一����、mac綁定
交換機(jī)安全特性可以讓我們配置交換機(jī)端口����,使得當(dāng)具有非法MAC地址的設(shè)備接入時(shí)���,交換機(jī)會(huì)自動(dòng)關(guān)閉接口或者拒絕非法設(shè)備接入�����,也可以限制某個(gè)端口上最大的MAC地址數(shù)
情景模擬(Cisco S3550)
在交換機(jī)上配置從f0/11接口上只允許MAC地址為00e0.fc01.0000的主機(jī)接入
S1(config)#int f0/11
S1(config-if)#shutdown
S1(config-if)#switch mode access//把端口改為訪問(wèn)模式
S1(config-if)#switch port-security//打開(kāi)交換機(jī)的端口安全功能
S1(confg-if)#switch port-security maximum 1//設(shè)置只允許該端口下的MAC條目最大數(shù)量為1�����,即只允許一個(gè)設(shè)備接入
S1(config-if)#switch port-security violation shutdown
“switch port-securityviolation{protect|shutdown|restrict}”//命令含義如下:
lprotect;當(dāng)新的計(jì)算機(jī)接入時(shí)���,如果該接口的MAC條目超過(guò)最大數(shù)量,則這個(gè)新的計(jì)算機(jī)將無(wú)法接入��,而原有的計(jì)算機(jī)不受影響;
lshutdown;當(dāng)新的計(jì)算機(jī)接入時(shí),如果該接口的MAC條目超過(guò)最大數(shù)量�,則該接口將會(huì)被關(guān)閉�,則這個(gè)新的計(jì)算機(jī)和原有的計(jì)算機(jī)都無(wú)法接入�,需要管理員使用”no shutdown”命令重新打開(kāi);
lrestrcit;當(dāng)新的計(jì)算機(jī)接入時(shí),如果該接口的MAC條目超過(guò)最大數(shù)量���,則這個(gè)新的計(jì)算機(jī)可以接入,然而交換機(jī)將向發(fā)送警告信息���。
S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//設(shè)置接入該端口要匹配的MAC地址
二����、ARP綁定
ARP(Address Resolution Protocol,地址解析協(xié)議)是獲取物理地址的一個(gè)TCP/IP協(xié)議�。某節(jié)點(diǎn)的IP地址的ARP請(qǐng)求被廣播到網(wǎng)絡(luò)上后���,這個(gè)節(jié)點(diǎn)會(huì)收到確認(rèn)其物理地址的應(yīng)答����,這樣的數(shù)據(jù)包才能被傳送出去�����。RARP(逆向ARP)經(jīng)常在無(wú)盤(pán)工作站上使用��,以獲得它的邏輯IP地址�����。
使用ARP綁定可以有效的避免廣播,將ip地址與mac地址進(jìn)行綁定�,也可以防止本網(wǎng)段內(nèi)的其他主機(jī)假冒本機(jī)的ip地址來(lái)進(jìn)行非法的活動(dòng)
例:
Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1
配置局域網(wǎng)內(nèi)IP 地址129.102.0.1對(duì)應(yīng)的MAC地址為00e0.fc01.0000�����,經(jīng)過(guò)VLAN1 經(jīng)過(guò)以太網(wǎng)端口Ethernet0/1
情景模擬(華為交換機(jī))
在交換機(jī)上配置只允許ip地址為192.168.1.200,mac地址為00e0.fc01.0000的主機(jī)進(jìn)行日常的遠(yuǎn)程維護(hù)
acl number 2000
rule 10 permit source 192.168.1.200 0.0.0.0
rule 20 deny source any
user-interface vty 0 4
acl 2000 inbound
此時(shí)已經(jīng)設(shè)置只有ip地址為192.168.1.200的主機(jī)可以進(jìn)行遠(yuǎn)程訪問(wèn)�����,此時(shí)要防止其他主機(jī)來(lái)盜用管理主機(jī)的ip地址來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)
arp static 192.168.1.200 00e0.fc01.0000
arp綁定之后����,冒充管理主機(jī)ip地址的主機(jī)就無(wú)法進(jìn)行遠(yuǎn)程訪問(wèn)了
三�����、vlan
可以實(shí)現(xiàn)交換機(jī)的各個(gè)端口之間兩兩互不通信,將每個(gè)端口放在不同的vlan中即可實(shí)現(xiàn),可以用在寬帶接入中的每家每戶(hù)之間不能通信,但與上聯(lián)鏈路可以通信�。
四�、端口隔離
通過(guò)端口隔離特性,用戶(hù)可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中,實(shí)現(xiàn)隔
離組中的端口之間二層���、三層數(shù)據(jù)的隔離,既增強(qiáng)了網(wǎng)絡(luò)的安全性,也為用戶(hù)提供
