常用的方式:
1、802.1X,端口认证,dot1x ,也称为 IBNS(注:IBNS 包括
port-security) :基于身份的网络安全; 很多名字,有些烦
当流量来到某个端口,需要和ACS交互,认证之后得 到授
权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软 件
Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来
传递认证授权信息
示例配置:
Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1
auth-port 1633 key radkey
Router(config)#dot1x system-auth-control 起用
DOT1X功能
Router(config)#interface fa0/0
Router(config-if)#dot1x port-control auto AUTO 是常用的方式,正常的通过认证和授权过程
强制授权方式:不通过认证,总是可用状态 强制不授权方
式: 实质上类似关闭了该接口, 总是不 可用
可选配置:
Switch(config)#interface fa0/3
Switch(config-if)#dot1x reauthentication
Switch(config-if)#dot1x timeout reauth-period
7200
2 小时后重新认证
Switch#dot1x re-authenticate interface fa0/3 现在重新认证, 注
意: 如果会话已经建立, 此方式不 断开会话
Switch#dot1x initialize interface fa0/3 初始化认证,此时断开会话 Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout quiet-period
45
45 秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout tx-period 90
默认是 30S
Switch(config-if)#dot1x max-req count 4 客户端需要输入认证信息,通
过该端口应答AAAK务 器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息, 30S 发一次,共 4 次
Switch#configure terminal
Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto
Switch(config-if)#dot1x host-mode multi-host 默认是一个主机,当使
用多个主机模式,必须使用 AUTOJ式授权,当一个主机成功授权,其他主机都可以访问网络;
当授权失败,例如重认证失败或 LOGOFF所有主机 都不可以
使用该端口
Switch#configure terminal
Switch(config)#dot1x guest-vlan supplicant Switch(config)#interface fa0/3
Switch(config-if)#dot1x guest-vlan 2
未得到授权的进入VLAN2提供了灵活性 注意:1、VLAN2必
须是在本交换机激活的,计划分 配给游客使用;2、VLAN2言息不会被VTP传递出去
Switch(config)#interface fa0/3 Switch(config-if)#dot1x default 回
到默认设置 show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression]
Switch#sho dot1x all
Dot1x Info for interface FastEthernet0/3
Supplicant MAC 0040.4513.075b AuthSM State = AUTHENTICATED BendSM State = IDLE PortStatus = AUTHORIZED MaxReq = 2 HostMode = Single Port Control = Auto
QuietPeriod = 60 Seconds Re-authentication = Enabled ReAuthPeriod = 120 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds
Guest-Vlan = 0debug dot1x {errors | events | packets | registry |
state-machine | all}
2、端口安全,解决CAM表溢出攻击(有种MACO的工具,每分钟可以产生155000 个MAC地址,去轰击CAM表,从而使合法主机的要求都必须被 FLOOD 示例配置:
Switch#configure terminal
Switch(config)#interface fastethernet0/0 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 20 这里默认是 1
Switch(config-if)#switchport port-security mac-address sticky
保存学习到的地址到RUN CONFI文件中,避免手动 配置的麻
烦,并省去动态学习所消耗的资源
switchport port-security violation {protect | restrict | shutdown}
三个参数解释:
保护:当达到某个设定的 MA(数量,后来的未知MAC 不再解
析,直接丢弃,且不产生通知
限制:当达到某个设定的 MA(数量,后来的未知MAC 不再解
析,直接丢弃,产生通知,如SNMTRAP SYSLOG!息,并增加违反记数; 这里有个问题,恶意攻击会产生大量的类似信息,给网络带来不利。
关闭:当达到某个设定的 MA(数量,后来的未知MAC 不再解
析,直接关闭该端口,除非手动开启,或改变端口安全策略 端口安全需要全部手动配置, 增加工作量, 下面的两 种方式
DHCP SNOOP
如网吧的管理员使用DHC盼配地址的时候执行IP 和MAC地
