目前,在中小型企業網絡中使用最多的設備就是交換機。安全方面,所涉及最多的就是交換機的端口安全,所以交換機端口安全是必然重要的。
端口安全分爲以下兩種,簡單點的有mac與端口綁定實現端口安全,再深入一點油基於aaa的dot1x實現帶有驗證的安全
一:mac地址與端口綁定
進入端口模式下:
Switch(config-if)#switchport mode access //指定端口模式
Switch(config-if)#switchport port-security//開啓端口安全
Switch(config-if)#switchport port-security maximum 5//允許交換機端口的最大併發連接數(5)
Switch(config-if)#switchport port-security violation ?(保護端口的三種違規模式)
protect Security violation protect mode//超過限定客戶機的幀將會被丟棄
restrict Security violation restrict mode//超過限制將會通知管理員
shutdown Security violation shutdown mode //超過限制直接關閉接口(直到管理員手動開啓)
Switch(config-if)#switchport port-security mac-address sticky //自動學習限定範圍內連接上的mac地址並綁定
舉例:
公司規定交換機的每個端口下接入的PC都不允許私自更換,並且自動綁定學習到PC的mac地址,如果有其他PC接到此端口,則立即關閉端口。可進行如下配置:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address sticky
後記:
端口上不止可以用綁定mac地址來實現端口安全,也可以結合訪問控制列表acl+mac來實現
二:dot1x:
802.1X身份驗證協議最初使用於無線網絡,後來纔在普通交換機和路由器等網絡設備上使用。它可基於端口來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的端口時,必須進行身份的驗證,合法則允許其訪問網絡。這樣的做的好處就是可以對內網的用戶進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全局啓用AAA認證,這個和在網絡邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的接口上啓用802.1X身份驗證。(建議在所有的端口上啓用802.1X身份驗證,並且使用radius服務器來管理用戶名和密碼)
下面的配置AAA認證所使用的爲本地的用戶名和密碼。
3550-1(config)#aaa new-model /啓用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啓用802.1X協議認證,並使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啓用802.1X身份驗證。
後記:
通過MAC地址綁定雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1X身份驗證協議。在可控性,可管理性上802.1X都是不錯的選擇。