1、802.1X，端口認(rèn)證，dot1x，也稱為IBNS(注：IBNS包括port-security)：基于身份的網(wǎng)絡(luò)安全； 很多名字，有些煩當(dāng)流量來到某個(gè)端口，需要和ACS交互，認(rèn)證之后得到授權(quán)，才可以訪問網(wǎng)絡(luò)，前提是CLIENT必須支持802.1X方

2、式，如安裝某個(gè)軟件Extensible Authentication Protocol Over Lan(EAPOL)使用這個(gè)協(xié)議來傳遞認(rèn)證授權(quán)信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusRouter(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-con

3、trol 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通過認(rèn)證和授權(quán)過程強(qiáng)制授權(quán)方式：不通過認(rèn)證，總是可用狀態(tài)強(qiáng)制不授權(quán)方式：實(shí)質(zhì)上類似關(guān)閉了該接口，總是不可用可選配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 /2小時(shí)后重新認(rèn)證Switch#dot1x

4、re-authenticate interface fa0/3 /現(xiàn)在重新認(rèn)證，注意：如果會話已經(jīng)建立，此方式不斷開會話Switch#dot1x initialize interface fa0/3 /初始化認(rèn)證，此時(shí)斷開會話Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 /45秒之后才能發(fā)起下一次認(rèn)證請求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 /默認(rèn)是30SSwitch(con

5、fig-if)#dot1x max-req count 4 /客戶端需要輸入認(rèn)證信息，通過該端口應(yīng)答AAA服務(wù)器，如果交換機(jī)沒有收到用戶的這個(gè)信息，交換機(jī)發(fā)給客戶端的重傳信息，30S發(fā)一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host /默認(rèn)是一個(gè)主機(jī)，當(dāng)使用多個(gè)主機(jī)模式，必須使用AUTO方式授權(quán)，當(dāng)一個(gè)主機(jī)成功授權(quán)，其他主機(jī)都可以訪問

6、網(wǎng)絡(luò)；當(dāng)授權(quán)失敗，例如重認(rèn)證失敗或LOG OFF，所有主機(jī)都不可以使用該端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 /未得到授權(quán)的進(jìn)入VLAN2，提供了靈活性 /注意：1、VLAN2必須是在本交換機(jī)激活的，計(jì)劃分配給游客使用；2、VLAN2信息不會被VTP傳遞出去Switch(config)#interface fa0/3Switch(config-if)#dot1x

7、default /回到默認(rèn)設(shè)置 show dot1x all | interface interface-id | statistics interface interface-id | begin | exclude | include expressionSwitch#sho dot1x all Dot1x Info for interface FastEthernet0/3 - Supplicant MAC 0040.4513.075b AuthSM State = AUTHENTICATED BendSM State = IDLE PortStatus = AUTHORIZED Max

8、Req = 2 HostMode = Single Port Control = Auto QuietPeriod = 60 Seconds Re-authentication = Enabled ReAuthPeriod = 120 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds Guest-Vlan = 0debug dot1x errors | events | packets | registry | state-machine | all2、端口安全，解決CAM表溢出攻

9、擊（有種MACOF的工具，每分鐘可以產(chǎn)生個(gè)MAC地址，去轟擊CAM表，從而使合法主機(jī)的要求都必須被FLOOD）示例配置：Switch#configure terminalSwitch(config)#interface fastethernet0/0Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 20 /這里默認(rèn)是1Switch(config-if)#switchport por

10、t-security mac-address sticky /保存學(xué)習(xí)到的地址到RUN CONFIG文件中，避免手動配置的麻煩，并省去動態(tài)學(xué)習(xí)所消耗的資源 switchport port-security violation protect | restrict | shutdown三個(gè)參數(shù)解釋：protect（保護(hù)）：當(dāng)達(dá)到某個(gè)設(shè)定的MAC數(shù)量，后來的未知MAC不再解析，直接丟棄，且不產(chǎn)生通知restrict（限制）：當(dāng)達(dá)到某個(gè)設(shè)定的MAC數(shù)量，后來的未知MAC不再解析，直接丟棄，產(chǎn)生通知，如SNMP TRAP、SYSLOG信息，并增加違反記數(shù)；這里有個(gè)問題，惡意攻擊會產(chǎn)生大量的類似信息，給

11、網(wǎng)絡(luò)帶來不利。shutdown（關(guān)閉）：當(dāng)達(dá)到某個(gè)設(shè)定的MAC數(shù)量，后來的未知MAC不再解析，直接關(guān)閉該端口，除非手動開啟，或改變端口安全策略端口安全需要全部手動配置，增加工作量，下面的兩種方式DHCP SNOOP如網(wǎng)吧的管理員使用DHCP分配地址的時(shí)候執(zhí)行IP和MAC地址的捆綁Switch#configure terminalSwitch(config)#ip dhcp snoopingSwitch(config)#ip dhcp snooping vlan 34Switch(config)#ip dhcp snooping information optionSwitch(config)#

12、interface fa0/0 /連接DHCP服務(wù)器的接口Switch(config-if)#ip dhcp snooping limit rate 70Switch(config-if)#ip dhcp snooping trust /指定該接口為信任接口，將獲得DHCP服務(wù)器所分配的地址，其他接口所發(fā)生的DHCP行為將被否決DAI動態(tài)ARP審查，調(diào)用ACL和DHCP SNOOP的IP-TO-MAC數(shù)據(jù)庫Switch#configure terminalSwitch(config)#ip arp inspection filter /這里調(diào)用ACL注意，只能調(diào)用ARP ACL，該ACL優(yōu)先與

13、IP-TO-MAC表被審查，也就是說，即使有綁定項(xiàng)存在，如果被ARP-ACL拒絕，也不能通過Switch(config)#ip arp inspection vlan 34Switch(config)#interface fa0/0Switch(config-if)#ip arp inspection trust /連接到DHCP服務(wù)器的接口，調(diào)用該接口上的DHCP SNOOP的IP-TO-MAC表，默認(rèn)連接到主機(jī)的接口都是不信任的接口Switch(config-if)#ip arp inspection limit rate 20 burst interval 2 /不信任接口限制為每秒14

14、個(gè)ARP請求，信任接口默認(rèn)不受限制，這里修改為每秒20Switch(config-if)#exitSwitch(config)#ip arp inspection log-buffer entries 64 /記錄64條拒絕信息注意：DHCP SNOOP只提供IP-TO-MAC綁定表，本身不參與流量策略，只是防止DHCP欺騙，而對任何IP和MAC欺騙是沒有能力阻止的，但是它提供這樣一張表給DAI調(diào)用，以防止MAC欺騙。ip arp-inspection / 僅僅對違規(guī)的ARP包進(jìn)行過濾，不對IP包和其他包起作用。ip source verify /會對綁定接口的IP或者IP+MAC進(jìn)行限制 3、VACLConfiguring VACLs for Catalyst 6500 Traffic CaptureRouter(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80Router(config)# vlan access-map my_mapR