华为3526c的那点事
  最近几天,老板总是抱怨网络安全做的不够好,尤其是我们的无线网络,虽然设置的加密,不广播ssid,并且设置了接入密码,但是由于好多人已经知道了ssid名称和密钥,可以随意接入。很多事情搞的我很头疼。
  公司使用的是cisco的1300系列的ap,来提供无线网络服务,与cisco ap 相连的是一个华为的型号为3526c的三层交换机,呵呵,都是低端产品。
  第一个目的是,禁止未知的主机接入网络。
  在进行这一步的时候,我首先想到的是要在无线ap上进行mac地址和ap 接口的绑定,我的经验不是很丰富,我这么做的,但是没有生效,无线ap连接的交换机vlan id 是9,该vlan的ip地址是192.168.8.1,无线ap的bvi接口,也就是和交换机连接的那个接口ip地址是192.168.8.2,我刚开始是在ap的Dot11Radio0接口上做mac地址和接口的绑定,不知道是没有关闭mac地址学习功能还是因为什么,最终经过测试,主机仍然能够通过ap来进行无线上网。搞的俺很郁闷。
  迫不得已,只能在交换机上作了,累啊,公司目前有80台笔记本电脑,利用前几天同事统计回来的无线网卡的mac地址列表,俺要做绑定了。
  进入交换机全局配置模式
  使用命令
  mac-address static 0026-5eea-02a7 interface e0/4 vlan 9
  以上这条命令的意思是 将0026-5eea-02a7 对应属于vlan 9的e0/4口手工的添加cam列表中,static表示静态的,非交换机学习到的。
  利用这条命令,俺把所有的统计回来的mac地址复制粘贴,一一写入交换机。
  静态的mac地址列表已经写好了,如何不让未知的主机接入网络呢?
  在交换机全局配置模式下,
  Int e0/4     进入交换机e0/4口
  使用命令:
  mac-address  max-mac-count 0      配置交换机最大学习学习mac地址数量
  敲了这条命令,最大学习mac地址数量设置为0,将意味着交换机的e0/4口将不会再学习mac地址。将仅仅只转发目前的cam表中存在的mac地址的主机所发出的数据帧。通过手工添加cam表,限制最大学习mac地址数量,就能禁止未知主机来接入网络。虽然这个方法比较笨拙,但是行之有效。
目前公司ip地址管理也是灰常混乱的,原来米有进行规范的时候,员工们随意配置ip进行上网,为了限制这些,做了以下配置。
无线ip地址的规范
在3526c的三层交换机上作arp的绑定,使用命令
arp sta 192.168.8 0019-e08e-89b2 9 e0/4     将mac地址和ip地址进行绑定
  注意,这么做的结果并不是说这个mac地址改了ip以后不能上网,而是仅仅只有主机的mac是0019-e08e-89b2,才能使用192.168.8.8 这个ip地址,其他的主机如果配置192.168.8.8 的ip地址是不能上网的。
  目前公司的笔记本电脑有80台,我利用公司的金盾上网行为管理设备来允许192.168。8.3---192.168.8.83允许上网,这样每台笔记本只能配置自己的ip地址,由于已经在交换机上作了arp的绑定,即不能盗用他人的ip上网,而又由于其余的ip地址都没有放开,所以就能完全控制住这种“非法”的接入行为。
  台式机方面
  由于台式机数量太多,不能一一做arp的绑定,所以除了每个台式机分配一个可用的ip地址外,每个vlan的闲置ip全部利用行为管理设备封闭,然后利用内网安全管理系统,在主机的本机上,进行ip和mac的绑定,这样来防止乱改ip带来的管理混乱。
 
 
 
   本来是想利用交换机的acl的高级访问控制列表,傻傻的定义了好多acl的deny的rule来拒绝未知ip的主机接入交换机,最后发现3526c竟然不支持在接口模式下应有acl,郁闷,然后又傻傻的在全局模式下启用了,发现了恐怖的问题,由于配置的全部是permit 最后,配置的一条rule是deny any any,最后导致和该交换机相连的所有vlan都不能上网,幸亏是中午时间,偶拿起笔记本飞奔机房,用console线将该条acl禁用删除,才恢复正常,最后想起了使用mac地址学习功能和限制最大mac地址学习数量来解决问题。
  启示:要学会使用交换机的mac地址管理功能,活学活用。多学习,多思考,来弥补自己经验上的不足。