了靈活的組網(wǎng)方案��。
當(dāng)聚合組中的某個(gè)端口加入到隔離組后,同一聚合組內(nèi)的其它端口,均會(huì)自動(dòng)加入
隔離組中��。
可以在二層和三層交換機(jī)上實(shí)現(xiàn)端口隔離
在二層交換機(jī)上只能創(chuàng)建一個(gè)隔離組�,處在同一個(gè)隔離組的端口兩兩之間不能通信
例:(華為二層交換機(jī))
1. 組網(wǎng)需求
小區(qū)用戶(hù)PC2���、PC3����、PC4分別與交換機(jī)的以太網(wǎng)端口Ethernet1/0/2�、
Ethernet1/0/3���、Ethernet1/0/4相連
交換機(jī)通過(guò)Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
小區(qū)用戶(hù)PC2��、PC3和PC4之間不能互通
2. 組網(wǎng)圖
3. 配置步驟
# 將以太網(wǎng)端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔離組��。
system-view
System View: return to User View withCtrl+Z.
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
[Quidway]
# 顯示隔離組中的端口信息�。
display isolate port
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
在三層交換機(jī)上可以創(chuàng)建多個(gè)隔離組,處在同一個(gè)隔離組的端口兩兩之間不能通信,但可以與其他隔離組中的端口通信
例:(華為 S3526)
1. 組網(wǎng)需求
小區(qū)用戶(hù)PC2�、PC3���、PC4分別與交換機(jī)的以太網(wǎng)端口Ethernet1/0/2�、
Ethernet1/0/3��、Ethernet1/0/4相連
交換機(jī)通過(guò)Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
小區(qū)用戶(hù)PC2和PC3之間不能互通���,但都能與PC4互通
2. 組網(wǎng)圖
3. 配置步驟
# 將以太網(wǎng)端口Ethernet1/0/2�、Ethernet1/0/3加入隔離組。
system-view
System View: return to User View withCtrl+Z.
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3
[Quidway-Ethernet1/0/2] quit
# 由于在ethernet1/0/2已經(jīng)指明要隔離的端口是ethernet1/0/3,所以無(wú)需在端口ethernet1/0/3重復(fù)指明其隔離端口是ethernet1/0/2�����,ethernet1/0/3端口將會(huì)自動(dòng)將端口ethernet1/0/2視為隔離端口
在三層交換機(jī)上不僅可以實(shí)現(xiàn)與二層交換機(jī)上相類(lèi)似的端口隔離的功能還能實(shí)現(xiàn)端口與IP地址的綁定����。端口和ip綁定,要求數(shù)據(jù)流量必須通過(guò)三層設(shè)備�����,如vlan間通信的時(shí)候就可以用到這項(xiàng)技術(shù)��,但是如果數(shù)據(jù)流量沒(méi)有通過(guò)三層設(shè)備�,如vlan內(nèi)部的通信�,端口和ip綁定是沒(méi)有意義的
例:(華為 S3526)
1. 組網(wǎng)需求
vlan20的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/2端口
vlan30的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/3端口
交換機(jī)通過(guò)Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
vlan20內(nèi)的主機(jī)只允許IP地址為192.168.20.10的主機(jī)通過(guò)Ethernet1/0/2端口與外部通信
2. 組網(wǎng)圖
3. 配置步驟
# 修改端口類(lèi)型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 創(chuàng)建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 設(shè)置允許通過(guò)的主機(jī)
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10
[Quidway-Ethernet1/0/2] quit
# 此時(shí)vlan20中能通過(guò)其網(wǎng)關(guān)的就只有192.168.20.10這臺(tái)主機(jī)了
五、ACL(二層��、三層)
ACL(Access Control List��,訪問(wèn)控制列表)主要用來(lái)實(shí)現(xiàn)流識(shí)別功能�。網(wǎng)絡(luò)設(shè)備為
了過(guò)濾數(shù)據(jù)包�,需要配置一系列的匹配規(guī)則,以識(shí)別需要過(guò)濾的報(bào)文����。在識(shí)別出特
