Cisco 交换机能不能当radius server

yuford 2018-09-15 08:18:01

现有网络 2900 50台通过一台4500汇聚并起三层，请教能不能在45上开radius server

...全文

695 1 打赏收藏转发到动态举报

写回复

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

剑锋自磨砺来。 2018-09-18

打赏
举报

回复

如果有独立服务器的话，还是在服务器上开Radius 认证服务吧，和朋友做了一些工程，基本很少在三层或者核心上开radius server的

CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证，以进行SSH访问： Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机，使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl，以判断数据包是否通过tcp端口8889进入： sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表： sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记在某网络测试时，工作笔记。一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等四、配置 1、先配置switch到radius server的通讯全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制编者按：IEEE 802.1x作为一种新生的链路层验证机制协议，其原理、组成、工作进程以及功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。虽然大多数组织的IT基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制，允许授权用户进来，而把非授权用户拒之门外。因此，有了802.1x，LAN便不再是一道敞开的门，其本身也成为安全架构和政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在802.1x中称为请求者）不需要分配供验证用的第3层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE　802.1x定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者和验证服务器之间的代理，并且充当政策执行点。端口访问实体：参与验证过程的固件。请求者和验证者都拥有端口访问实体（PAE）单元，请求者的PAE负责对验证信息请求做出响应，验证者的PAE负责与请求者之间的通信，代理授予通过验证服务器验证的证书，并且控制端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既可以同验证者放在一起，也可以放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284中得到了明确定义。基于以上所述，IEEE定义了一种封装模式，允许EAP通过LAN传输，EAP over LAN（EAPoL）于是应运而生。各种验证服务都可以通过这种协议运行，包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输，并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP内运行的验证协议（在RFC 2284当中定义为验证类型）为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全（EAP-TLS），它利用了在RFC 2246中明确定义的传输层协议（TLS）。受控端口和不受控端口 802.1x标准定义了两种逻辑抽象：受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输，验证者与验证服务器之间的流量则通过RADIUS传输。开始时，受控端口处于中断状态，所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息，或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能因为802.1x只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了AAA，即验证、授权和审计，而802.1x仅仅提供了最基本的验证功能，即开/关。部分厂商于是提供了另一层保护，因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能，而且可以进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务： ● 第2层协议过滤，去除了网络中不接受的第2层协议。 ● 第3层过滤，对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤，禁止不允许的协议进入网络。 ● 速率限制，控制可能有害的信息进入网络的速率。如果利用为每个端口进行编程的授权服务，就能针对特定用户或用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问SNMP，会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组，那么在验证期间就可以实施特定的授权策略。就本例而言，SNMP访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证，以进行SSH访问： Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机，使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl，以判断数据包是否通过tcp端口8889进入： sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表： sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记在某网络测试时，工作笔记。一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等四、配置 1、先配置switch到radius server的通讯全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制编者按：IEEE 802.1x作为一种新生的链路层验证机制协议，其原理、组成、工作进程以及功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。虽然大多数组织的IT基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制，允许授权用户进来，而把非授权用户拒之门外。因此，有了802.1x，LAN便不再是一道敞开的门，其本身也成为安全架构和政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在802.1x中称为请求者）不需要分配供验证用的第3层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE　802.1x定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者和验证服务器之间的代理，并且充当政策执行点。端口访问实体：参与验证过程的固件。请求者和验证者都拥有端口访问实体（PAE）单元，请求者的PAE负责对验证信息请求做出响应，验证者的PAE负责与请求者之间的通信，代理授予通过验证服务器验证的证书，并且控制端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既可以同验证者放在一起，也可以放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284中得到了明确定义。基于以上所述，IEEE定义了一种封装模式，允许EAP通过LAN传输，EAP over LAN（EAPoL）于是应运而生。各种验证服务都可以通过这种协议运行，包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输，并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP内运行的验证协议（在RFC 2284当中定义为验证类型）为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全（EAP-TLS），它利用了在RFC 2246中明确定义的传输层协议（TLS）。受控端口和不受控端口 802.1x标准定义了两种逻辑抽象：受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输，验证者与验证服务器之间的流量则通过RADIUS传输。开始时，受控端口处于中断状态，所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息，或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能因为802.1x只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了AAA，即验证、授权和审计，而802.1x仅仅提供了最基本的验证功能，即开/关。部分厂商于是提供了另一层保护，因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能，而且可以进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务： ● 第2层协议过滤，去除了网络中不接受的第2层协议。 ● 第3层过滤，对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤，禁止不允许的协议进入网络。 ● 速率限制，控制可能有害的信息进入网络的速率。如果利用为每个端口进行编程的授权服务，就能针对特定用户或用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问SNMP，会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组，那么在验证期间就可以实施特定的授权策略。就本例而言，SNMP访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。发表于： 2010-03-01，修改于： 2010-03-01 08:56 已浏览168次，有评论0条推荐投诉

ssh登录使用radius服务器认证配置方法

Re：CCNA_CCNP 思科网络认证三层交换机（VTP 简化 VLAN 管理、实现 VLAN 间路由、HSRP 实现网关冗余） ====================== # 配置 VTP 域简化 VLAN 管理 VTP：VLAN间干道协议统一管理交换机中的VLAN（例如增加...

