重庆交通大学老师王莉:【原创】锐捷交换机安全配置总结

来源:百度文库 编辑:中财网 时间:2024/04/29 00:14:22
【原创】锐捷交换机安全配置总结2010年07月25日 星期日 14:52

1、(config)#mac-address-table static 0026.9e61.0011 vlan 1 interface GigabitEthernet 0/1
可设置MAC、VLAN与端口的绑定;设置静态mac地址项,避免广播请求该端口所接设备的MAC地址,实现安全;与报文过滤无关;

2、(config-if)#switchport port-security binding 0026.9e61.0012 vlan 1 192.168.1.5
或(config)#switchport port-security interface g0/3 mac-address 0026.9e61.0012 vlan 1 192.168.1.5     //实现IP、MAC、VLAN与端口的绑定;
注意通过switchport port-security开启检测功能,如果存在对应IP或对应MAC但是不符合IP+MAC对应关系则不允许转发;如果不存在对应IP或对应MAC则看该端口最大安全MAC数有没有超过最大范围(默认128),如未超过则添加对应关系,并允许转发,如超过最大范围则不转发;

3、(config)#address-bind 192.168.1.6 0026.9e61.0013    //可实现IP与MAC的绑定(注意需要address-bind install来开启功能,实现只有IP和MAC对应正确的报文才允许转发)
此处绑定优先于第2类绑定生效;

4、(config)#ip dhcp snooping                            //通过对DHCP报文窥探,筛选合法的DHCP报文,屏蔽非法的DHCP报文;并将合法的用户信息(IP、MAC、VLAN、端口、租约时间)形成dhcp snooping数据库;

5、(config-if)#ip verify source                               //只验证IP,只有IP符合的报文才允许转发
(config-if)#ip verify source port-security        //验证IP+MAC,只有IP+MAC都符合的报文才允许转发由于ARP报文没有IP头部,所以ip verify source无法过滤ARP报文,只能过滤IP报文。
     (config)#ip source binding 0026.9e61.0015 vlan 1 192.168.1.10 interface GigabitEthernet 0/1 //静态绑定IP、MAC、VLAN与端口,并存入ip verify source安全数据库。实现静态IP用户也可访问网络(不设置时静态IP用户因为没有经过DHCP请求过程,安全地址库内没有对应地址项,所以无法访问网络)。
ip verify source静态绑定也需要开启ip dhcp snooping才能生效,否则状态为
Interface            Filter-type Filter-mode Ip-address      Mac-address    VLAN
-------------------- ----------- ----------- --------------- -------------- --------
GigabitEthernet 0/1 ip+mac      inactive-no-snooping-vlan

开启ip dhcp snooping后状态为
Interface            Filter-type Filter-mode Ip-address      Mac-address    VLAN
-------------------- ----------- ----------- --------------- -------------- --------
GigabitEthernet 0/1 ip+mac      active      192.168.1.6     0026.9e61.9a15 1      
GigabitEthernet 0/1 ip+mac      active      deny-all        deny-all   

此处绑定与第3类绑定同时生效,数据包需满足两者条件才能转发。利用的是dhcp snooping数据库里IP+MAC对应关系。

7、arp 192.168.1.20 0026.9e61.9a16 arpa     //设置静态ARP绑定

8、(config-if)#arp-check auto                             //有安全地址时过滤IP+MAC不在安全数据库里的ARP报文,没有安全地址时则不过滤;
(config-if)#arp-check                                     //强制开启过滤,无论是否有安全地址均过滤IP+MAC不在安全数据库里的ARP报文;
利用dhcp snooping数据库里的IP、MAC和端口对应关系。

总结:ip verify source的静态绑定与address-bind同时生效并优先于switchport port-security静态绑定。


加油站安全总结 文化娱乐场所安全总结 交换机的配置? 交换机配置命令 思科交换机如何配置? 如何配置交换机vlan 如何进入交换机配置? 博达交换机配置 三层交换机如何配置 交换机怎样配置/ 交换机的配置问题 求:交换机配置视频教程 交换机配置局域网 D-link交换机配置 网络交换机配置问题 交换机配置问题 加油站安全总结如何写 工程安全总结怎么写?? iis配置的实验总结 怎样配置交换机和路由器? 如何给交换机配置IP 交换机配置向导的使用 交换机网关的配置命令 以太网交换机配置的要点