定的報(bào)文之后��,才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)。
ACL通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)�,這些條件可以是數(shù)據(jù)包的源地址����、
目的地址�����、端口號(hào)等��。
由ACL定義的數(shù)據(jù)包匹配規(guī)則,可以被其它需要對(duì)流量進(jìn)行區(qū)分的功能引用�,如
QoS中流分類(lèi)規(guī)則的定義����。
根據(jù)應(yīng)用目的��,可將ACL分為下面幾種:
基本ACL:只根據(jù)三層源IP地址制定規(guī)則���。
高級(jí)ACL:根據(jù)數(shù)據(jù)包的源IP地址信息����、目的IP地址信息�、IP承載的協(xié)議類(lèi)
型�����、協(xié)議特性等三��、四層信息制定規(guī)則���。
二層ACL:根據(jù)源MAC地址����、目的MAC地址�、VLAN優(yōu)先級(jí)���、二層協(xié)議類(lèi)
型等二層信息制定規(guī)則�。
ACL在交換機(jī)上的應(yīng)用方式
1. ACL直接下發(fā)到硬件中的情況
交換機(jī)中ACL可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中報(bào)文的過(guò)濾和
流分類(lèi)����。此時(shí)一條ACL中多個(gè)規(guī)則的匹配順序是由交換機(jī)的硬件決定的,用戶(hù)即使
在定義ACL時(shí)配置了匹配順序�����,該匹配順序也不起作用��。
ACL直接下發(fā)到硬件的情況包括:交換機(jī)實(shí)現(xiàn)QoS功能時(shí)引用ACL���、通過(guò)ACL過(guò)
濾轉(zhuǎn)發(fā)數(shù)據(jù)等�����。
2. ACL被上層模塊引用的情況
交換機(jī)也使用ACL來(lái)對(duì)由軟件處理的報(bào)文進(jìn)行過(guò)濾和流分類(lèi)��。此時(shí)ACL規(guī)則的匹
配順序有兩種:config(指定匹配該規(guī)則時(shí)按用戶(hù)的配置順序)和auto(指定匹配
該規(guī)則時(shí)系統(tǒng)自動(dòng)排序�����,即按“深度優(yōu)先”的順序)。這種情況下用戶(hù)可以在定義
ACL的時(shí)候指定一條ACL中多個(gè)規(guī)則的匹配順序。用戶(hù)一旦指定某一條ACL的匹
配順序,就不能再更改該順序。只有把該列表中所有的規(guī)則全部刪除后,才能重新
指定其匹配順序���。
ACL被軟件引用的情況包括:對(duì)登錄用戶(hù)進(jìn)行控制時(shí)引用ACL等。
例:(華為 S3526)
ACL 直接下發(fā)到硬件中
1. 組網(wǎng)需求
vlan20的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/2端口
vlan30的網(wǎng)關(guān)為交換機(jī)的Ethernet1/0/3端口
交換機(jī)通過(guò)Ethernet1/0/1端口與外部網(wǎng)絡(luò)相連
IP地址為192.168.20.10的主機(jī)MAC地址為1E-65-9D-2D-21-E2
IP地址為192.168.30.10的主機(jī)MAC地址為1C-65-9D-2D-21-E2
禁止192.168.20.10的主機(jī)與192.168.30.10的主機(jī)通信
2. 組網(wǎng)圖
3. 配置步驟
# 修改端口類(lèi)型
system-view
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 創(chuàng)建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 設(shè)置被禁止通信的主機(jī)
[Quidway]acl number 4000 match-order auto
[Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2
[Quidway-acl-link-4000]quit
[Quidway]packet-filter link-group 4000
例:(華為 S3526)
ACL 被上層模塊引用
1、需求
某個(gè)設(shè)備只允許管理員主機(jī)進(jìn)行遠(yuǎn)程訪問(wèn)�,假設(shè)管理員主機(jī)IP為192.168.2.100
2�、配置
# 創(chuàng)建訪問(wèn)控制列表
system-view
[Quidway] acl number 2000 match-order auto
[Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0
[Quidway-acl-basic-2000] rule deny source any
[Quidway-acl-basic-2000] quit
# 被上層模塊引用
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none
[Quidway-ui-vty0-4] acl 2000 inbound
[Quidway-ui-vty0-4]quit
