dot1X等多方面安全设置.docVIP

详谈DHCP SNOOP等多方面的安全设置 2010-09-02 10:32 佚名 我要评论(0) 字号：T | T 文章中，我们针对交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN等等方面进行了分析和讲解，希望对大家有用。 我们知道DHCP协议，管理网络IP的协议。在其服务器的应用中，我们也通常遇到有关的管理知识。那么对于网络安全方面，DHCP有着更多值得注意的地方。那么今天我们就来讲解一下交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN的内容。 交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN端口和MAC绑定:port-security基于DHCP的端口和IP,MAC绑定:ip source guard基于DHCP的防止ARP攻击:DAI防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全; 很多名字,有些烦.当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL)??? 使用这个协议来传递认证授权信息 示例配置: Router#configure?terminal ? Router(config)#aaa?new-model ? Router(config)#aaa?authentication?dot1x?default?group?radius ? Switch(config)#radius-server?host??auth-port?1633?key?radkey ? Router(config)#dot1x?system-auth-control?起用DOT1X功能 ? Router(config)#interface?fa0/0 ? Router(config-if)#dot1x?port-control?auto? AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用 可选配置: Switch(config)#interface?fa0/3 ? Switch(config-if)#dot1x?reauthentication ? Switch(config-if)#dot1x?timeout?reauth-period?7200? 2小时后重新认证 Switch#dot1x?re-authenticate?interface?fa0/3? 现在重新认证,注意:如果会话已经建立,此方式不断开会话 Switch#dot1x?initialize?interface?fa0/3? 初始化认证,此时断开会话 Switch(config)#interface?fa0/3 ? Switch(config-if)#dot1x?timeout?quiet-period?45? 45秒之后才能发起下一次认证请求 Switch(config)#interface?fa0/3 ? Switch(config-if)#dot1x?timeout?tx-period?90?默认是30S ? Switch(config-if)#dot1x?max-req?count?4? Switch#configure?terminal ? Switch(config)#interface?fastethernet0/3 ? Switch(config-if)#dot1x?port-control?auto ? Switch(config-if)#dot1x?host-mode?multi-host? 默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络; 当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口 Switch#configure?terminal ? Switch(config)#dot1x?guest-vlan?supplicant ? Switch(config)#interface?fa0/3 ? Switch(config-if)#dot1x?guest-vlan?2? 未得到授权的进入VLAN2,提供了灵活性 注意: 1、VLAN