上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量 2、配置802.1X身份验证协议
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3560-1#conf t
3560-1(config)#aaa new-model /启用AAA认证。
3560-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3560-1(config)#int range f0/1 -24
3560-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。 3、访问控制列表的应用
案例一:VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问
实例:
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问:
方法一:
access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 110 permit any any
access-list 120 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 120 permit any any
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
方法二:
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 120 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
案例二:要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
方法一:
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 110 in
方法二:
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
int vlan 3
ip access-group 110 in
案例三:用单向访问控制列表(reflect+evalute)
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问
ip access-list extended VLAN80_inside
permit ip any any reflect ip
permit tcp any any reflect tcp
permit udp any any reflect udp
ip access-list extended VLAN80_outside
evaluate ip
evaluate tcp
evaluate udp
deny ip any 192.168.1.0 0.0.0.255
deny ip any 192.168.2.0 0.0.0.255
interface Serial1/2
ip address 192.168.8.1 255.255.255.0
ip access-group VLAN80_outside in
ip access-group VLAN80_inside out
serial restart-delay 0
end 4、Cisco3560 交换机端口限速配置
(4.1)、网络说明
PC1接在Cisco3560 F0/1上,速率为1M;
PC1接在Cisco3560 F0/2上,速率为2M;
Cisco3560的G0/1为出口。
(4.2)详细配置过程
注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策 略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config)# policy-map user-down
Switch(config-pmap)# class user1-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
Switch(config-pmap)# class user2-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
e、在接口上运用策略
Switch(config)# interface f0/1
Switch(config-if)# service-policy input user1-up
Switch(config)# interface f0/2
Switch(config-if)# service-policy input user2-up
Switch(config)# interface g0/1
Switch(config-if)# service-policy input user-down 5.交换机服务的安全策略
5.1禁止CDP(Cisco Discovery Protocol)。如:
Catalyst(Config)#no cdp run
Catalyst(Config-if)# no cdp enable
5.2禁止其他的TCP、UDP Small服务。
Catalyst(Config)# no service tcp-small-servers
Catalyst(Config)# no service udp-samll-servers
5.3禁止Finger服务。
Catalyst(Config)# no ip finger
Catalyst(Config)# no service finger
5.4建议禁止HTTP服务。
Catalyst(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
如:
Catalyst(Config)# username BluShin privilege 10 G00dPa55w0rd
Catalyst(Config)# ip http auth local
Catalyst(Config)# no access-list 10
Catalyst(Config)# access-list 10 permit 192.168.0.1
Catalyst(Config)# access-list 10 deny any
Catalyst(Config)# ip http access-class 10
Catalyst(Config)# ip http server
Catalyst(Config)# exit
5.5禁止BOOTp服务。
Catalyst(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Catalyst(Config)# no boot network
Catalyst(Config)# no servic config
5.6禁止IP Source Routing。
Catalyst(Config)# no ip source-route
5.7建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Catalyst(Config)# no ip proxy-arp
Catalyst(Config-if)# no ip proxy-arp
5.8明确的禁止IP Directed Broadcast。
Catalyst(Config)# no ip directed-broadcast
5.9禁止IP Classless。
Catalyst(Config)# no ip classless
5.10禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Catalyst(Config-if)# no ip unreacheables
Catalyst(Config-if)# no ip redirects
Catalyst(Config-if)# no ip mask-reply
5.11建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
5.12如果没必要则禁止WINS和DNS服务。
Catalyst(Config)# no ip domain-lookup
如果需要则需要配置:
Catalyst(Config)# hostname Catalyst
Catalyst(Config)# ip name-server 202.102.134.96
5.13明确禁止不使用的端口。
Catalyst(Config)# interface eth0/3
Catalyst(Config)# shutdown
5.14屏蔽ping包
5.14.1屏蔽外部ping包
Catalyst(Config)#access-list 110 deny icmp any any echo log
Catalyst(Config)#access-list 110 deny icmp any any redirect log
Catalyst(Config)#access-list 110 deny icmp any any mask-request log
Catalyst(Config)#access-list 110 permit icmp any any
5.14.2允许内部ping包
Catalyst(Config)#access-list 111 permit icmp any any echo
Catalyst(Config)#access-list 111 permit icmp any any Parameter-problem
Catalyst(Config)#access-list 111 permit icmp any any packet-too-big
Catalyst(Config)#access-list 111 permit icmp any any source-quench
Catalyst(Config)#access-list 111 deny icmp any any log 6.交换机端口安全----端口隔离
目的:隔离同一交换机上属于相同Vlan的端口之间的互访。
实现:
6.1、Cisco3560系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
6.2、Cisco3560以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。
6.3、以cisco3560交换机为例
做mac地址与端口绑定的可以实现两种应用:
a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
6.4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
6.5、实现方法:
针对第3条的两种应用,分别不同的实现方法
a、接受第一次接入该端口计算机的mac地址:
Switch#config terminal
Switch(config)#interface interface-id 进入需要配置的端口
Switch(config-if)#switchport mode access设置为交换模式
Switch(config-if)#switchport port-security打开端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//针对非法接入计算机,端口处理模式 {丢弃数据包,不发警告| 丢弃数据包,在console发警告| 关闭端口为err-disable状态,
除非管理员手工激活,否则该端口失效。
b、接受某特定计算机mac地址:
Switch#config terminal
Switch(config)#interface interface-id
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//以上步骤与a同
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging static //打开静态映射
Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX
//为端口输入特定的允许通过的mac地址
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。
因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了
本文出自 “Larry学习之路” 博客,请务必保留此出处http://5iqiong.blog.iyunv.com/2999926/677587