址的捆绑
Switch#configure terminal
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 34
Switch(config)#ip dhcp snooping information option Switch(config)#interface fa0/0 连接 DHCP艮务器
的接口
Switch(config-if)#ip dhcp snooping limit rate 70 Switch(config-if)#ip dhcp snooping trust 指定
该接口为信任接口,将获得 DHCP服务器所分配的地址,
其他接口所发生的DHCF行为将被否决
DAI
动态 ARP审查,调用 ACL和 DHCP5NOO的 IP-TO-MAC 数据
库
Switch#configure terminal
Switch(config)#ip arp inspection filter 这里调
用ACL注意,只能调用ARP ACL该ACL优先与IP-TO-MAC表被审查, 也就是说,即使有绑定项存在,如果被ARP-ACL巨绝, 也不能通过
Switch(config)#ip arp inspection vlan 34 Switch(config)#interface fa0/0
Switch(config-if)#ip arp inspection trust 连接 到DHCF服艮务器的接
口,调用该接口上的 DHCP SNOOP IP-TO-MAC表, 默认连接到主机的接口都是不信任的接口
Switch(config-if)#ip arp inspection limit rate
20 burst interval 2 不信任接口限制为每秒14个ARP请求,信任接口默 认不受限制,这里修改为每秒 20
Switch(config-if)#exit
Switch(config)#ip arp inspection log-buffer entries 64 记录拒绝信
息 64 条
注意:DHCP SNOO只提供IP-TO-MAC绑定表,本身 不参与流
量策略,只是防止 DHCP欺骗,而对任何IP和MAC欺骗
是没有能力阻止的,但是它提供这样一张表给 DAI 调用,以
防止MAO骗。
ip arp-inspection
不对 IP 包和其他包起作用。
仅仅对违规的ARP包进行过滤,
ip source verify
进行限制
会对绑定接口的 IP 或者 IP+MAC
3 、VACL
Configuring VACLs for Catalyst 6500 Traffic Capture Router(Config)# access-list 110 permit tcp any
172.12.31.0.0.0.0.255 eq 80
Router(config)# vlan access-map my_map Router(config-access-map)#
match ip address 110 Router(config-access-map)# action forward capture
Router(config)# vlan filter my_map 10-12,15
Router(config)# interface fa 5/7 Router(config-if) switchport
capture allowed vlan 10-12, 15
4 、SPAN、RSPAN
基于源端口和基于源 VLAN的两种监控方式
RX 、TX BOTH三种流量方向 VLAN MONITO只能监控入站流,即 RX在该源VLAN
中的物理端口都将成为源端口向目标端口 COP淤
可以分配多个源端口或 VLAN的RX流量到目的端口
站流
最多只能配置两个监控会话 源端口和目标端口是分离的
可以将TRUNKS口配置成源端口,然后使用 VLANM 滤想要被分析的流,但是此命令不影响正常的流量转发
过滤功能不能使用在基于源VLAN的情况下 目标端口:
不能是源端口或反射端口
不参加二层协议: CDP VTP PAGP LACP DTP STP 在本地
SPAN中,目标端口和源端口是同一交换机 一次只能参加一个SPAN会话,即不能在一个端口上 配置两个SPAN会话
不能是EC成员
如果目标端口是一个源VLAN成员,则这个VLAN的流 量不
能被 MONITOR其他VLAN可以被MONITOR
802.1X 与 SWITCHPORTORT-SECURIT必须在目标端
口关闭
SPAN 可以MONITO二层协议信息,RSPAF则不能 IDS 或IPS设备对流量唯一的影响是:根据IPS IDS
策略,对可能的攻击行为做出处理,如 RESE\TCP连接等;并不去干涉正常流量 的转发
SPAN 交换机端口分析,简单的SPANR需要两个命令
即可
monitor sess 1 sour int f1/4 monitor sess 1 dest int f1/9 此例将 F1/4 的流量发送到 F1/9 被分析
Switch(config)# no monitor session 2 删除语法
Switch(config)# monitor session 2 source vlan 1
- 3 rx
Switch(config)# monitor session 2 destination interface
gigabitethernet0/7
Switch(config)# monitor session 2 source vlan 10
rx
Switch(config)# end
在所有的端口上监控VLAN1-3的收到的流量,发送到 G0/7
被分析,然后附加VLAN1(的流量也被分析
Switch(config)# monitor session 2 source interface
gigabitethernet0/4 rx
Switch(config)# monitor session 2 filter vlan 1
- 5 , 9
Switch(config)# monitor session 2 destination interface
gigabitethernet0/8
Switch(config)# end
交换机安全802.1X、port-security、DHCPSNOOP、DAI、VACL、SPANR
