DHCP協(xié)議，管理網(wǎng)絡(luò)IP的協(xié)議。在對(duì)于網(wǎng)絡(luò)安全方面，DHCP有著許多的注意事項(xiàng)。本文就來(lái)講解一下交換機(jī)安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN的內(nèi)容。
交換機(jī)安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN
端口和MAC綁定:port-security
基于DHCP的端口和IP,MAC綁定:ip source guard
基于DHCP的防止ARP攻擊:DAI
防止DHCP攻擊:DHCP Snooping

cisco所有局域網(wǎng)緩解技術(shù)都在這里了!

常用的方式:

802.1X,端口認(rèn)證,dot1x,也稱為IBNS(注:IBNS包括port-security):基于身份的網(wǎng)絡(luò)安全; 很多名字,有些煩.當(dāng)流量來(lái)到某個(gè)端口,需要和ACS交互,認(rèn)證之后得到授權(quán),才可以訪問(wèn)網(wǎng)絡(luò),前提是CLIENT必須支持802.1X方式,如安裝某個(gè)軟件

Extensible AuthenTIcaTIon Protocol Over Lan(EAPOL)    使用這個(gè)協(xié)議來(lái)傳遞認(rèn)證授權(quán)信息

示例配置:

Router#configure terminal   Router(config)#aaa new-model   Router(config)#aaa authenTIcaTIon dot1x default group radius   Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey   Router(config)#dot1x system-auth-control 起用DOT1X功能   Router(config)#interface fa0/0   Router(config-if)#dot1x port-control auto 

AUTO是常用的方式,正常的通過(guò)認(rèn)證和授權(quán)過(guò)程

強(qiáng)制授權(quán)方式:不通過(guò)認(rèn)證,總是可用狀態(tài)

強(qiáng)制不授權(quán)方式:實(shí)質(zhì)上類似關(guān)閉了該接口,總是不可用

可選配置:

Switch(config)#interface fa0/3   Switch(config-if)#dot1x reauthentication   Switch(config-if)#dot1x timeout reauth-period 7200 

2小時(shí)后重新認(rèn)證

Switch#dot1x re-authenticate interface fa0/3 

現(xiàn)在重新認(rèn)證,注意:如果會(huì)話已經(jīng)建立,此方式不斷開(kāi)會(huì)話

Switch#dot1x initialize interface fa0/3 

初始化認(rèn)證,此時(shí)斷開(kāi)會(huì)話

Switch(config)#interface fa0/3   Switch(config-if)#dot1x timeout quiet-period 45 

45秒之后才能發(fā)起下一次認(rèn)證請(qǐng)求

Switch(config)#interface fa0/3   Switch(config-if)#dot1x timeout tx-period 90 默認(rèn)是30S   Switch(config-if)#dot1x max-req count 4 

客戶端需要輸入認(rèn)證信息,通過(guò)該端口應(yīng)答AAA服務(wù)器,如果交換機(jī)沒(méi)有收到用戶的這個(gè)信息,交換機(jī)發(fā)給客戶端的重傳信息,30S發(fā)一次,共4次

Switch#configure terminal   Switch(config)#interface fastethernet0/3   Switch(config-if)#dot1x port-control auto   Switch(config-if)#dot1x host-mode multi-host 

默認(rèn)是一個(gè)主機(jī),當(dāng)使用多個(gè)主機(jī)模式,必須使用AUTO方式授權(quán),當(dāng)一個(gè)主機(jī)成功授權(quán),其他主機(jī)都可以訪問(wèn)網(wǎng)絡(luò);

當(dāng)授權(quán)失敗,例如重認(rèn)證失敗或LOG OFF,所有主機(jī)都不可以使用該端口

Switch#configure terminal   Switch(config)#dot1x guest-vlan supplicant   Switch(config)#interface fa0/3   Switch(config-if)#dot1x guest-vlan 2 

未得到授權(quán)的進(jìn)入VLAN2,提供了靈活性

注意: