am
通路控制
通路管理功能是指:在接入層以太網交換機的端口上,通過配置端口的通路管理ip 位址池,将指定範圍的ip 位址與端口進行綁定。
端口隔離
通過端口隔離特性,使用者可以将需要進行控制的端口加入到一個隔離組中,實作隔離組中的端口之間二層、三層資料的隔離,既增強了網絡的安全性,也為使用者提供了靈活的組網方案。
端口隔離特性與以太網端口所屬的vlan 無關
端口隔離與端口聚合的關系
當聚合組中的某個端口加入到隔離組後,同一聚合組内的其它端口,均會自動加入
隔離組中。
案例
pc1 pc2 分别 與交換機 e 1/0/1 e 1/0/2 相連 e 1/0/10 與外網相連
配置步驟
int e 1/0/1
port isolate
q
int e 1/0/2
port isolate
q
arp 綁定
arp 即位址解析協定
網絡裝置進行網絡尋址時隻能識别資料鍊路層的mac位址,不能直接識别來自網
絡層的ip 位址。如果要将網絡層中傳送的資料報交給目的主機,必須知道該主機的
mac位址。是以網絡裝置在發送封包之前必須将目的主機的ip 位址解析為它可以
識别的mac位址。
主要用于從ip 位址到以太網mac 位址的解析。
如将arp 映射表綁定,就可以防止一般的arp欺騙攻擊。防止arp病毒攻擊的最有效手段:雙向靜态arp綁定
注意:
靜态arp映射項在以太網交換機正常工作時間一直有效,但如果更改或者删除
vlan 虛接口,或者執行删除vlan 或把端口從vlan 中删除等使arp表項不
再合法的操作,則arp表項都将被自動删除。
參數vlan-id 必須是已經存在的vlan id ,且 vlan-id 參數後面指定的以太網端口
必須屬于這個vlan。
目前,不支援在聚合端口上配置靜态arp映射項。
設 交換機動态arp老化時間為20分鐘 設一靜态arp ip位址為192.168.2.33 對應
mac為 00e0-fc00-ff40 對應端口為屬于vlan10的 e 1/0/12
arp timer aging 20
arp static 192.168.2.33 1111-2222-1111
mac 綁定
通過交換機 對使用者 的mac進行綁定 實作 控制 别人冒充ip進行上網
在端口e 1/0/10 上進行mac認證
sys
vlan 10
port e 1/0/10
int e 1/0/10
mac-address static 1111-1111-1111 vlan 10
802.1q
802.1x 協定是一種基于端口的網絡接入控制
基于端口的網絡接入控制”是指在區域網路接入控制裝置的端口這一級對所
接入的裝置進行認證和控制。連接配接在端口上的使用者裝置如果能通過認證,就可以訪
問區域網路中的資源;如果不能通過認證,則無法通路區域網路中的資源——相當于連
接被實體斷開。
802.1x 提供了一個使用者身份認證的實作方案,為了實作此方案,除了配置802.1x
相關指令外,還需要在交換機上配置aaa方案
本地802.1q 接入使用者名為user1密碼為123456使用明文輸入
閑置切斷功能處于打開狀态。
開啟全局802.1x 特性
dot1x
dot1x int e 1/0/1
dot1x port-method macbased int e 1/0/1
radius scheme radius1
primary auth 192.168.2.100
primary accoun 192.168.2.101
scondary auth 192.168.2.101
scondary account 192.168.2.100
key auth name
key account money
timer 5
retry 5
timer realtime-acc 15
user-name-format without-domain
domain default enable abc.net
scheme radius-scheme radius loacal
access-limit enable 30
idle-cut enable 20 2000
local-user user1
service-type lan-access
password simple localpass