DHCP協(xié)議，管理網(wǎng)絡IP的協(xié)議。在對于網(wǎng)絡安全方面，DHCP有著許多的注意事項。本文就來講解一下交換機安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN的內容。
交換機安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN
端口和MAC綁定:port-security
基于DHCP的端口和IP,MAC綁定:ip source guard
基于DHCP的防止ARP攻擊:DAI
防止DHCP攻擊:DHCP Snooping

cisco所有局域網(wǎng)緩解技術都在這里了!

常用的方式:

802.1X,端口認證,dot1x,也稱為IBNS(注:IBNS包括port-security):基于身份的網(wǎng)絡安全; 很多名字,有些煩.當流量來到某個端口,需要和ACS交互,認證之后得到授權,才可以訪問網(wǎng)絡,前提是CLIENT必須支持802.1X方式,如安裝某個軟件

Extensible AuthenTIcaTIon Protocol Over Lan(EAPOL)    使用這個協(xié)議來傳遞認證授權信息

示例配置:

Router#configure terminal   Router(config)#aaa new-model   Router(config)#aaa authenTIcaTIon dot1x default group radius   Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey   Router(config)#dot1x system-auth-control 起用DOT1X功能   Router(config)#interface fa0/0   Router(config-if)#dot1x port-control auto 

AUTO是常用的方式,正常的通過認證和授權過程

強制授權方式:不通過認證,總是可用狀態(tài)

強制不授權方式:實質上類似關閉了該接口,總是不可用

可選配置:

Switch(config)#interface fa0/3   Switch(config-if)#dot1x reauthentication   Switch(config-if)#dot1x timeout reauth-period 7200 

2小時后重新認證

Switch#dot1x re-authenticate interface fa0/3 

現(xiàn)在重新認證,注意:如果會話已經(jīng)建立,此方式不斷開會話

Switch#dot1x initialize interface fa0/3 

初始化認證,此時斷開會話

Switch(config)#interface fa0/3   Switch(config-if)#dot1x timeout quiet-period 45 

45秒之后才能發(fā)起下一次認證請求

Switch(config)#interface fa0/3   Switch(config-if)#dot1x timeout tx-period 90 默認是30S   Switch(config-if)#dot1x max-req count 4 

客戶端需要輸入認證信息,通過該端口應答AAA服務器,如果交換機沒有收到用戶的這個信息,交換機發(fā)給客戶端的重傳信息,30S發(fā)一次,共4次

Switch#configure terminal   Switch(config)#interface fastethernet0/3   Switch(config-if)#dot1x port-control auto   Switch(config-if)#dot1x host-mode multi-host 

默認是一個主機,當使用多個主機模式,必須使用AUTO方式授權,當一個主機成功授權,其他主機都可以訪問網(wǎng)絡;

當授權失敗,例如重認證失敗或LOG OFF,所有主機都不可以使用該端口

Switch#configure terminal   Switch(config)#dot1x guest-vlan supplicant   Switch(config)#interface fa0/3   Switch(config-if)#dot1x guest-vlan 2 

未得到授權的進入VLAN2,提供了靈活性

注意: