利用802.1X动态VLAN和radius技术组网测试方案

IEEE 802.1X标准认证协议和动态VLAN的引入，在以太网交换机端口实现对用户认证、授权，，以其实现技术简单、灵活成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制，根据用户不同动态分配交换机端口VLAN属性实现较灵活的控制，实现了一定范围内的移动办公需求

三层交换机的基本配置

三层交换机的基本配置 学习的 可以看看！

switch security.rar

二层安全： 一、MAC layer attacks 攻击方法： 1、MAC地址flooding攻击 2、MAC地址的欺骗攻击 解决方案： 1、基于源MAC地址允许流量：端口安全 2、基于源MAC地址限制流量：static CAM 3、阻止未知的单/组播帧 4、802.1x基于端口的认证 二、VLAN attacks 解决方案： 1、switch mode access 2、VACL 3、PVLAN 三、spoof attacks 1、DHCP spoof 解决方案：DHCP snooping 2、IP spoof 解决方案：IP 源防护 3、ARP spoof 解决方案：1、静态绑定ARP条目 2、DAI 四、attacks on switch devices 1、关闭不必要的服务，比如CDP 2、限制广播/组播流量 3、为交换机设置登录密码 4、使用SSH实现安全的登录 ＜端口安全＞ ·SW端口安全是2层特性，提供3种保护： 1. 可以限定一个接口所能学习的MAC地址数量 2. 可以在一个接口静态绑定MAC地址 1.基于主机MAC来允许流量 　·可定义2个参数：授权的MAC地址/允许学习多少个MAC地址（默认＝1） 　·违背端口安全，采取的行为： 　　1.shutdown：将永久性或特定周期内Err-Disable端口（默认行为）,并发送snmp trap 　　2.restrict：当超过所允许学习的最大MAC数时，将未授权主机的帧丢弃drop,并将violation计数器增加 　　3.protect ：当超过所允许学习的最大MAC数时，将未授权主机的帧丢弃drop Sw1(config-if)#switchport mode access 启用端口安全时，必须先设为access接口 Sw1(config-if)#switchport port-security 启用端口安全(默认只能学一个MAC) Sw1(config-if)#switchport port-security maximum 1 指定最大允许学多少个地址 Sw1(config-if)#switchport port-security mac-address aaaa.bbbb.cccc 静态指定MAC地址(IP_MAC address绑定） Sw1(config-if)#switchport port-security violation [protect|restrict|shutdown]指定行为 Sw1(config-if)#switchport port-security aging time 1 （分钟）设定多长时间后能重新学习MAC地址，也就是设定现有MAC地址的有效期。 Sw1(config-if)#switchport port-security mac-address sticky 将动态学到的地址粘住，永久使用 Sw1#show port-security 可以看到哪些接口应用了端口安全 Sw1#show port-security address 可以看到授权的MAC地址 Sw1#show port-security interface f0/1 可以看到接口的具体状态 Sw1#show interfaces fastEthernet 0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) 通常做接口安全，要先把接口shut down，这样它就不会自动学习 让err-disable接口自动恢复 errdisable recovery cause psecure-violation show errdisable 2.基于主机MAC来限制流量 （3550上才可以做） 　列表中定义的MAC将被限制流量 Sw1(config)#mac-address-table static 0010.7b80.7b9b vlan 1 drop 3.阻塞未知单(组)播扩散 （3550上才可以做） 　对未知MAC地址，SW将从本VLAN的其他端口转发出去,但对于某些端口（端口安全只需要一个MAC/已到最大MAC）没必要再转发这些单（组）播。就可以在这些端口上设定这一特性，通常结合端口安全来做。 Sw1(config-if)#switchport block [unicast | multicast] Rack08Sw1#show int f0/1 switchport ...Unknown unicast blocked: enabled ...Unknown multicast blocked: disabled 4、802.1x基于端口的认证 一种第二层的访问控制方法，通过AAA服务器对接入一个接口的用户进行认证，以决定客户能否访问网络。 配置： SW(config)#aaa new-model SW(config)#aaa authentication dot1x default group radius SW(config)#dot1x system-auth-control SW(config)#interface f0/1 SW(config-if)#dot1x port-control auto 基于Vlan 的 access-map (可以基于mac与ip) VACL也叫VLAN映射表，通过VACL可以实现对一个VLAN中的流量进行过滤。VACL可以根据二层信息进行过滤，也可以根据三层信息来进行过滤。 1、通过调用IP ACL，可以根据三层的IP地址、协议以及端口号等信息进行过滤。 2、通过调用MAC ACL，可以根据MAC地址进行过滤，还可以过滤其它的非IP流量。 每一个VACL可以包含多条语句，每一条语句对于匹配的流量可以有三种不同的操作： 1、forward 转发，对数据帧或数据包进行正常转发 2、drop 丢弃，当数据流与某个拒绝语句匹配上，将被丢弃 3、重定向 对于数据流的转发方向作重定向 (高端交换机才支持) 注意：如果没有说明一条语句的操作行为，默认的行为是forward。如果进入VLAN的数据流没有匹配上任何一条语句，最后将被丢弃掉。 