Interface FastEthernet1/1 switchport port-security switchport port-security maximum 3 switchport port-security aging time 1 switchport port-security violation restrict switchport port-security aging type inactivity
Valid Username Valid Password
Yes
TACACS+ or RADIUS
No
Invalid Username Invalid Password
客户交换机
TACACS+ or RADIUS Server
Cisco Public 7
RST-3131 12518_04_2006_c2
LAN Security
RST-3131 12518_04_2006_c2
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
1
Access Control Lists
• 它做什么： 它做什么： 允许或拒绝基于源或目标地址的访问 限制用户的网络指定的地区， 限制用户的网络指定的地区，阻止未经 授权的访问， 授权的访问，其他所有的应用程序和信 息 • 优点： 优点： 防止未经授权的访问， 防止未经授权的访问，服务器和应用程 序 允许指定的用户访问指定的服务器
© 2006 Cisco Systems, Inc. All rights reserved.
802.1x配置 配置
! enable AAA aaa new-model ! use AAA for 802.1x only (optional) aaa authentication login default none aaa authentication dot1x default group radius ! set IP address of radius server radius-server host 10.48.66.102 ! radius server key radius-server key Cisco ! enable 802.1x dot1x system-auth-control ! L3 interface for accessing RADIUS server interface Vlan1 ip address 10.48.72.177 255.255.254.0 ! RADUIS server is behind this L2 port interface gi2/1 switchport switchport mode access switchport access vlan 1 ! enable 802.1x on the interface interface gi2/16 switchport switchport mode access dot1x port-control auto end Switch#sh dot1x Sysauthcontrol = Enabled Dot1x Protocol Version = 1 Dot1x Oper Controlled Directions = Both Dot1x Admin Controlled Directions = Both Switch#sh dot1x interface g2/16 AuthSM State = HELD BendSM State = IDLE PortStatus = UNAUTHORIZED MaxReq = 2 MultiHosts = Disabled Port Control = Auto QuietPeriod = 60 Seconds Re-authentication = Disabled ReAuthPeriod = 3600 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds
Switch(config)#interface vlan 4 Switch(config-if)#ip access-group 101 in Switch(config-if)#
RACL
PACL
Switch(config)#interface fa 4/23 Switch(config-if)#swichport access vlan 4 Switch(config-if)#ip access-group 101 in
• Debugging 命令: 命令
debug dot1x event debug radius
Cisco Public 8
RST-3131 12518_04_2006_c2
© 2006 Cisco Systems, Inc. All rights reserved.
DHCP Snooping
• 它做什么： 它做什么： 交换机只转发从不受信任的 接入端口的DHCP请求，所有 请求， 接入端口的 请求 其他类型的DHCP流量被丢弃 流量被丢弃; 其他类型的 流量被丢弃 允许从信任指定的DHCP端口 允许从信任指定的 端口 或上行端口接收中继DHCP消 或上行端口接收中继 消 息。 构建一个DHCP绑定表：包 绑定表： 构建一个 绑定表 含客户端的IP地址 地址、 含客户端的 地址、MAC地址 地址 端口、 、端口、VLAN号 号
• Default action—shutdown
1w2d: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa3/1, putting Fa3/1 in err-disable state 1w2d: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0005.dccb.c941 on port FastEthernet3/1.
RST-3131 12518_04_2006_c2
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
6
802.1x协议 协议
工作原理
• 每个试图进入网络的人都必须使用其个人的用户名和密码得到授权， 每个试图进入网络的人都必须使用其个人的用户名和密码得到授权， 否则将被拒绝接入网络
Valid MAC Address
√
X
Invalid MAC Address
RST-3131 12518_04_2006_c2 © 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
5
Port Security 详细信息
• Configuration 选项
RST-3131 12518_04_2006_c2
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
4
Port Security
• 它做什么： 它做什么： 能够限制连接到一个交换机的MAC地址数量，并确保只有批准的 地址数量， 能够限制连接到一个交换机的 地址数量 MAC地址能够访问交换机 地址能够访问交换机 • 优点： 优点： 确保只有经过批准的用户可以登录到网络上
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
9
DHCP Snooping配置 配置
Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 10 100 Switch(config)# int f6/1 Switch(config-if)# ip dhcp snooping trust Switch(config-if)# ip dhcp snooping limit rate <rate> Switch# show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs:1 Insertion of option 82 is enabled Interface Trusted Rate limit (pps) -------------------- ------- ---------------FastEthernet2/1 yes 100 Switch# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------- ---- ---------------0000.0100.0201 10.0.0.1 1600 dynamic 100 Fa2/1
• VACLs检查匹配 检查匹配VLAN上的所 检查匹配 上的所 有数据包 • VACLs在最后隐含有基于 在最后隐含有基于MAC 在最后隐含有基于 的ACL的拒绝所有的数据包的 的拒绝所有的数据包的 列表 • 这个例子将允许 这个例子将允许VLAN201所有 所有 的IP数据包和拒绝所有的 数据包和拒绝所有的 Appletalk包 包
ACLs的类型 的类型
• Router ACL (RACL) • VLAN ACL (VACL) • Port-based ACL (PACL)