HP交换机的动态VLAN和基于MAC动态VLAN的配置方法，服务器及网络交换机的设置方法教程。目录第一章系统概述一、拓扑图二、组网说明第二章 Server功能角色添加搭建一、添加服务角色前的工作二、添加 AD （Active Directory域服务三、添加 IIS （Internet信息服务）四、添加 CA （Active Dirctory证书服务）五、添加 DHCP（DHCP 服务器六、添加 IAS （网络策略和访问服务）第三章基于 802.1X 用户VLAN 交换机配置一、系统架构二、核心交换机配置HP Switch 2610-24 三、接入交换机配置 HP Switch 2610-48 第四章基于 802.1X 用户 VLAN Radius服务架设一、添加用户和组二、设置 IIS 认证书服务三、建设 802.1X Radius服务四、导出证书到终端设备第五章基于 802.1X用户 VLAN 客户端设置一、打开客户端验证功能二、安装证书到“受信任的根颁发机构 ” 三、本地连接设置第六章测试 802.1X用户动态VLAN 第七章基于 MAC 动态 VLAN交换机配置一、核心交换机配置HP Switch 2610-24 二、接入交换机配置HP Switch 2610-48 第八章基于 802.1X MAC VLAN Radius服务架设一、添加用户和组二、修改服务器系统注册表三、建设 802.1X Radius服务第九章测试 MAC 动态 VLAN

Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息，本网段的dhcp server回送dhcp offer消息，客户段再发送dhcp request消息，声明自己即将使用的ip地址，server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能，凡是不信任的端口（信任端口就是dhcp server使用的端口，需独立配置），都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping，这样所有端口都是非信任端口，都将丢弃dhcp offer报文，如果是使用三层交换机提供dhcp服务，就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住：接入层交换机需支持dhcp snooping功能；信任端口是在物理端口下配置（包括trunk级联端口） 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址，耗费dhcp server地址池，从个人达到拒绝服务攻击的目的。一般用两种方法，但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池，只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加，这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合，认证系统首先对MAC地址进行第一次认证，只有MAC地址是合法的，才允许DHCP Sever分配IP地址给终端，这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要，不希望用户自己设定ip地址来上网，也就是说限制用户只能动态获取地址才能上网，自己固定地址不能上网。这种就相对比较简单，不需要在接入层上做什么设置，也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法这里必须还是先在三层交换机上启用ip dhcp snooping功能同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip，而是自己设置ip，那么它就不会被dhcp snooping捕获到，当然所有的该ip地址发送的arp请求都会被网关拒绝掉的（因为源，目的mac和ip地址都是不合法的，自然被认为是非法的arp请求）。但是固定ip时是可以跟本局域网内其它机器通信的，只是不能通过arp协议学习到网关的mac地址。注：以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况：一是伪造网关去欺骗网内其它主机；而是伪造其它主机去欺骗网关。当然更严重的是两种情况同时存在，并开始数据转发功能，这就是一种中间人攻击（双方欺骗），可以嗅探数据包（代理arp功能跟此类似，很多计费网关和一些透明防火墙就利用了代理arp功能）。从某种意义上说，arp欺骗就是一种代理arp。神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关，这个acl就是限制该端口下不允许发送网关地址的arp通告报文，这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下： 13，14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然，如果知道某个具体端口是什么IP地址，那么就可以限制该端口只能发送该IP的arp通告是最好了，这就可以完全杜绝arp欺骗。但明显可操作性差。另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac，同时在网关上静态绑定IP＋mac。不过这种办法不如前面办法好，它不能防止局域网内部的arp欺骗。如果采取的是动态获取ip地址，神码交换机有个新特性，能完全控制arp欺骗。可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；管理复杂度低，交换机配置简单并且基本不需要变更；支持用户移动接入，交换机可以自动检测到用户接入位置并正确转发用户数据； ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip，需要ip＋mac＋端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多，先配置ip dhcp snooping 再配置ip arp inspection,此时，客户端就应该没办法伪造其它主机去伪造网关，因为这些伪造的arp reply报文在网关看来都是非法的，自然会拒绝。至于伪造网关的防治，大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥，将会影响性能，严重的将会是交换机崩溃，因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治，那就只能选择port-security了，虽然不能满足移动性的要求。针对目前学校主干是cisco交换机，接入层品牌太杂，档次参差不齐，用户自动从cisco三层交换机上获取地址上网的情况，我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server，还得升级接入层交换机。

交换及路由技术

3,811

社区成员

12,781

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章