基于IP的： Config#access-list 1 permit 192.168.1.1 0.0.0.0 Config#vlan access-map yucedu 10 Config-access-map#match ip address 1---------------匹配的是access-list的permit语句 Config-access-map#action drop Config#vlan access-map yucedu 20 Config-access-map#action forword 默认是转发的 show run 可以看到有 action forword 调用：vlan filter yucedu vlan-list 100 全局模式下调用，要指明用在哪个VLAN中,也可对所有ALL 注意vlan acl是没有方向性的，或者说in和out都可以过滤 基于mac地址的(MAC地址列表)： 1、先写MAC地址列表 mac access-list extended ccnp permit host 00e0.1e3d.d18c any 2、再写access-map vlan access-map yucedu 10 action drop match mac address ccnp vlan access-map yucedu 20 action forward 3、调用： R1(config)#vlan filter yucedu vlan-list 10 Access-map的名字 vlan号 R1(config)#vlan filter yucedu vlan-list all 对所有VLAN 注意：做这个实验时，要在每一台路由器上先clear arp-cache DHCP snooping 原理： --启用后，可以将交换机的端口分为trusted接口和Untrusted接口，默认在交换机上启用后，所有接口变为Untrusted接口，需要手动设置trusted接口。 --对于Untrusted接口，只能接收DHCP的请求消息，不会向这个接口发送出DHCP的请求消息，可以发送dhcp 响应消息。并且drop掉接口进来的DHCP的响应消息。 --对于trusted接口，没有任何限制，也不做检测。 注意：早期的IOS不支持 配置实例： 第一步： SW1(config)#ip dhcp snooping 必须先开启这一命令，相当于总开关 SW1(config)#ip dhcp snooping vlan 1 再指定VLAN，这一步也必须要 第二步：指定trusted接口，通常是trunk接口、连接真实DHCP服务器的接口。 SW1(config-if)#ip dhcp snooping trust 第三步：还要在被信任的DHCP服务器上打上下列命令：（如果是用路由器做DHCP服务器的话才需要） R1(config)#ip dhcp relay information trust-all SW1#show ip dhcp snooping 关键点：DHCP snooping会在接入的交换机上建立一个DHCP绑定表，为每一个分配的IP建立一个表项，其中包括客户端的IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等信息。也可手动向这个绑定表中添加表项。 SW1#show ip dhcp snooping binding 只显示动态的绑定项 SW1#show ip dhcp snooping database SW1#show ip source binding 显示动态和静态绑定项 SW1(config)#ip dhcp snooping binding 1234.5678.abcd vlan 20 172.16.1.1 interface f0/5 静态绑定一个条目 其它命令： SW1(config)#ip dhcp snooping information option 启用option82选项，默认就已开启 SW1(config)#ip dhcp snooping limit rate 100 限定接口每秒可收多少个DHCP请求包 IPSG源保护 源保护特性可防止非法设备盗用合法设备的IP接入网络，只能用于二层端口 需要用到IP绑定表，有两种方式获得绑定条目： 1、静态绑定IP源地址 2、使用DHCP snooping技术中动态生成的源IP绑定表 原理：一旦在一个接口启用了源保护，这个接口默认拒绝所有IP，除非在IP绑定表中有这个接口对应的IP地址绑定条目。 SW1(config)#ip source binding aaaa.bbbb.cccc vlan 1 100.1.1.1 interface f0/1 静态绑定 SW1(config)#ip dhcp snooping SW1(config)#ip dhcp snooping vlan 1 SW1(config)#interface f0/10 SW1(config-if)#ip verify source 开启源保护，只基于IP进行检查，在3560和3750上这样配 SW1(config-if)#ip verify source port-security 开启源保护，基于IP和MAC进行检查，默认对于所有的IP是deny-any，对于mac的动作是permit-any，如果做了端口安全，对于mac的动作就是deny-any。 SW1(config-if)#ip verify source vlan dhcp-snooping port-security 好像4500以上才这样开启 show ip verify source 查看所允许的IP地址 show ip source binding DAI（dynamic arp inspection） 是一种能够验证网络中ARP数据包的安全特性，可以防止中间人攻击。 通常需要和DHCP的snooping结合使用，因为要利用到DHCP snooping技术生成的绑定表。也可静态写IP和MAC的绑定表 原理：启用DAI后，将接口分为trusted和untrusted。对于untrusted接口，要进行ARP的检查，必须是和绑定表中的条目相匹配的ARP包才允许通过。 SW1(config)#ip arp inspection vlan 1 SW1(config-if)#ip arp inspection trust 指定arp检测的trust接口，一定要做 SW1(config-if)#ip arp inspection limit rate 100 限制每秒所接收的arp包个数 show ip arp inspection interfaces show ip arp inspection vlan 1 一个实际案例：(不跟DHCP的snooping结合，单独使用DAI) Cisco7609_2(config)#arp access-list yucedu permit ip host 162.16.40.1 mac host 0000.0c07.ac28 exit Cisco7609_2(config)#ip arp inspection vlan 40 Cisco7609_2(config)#ip arp inspection filter yucedu vlan 40 static 注意：ARP包是直接封装进二层的，所以上面的源保护技术没法对付ARP欺骗 广播/组播抑制： 用于对流入端口的广播和组播流量进行监控，超过阀值后丢弃数据包。 3550（config-if）#storm-control broadcast level 5 按百分比进行监控 3550（config-if）#storm-control broadcast bps 10 按实际流量，注意单位是M

