詳解DHCP協(xié)議多方面的注意事項(xiàng)
DHCP協(xié)議,管理網(wǎng)絡(luò)IP的協(xié)議。在對(duì)于網(wǎng)絡(luò)安全方面,DHCP有著許多的注意事項(xiàng)。本文就來(lái)講解一下交換機(jī)安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN的內(nèi)容。
交換機(jī)安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN
端口和MAC綁定:port-security
基于DHCP的端口和IP,MAC綁定:ip source guard
基于DHCP的防止ARP攻擊:DAI
防止DHCP攻擊:DHCP Snooping
cisco所有局域網(wǎng)緩解技術(shù)都在這里了!
常用的方式:
802.1X,端口認(rèn)證,dot1x,也稱為IBNS(注:IBNS包括port-security):基于身份的網(wǎng)絡(luò)安全; 很多名字,有些煩.當(dāng)流量來(lái)到某個(gè)端口,需要和ACS交互,認(rèn)證之后得到授權(quán),才可以訪問(wèn)網(wǎng)絡(luò),前提是CLIENT必須支持802.1X方式,如安裝某個(gè)軟件
Extensible AuthenTIcaTIon Protocol Over Lan(EAPOL) 使用這個(gè)協(xié)議來(lái)傳遞認(rèn)證授權(quán)信息
示例配置:
Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authenTIcaTIon dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control autoAUTO是常用的方式,正常的通過(guò)認(rèn)證和授權(quán)過(guò)程
強(qiáng)制授權(quán)方式:不通過(guò)認(rèn)證,總是可用狀態(tài)
強(qiáng)制不授權(quán)方式:實(shí)質(zhì)上類似關(guān)閉了該接口,總是不可用
可選配置:
Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 72002小時(shí)后重新認(rèn)證
Switch#dot1x re-authenticate interface fa0/3現(xiàn)在重新認(rèn)證,注意:如果會(huì)話已經(jīng)建立,此方式不斷開會(huì)話
Switch#dot1x initialize interface fa0/3初始化認(rèn)證,此時(shí)斷開會(huì)話
Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 4545秒之后才能發(fā)起下一次認(rèn)證請(qǐng)求
Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 默認(rèn)是30S Switch(config-if)#dot1x max-req count 4客戶端需要輸入認(rèn)證信息,通過(guò)該端口應(yīng)答AAA服務(wù)器,如果交換機(jī)沒(méi)有收到用戶的這個(gè)信息,交換機(jī)發(fā)給客戶端的重傳信息,30S發(fā)一次,共4次
Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host默認(rèn)是一個(gè)主機(jī),當(dāng)使用多個(gè)主機(jī)模式,必須使用AUTO方式授權(quán),當(dāng)一個(gè)主機(jī)成功授權(quán),其他主機(jī)都可以訪問(wèn)網(wǎng)絡(luò);
當(dāng)授權(quán)失敗,例如重認(rèn)證失敗或LOG OFF,所有主機(jī)都不可以使用該端口
Switch#configure terminal Switch(config)#dot1x guest-vlan supplicant Switch(config)#interface fa0/3 Switch(config-if)#dot1x guest-vlan 2未得到授權(quán)的進(jìn)入VLAN2,提供了靈活性
注意: