思科交换机安全(很全的详细配置、讲解).doc

、port-security、DHCPSNOOP、DAI、VACL、SPANRSPAN端口和MAC绑定:port-security基于DHCP的端口和IP,MAC绑定:ipsourceguard基于DHCP的防止ARP攻击:DAI防止DHCP攻击:DHCPSnooping常用的方式:1、,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,,如安装某个软件ExtensibleAuthenticationProtocolOverLan(EAPOL)使用这个协议来传递认证授权信息示例配置:Router#configureterminalRouter(config)#aaanew-modelRouter(config)#aaaauthenticationdot1xdefaultgroupradiusRouter(config)#radius--port1633keyradkeyRouter(config)#dot1xsystem-auth-control起用DOT1X功能Router(config)#interfacefa0/0Router(config-if)#dot1xport-controlautoAUTO是常用的方式,正常的通过认证和授权过程强制授权方式:不通过认证,总是可用状态强制不授权方式:实质上类似关闭了该接口,总是不可用可选配置:Switch(config)#interfacefa0/3Switch(config-if)#dot1xreauthenticationSwitch(config-if)#dot1xtimeoutreauth-period7200//2小时后重新认证Switch#dot1xre-authenticateinterfacefa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话Switch#dot1xinitializeinterfacefa0/3//初始化认证,此时断开会话Switch(config)#interfacefa0/3Switch(config-if)#dot1xtimeoutquiet-period45//45秒之后才能发起下一次认证请求Switch(config)#interfacefa0/3Switch(config-if)#dot1xtimeouttx-period90//默认是30SSwitch(config-if)#dot1xmax-reqcount4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configureterminalSwitch(config)#0/3Switch(config-if)#dot1xport-controlautoSwitch(config-if)#dot1xhost-modemulti-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授