VLAN之间ACL和VACL的区别

锐捷网络中，VLAN之间ACL和VACL的区别。配合命令配置可以更好的理解VLAN之间ACL和VACL的区别。

三层交换机上做端口隔离

三层交换机上做端口隔离-实例演示，通过配置vACL实现端口隔离

交换机安全技术总结

DHCP Snooping功能 动态ARP Inspection（DAI，Dynamic ARP Inspection） 源IP检测防护功能（IP Source Guard） 防ARP欺骗攻击、防DHCP欺骗攻击、防IGMP攻击（filter arp，filter dhcp，filter igmp） 访问列表控制技术〔MAC ACL、IP（TCP/UDP）ACL、VACL〕

交换机安全

为确保网络安全， 可以在交换机上应用访问控制列表。 有下列3种ACL： RACL VACL MAC ACL

Cisco:防止VLAN间的ARP攻击解决方案

如今很多交换机都能够防止ARP攻击核心层Gateway，但是不能很有效的防止各VLAN间的攻击，防止VLAN间的攻击，我认为用VLAN内的VACL防止比较好，安全性能才能提高。 　　由于公司交换设备用的是OMNI 但是安全方面应该也有相关设置作简单演示，不去深入100 3/12 default inactive 利用无用端口演示下:        代码如下:6602-SHA-15F> port-security 3/12 enable   　　6602-SHA-15F> port-security 3/12 maximum 10   　　6602-SHA-15F> port-security

varnish-book

反向代理的权威著作，特别是对VACL的讲述清晰，专业性较强