端口安全,认证.docVIP

思科交换机安全做 802.1X、port-security案例交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN ?? ?? ?? ?端口和MAC绑定：port-security基于DHCP的端口和IP,MAC绑定：ip source guard基于DHCP的防止ARP攻击：DAI防止DHCP攻击：DHCP Snoopingcisco所有局域网缓解技术都在这里了！? ?? ?? ?? ?? ?? ?? ?? 常用的方式：1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全； 很多名字，有些烦当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)? ? 使用这个协议来传递认证授权信息? ?示例配置：? ?Router#configure terminal? ?Router(config)#aaa new-model? ?Router(config)#aaa authentication dot1x default group radius? ?Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey? ?Router(config)#dot1x system-auth-control 起用DOT1X功能? ?Router(config)#intece fa0/0? ?Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程? ?强制授权方式：不通过认证，总是可用状态? ?强制不授权方式：实质上类似关闭了该接口，总是不可用? ?可选配置：? ?Switch(config)#intece fa0/3? ?Switch(config-if)#dot1x reauthentication? ?Switch(config-if)#dot1x timeout reauth-period 7200 2小时后重新认证? ?Switch#dot1x re-authenticate intece fa0/3? ?现在重新认证，注意：如果会话已经建立，此方式不断开会话? ?Switch#dot1x initialize intece fa0/3 初始化认证，此时断开会话? ?Switch(config)#interface fa0/3? Switch(config-if)#dot1x timeout quiet-period 45 45秒之后才能发起下一次认证请求? ?Switch(config)#interface fa0/3? ?Switch(config-if)#dot1x timeout tx-period 90 默认是30S? ?Switch(config-if)#dot1x max-req count 4? ?客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次? ?Switch#configure terminal? ?Switch(config)#interface fastethernet0/3? Switch(config-if)#dot1x port-control auto? ?Switch(config-if)#dot1x host-mode multi-host? ?默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去? ?? ?? ?? ?? ?? ?? ?? ?Switch(config)#interface fa0/3Switch(config-if)