一、mac绑定
交换机安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数
情景模拟(Cisco S3550)
在交换机上配置从f0/11接口上只允许MAC地址为00e0.fc01.0000的主机接入
S1(config)#int f0/11
S1(config-if)#shutdown
S1(config-if)#switch mode access//把端口改为访问模式
S1(config-if)#switch port-security//打开交换机的端口安全功能
S1(confg-if)#switch port-security maximum 1//设置只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入
S1(config-if)#switch port-security violation shutdown
“switch port-securityviolation{protect|shutdown|restrict}”//命令含义如下:
lprotect;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响;
lshutdown;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown”命令重新打开;
lrestrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。
S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//设置接入该端口要匹配的MAC地址
二、ARP绑定
ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。
使用ARP绑定可以有效的避免广播,将ip地址与mac地址进行绑定,也可以防止本网段内的其他主机假冒本机的ip地址来进行非法的活动
例:
Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1
配置局域网内IP 地址129.102.0.1对应的MAC地址为00e0.fc01.0000,经过VLAN1 经过以太网端口Ethernet0/1
情景模拟(华为交换机)
在交换机上配置只允许ip地址为192.168.1.200,mac地址为00e0.fc01.0000的主机进行日常的远程维护
acl number 2000
rule 10 permit source 192.168.1.200 0.0.0.0
rule 20 deny source any
user-interface vty 0 4
acl 2000 inbound
此时已经设置只有ip地址为192.168.1.200的主机可以进行远程访问,此时要防止其他主机来盗用管理主机的ip地址来进行远程访问
arp static 192.168.1.200 00e0.fc01.0000
arp绑定之后,冒充管理主机ip地址的主机就无法进行远程访问了
三、vlan
可以实现交换机的各个端口之间两两互不通信,将每个端口放在不同的vlan中即可实现,可以用在宽带接入中的每家每户之间不能通信,但与上联链路可以通信。
四、端口隔离
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔
离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供
了灵活的组网方案。
当聚合组中的某个端口加入到隔离组后,同一聚合组内的其它端口,均会自动加入
隔离组中。
可以在二层和三层交换机上实现端口隔离
在二层交换机上只能创建一个隔离组,处在同一个隔离组的端口两两之间不能通信
例:(华为二层交换机)
1. 组网需求
小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、
Ethernet1/0/3、Ethernet1/0/4相连
交换机通过Ethernet1/0/1端口与外部网络相连
小区用户PC2、PC3和PC4之间不能互通
2. 组网图
3. 配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。
System View: return to User View withCtrl+Z.
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
[Quidway]
# 显示隔离组中的端口信息。
Isolated port(s) on UNIT 1:
Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4
在三层交换机上可以创建多个隔离组,处在同一个隔离组的端口两两之间不能通信,但可以与其他隔离组中的端口通信
例:(华为 S3526)
1. 组网需求
小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、
Ethernet1/0/3、Ethernet1/0/4相连
交换机通过Ethernet1/0/1端口与外部网络相连
小区用户PC2和PC3之间不能互通,但都能与PC4互通
2. 组网图
3. 配置步骤
# 将以太网端口Ethernet1/0/2、Ethernet1/0/3加入隔离组。
System View: return to User View withCtrl+Z.
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3
[Quidway-Ethernet1/0/2] quit
# 由于在ethernet1/0/2已经指明要隔离的端口是ethernet1/0/3,所以无需在端口ethernet1/0/3重复指明其隔离端口是ethernet1/0/2,ethernet1/0/3端口将会自动将端口ethernet1/0/2视为隔离端口
在三层交换机上不仅可以实现与二层交换机上相类似的端口隔离的功能还能实现端口与IP地址的绑定。端口和ip绑定,要求数据流量必须通过三层设备,如vlan间通信的时候就可以用到这项技术,但是如果数据流量没有通过三层设备,如vlan内部的通信,端口和ip绑定是没有意义的
例:(华为 S3526)
1. 组网需求
vlan20的网关为交换机的Ethernet1/0/2端口
vlan30的网关为交换机的Ethernet1/0/3端口
交换机通过Ethernet1/0/1端口与外部网络相连
vlan20内的主机只允许IP地址为192.168.20.10的主机通过Ethernet1/0/2端口与外部通信
2. 组网图
3. 配置步骤
# 修改端口类型
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 创建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 设置允许通过的主机
[Quidway] am enable
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10
[Quidway-Ethernet1/0/2] quit
# 此时vlan20中能通过其网关的就只有192.168.20.10这台主机了
五、ACL(二层、三层)
ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为
了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特
定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等。
由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如
QoS中流分类规则的定义。
根据应用目的,可将ACL分为下面几种:
基本ACL:只根据三层源IP地址制定规则。
高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类
型、协议特性等三、四层信息制定规则。
二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类
型等二层信息制定规则。
ACL在交换机上的应用方式
1. ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和
流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使
在定义ACL时配置了匹配顺序,该匹配顺序也不起作用。
ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、通过ACL过
滤转发数据等。
2. ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹
配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配
该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义
ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹
配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新
指定其匹配顺序。
ACL被软件引用的情况包括:对登录用户进行控制时引用ACL等。
例:(华为 S3526)
ACL 直接下发到硬件中
1. 组网需求
vlan20的网关为交换机的Ethernet1/0/2端口
vlan30的网关为交换机的Ethernet1/0/3端口
交换机通过Ethernet1/0/1端口与外部网络相连
IP地址为192.168.20.10的主机MAC地址为1E-65-9D-2D-21-E2
IP地址为192.168.30.10的主机MAC地址为1C-65-9D-2D-21-E2
禁止192.168.20.10的主机与192.168.30.10的主机通信
2. 组网图
3. 配置步骤
# 修改端口类型
System View: return to User View withCtrl+Z.
[Quidway]interface Ethernet 1/0/2
[Quidway-Ethernet1/0/2]port link-type access
[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3
[Quidway-Ethernet3/0/3]port link-type access
[Quidway-Ethernet3/0/3]quit
# 创建svi端口
[Quidway]vlan 20
[Quidway-vlan20]port Ethernet 1/0/2
[Quidway-vlan20]vlan 30
[Quidway-vlan30]port Ethernet 1/0/3
[Quidway-vlan30]quit
[Quidway]interface Vlanif 20
[Quidway-Vlanif20]ip address 192.168.20.1255.255.255.0
[Quidway-Vlanif20]interface Vlanif 30
[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0
[Quidway-Vlanif30]quit
# 设置被禁止通信的主机
[Quidway]acl number 4000 match-order auto
[Quidway-acl-link-4000]rule 10 deny ingress1e-65-9d-2d-21-e2 egress 1c-65-9d-2d-21-e2
[Quidway-acl-link-4000]quit
[Quidway]packet-filter link-group 4000
例:(华为 S3526)
ACL 被上层模块引用
1、需求
某个设备只允许管理员主机进行远程访问,假设管理员主机IP为192.168.2.100
2、配置
# 创建访问控制列表
[Quidway] acl number 2000 match-order auto
[Quidway-acl-basic-2000] rule 10 permit source 192.168.2.100 0.0.0.0
[Quidway-acl-basic-2000] rule deny source any
[Quidway-acl-basic-2000] quit
# 被上层模块引用
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode none
[Quidway-ui-vty0-4] acl 2000 inbound
[Quidway-ui-vty0-4]quit