详谈DHCP SNOOP等多方面的安全设置(1)


我们知道DHCP协议,管理网络IP的协议。在其服务器的应用中,我们也通常遇到有关的管理知识。那么对于网络安全方面,DHCP有着更多值得注意的地方。那么今天我们就来讲解一下交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN的内容。

交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN
端口和MAC绑定:port-security
基于DHCP的端口和IP,MAC绑定:ip source guard
基于DHCP的防止ARP攻击:DAI
防止DHCP攻击:DHCP Snooping

cisco所有局域网缓解技术都在这里了!

常用的方式:

802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全; 很多名字,有些烦.当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件

Extensible Authentication Protocol Over Lan(EAPOL)    使用这个协议来传递认证授权信息

示例配置:

  1. Router#configure terminal  
  2. Router(config)#aaa new-model  
  3. Router(config)#aaa authentication dot1x default group radius  
  4. Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey  
  5. Router(config)#dot1x system-auth-control 起用DOT1X功能  
  6. Router(config)#interface fa0/0  
  7. Router(config-if)#dot1x port-control auto 

AUTO是常用的方式,正常的通过认证和授权过程

强制授权方式:不通过认证,总是可用状态

强制不授权方式:实质上类似关闭了该接口,总是不可用

可选配置:

  1. Switch(config)#interface fa0/3  
  2. Switch(config-if)#dot1x reauthentication  
  3. Switch(config-if)#dot1x timeout reauth-period 7200 

2小时后重新认证

  1. Switch#dot1x re-authenticate interface fa0/3 

现在重新认证,注意:如果会话已经建立,此方式不断开会话

  1. Switch#dot1x initialize interface fa0/3 

初始化认证,此时断开会话

  1. Switch(config)#interface fa0/3  
  2. Switch(config-if)#dot1x timeout quiet-period 45 

45秒之后才能发起下一次认证请求

  1. Switch(config)#interface fa0/3  
  2. Switch(config-if)#dot1x timeout tx-period 90 默认是30S  
  3. Switch(config-if)#dot1x max-req count 4 

客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次

  1. Switch#configure terminal  
  2. Switch(config)#interface fastethernet0/3  
  3. Switch(config-if)#dot1x port-control auto  
  4. Switch(config-if)#dot1x host-mode multi-host 

默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;

当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口

  1. Switch#configure terminal  
  2. Switch(config)#dot1x guest-vlan supplicant  
  3. Switch(config)#interface fa0/3  
  4. Switch(config-if)#dot1x guest-vlan 2 

未得到授权的进入VLAN2,提供了灵活性


相关内容