注意:
1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2?VLAN2信息不会被VTP传递出去
Switch(config)#interface fa0/3 Switch(config-if)#dot1x default
回到默认设置
show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x all Dot1x Info for interface FastEthernet0/3 ---------------------------------------------------- Supplicant MAC 0040.4513.075b AuthSM State = AUTHENTICATED BendSM State = IDLE PortStatus = AUTHORIZED MaxReq = 2 HostMode = Single Port Control = Auto QuietPeriod = 60 Seconds Re-authentication = Enabled ReAuthPeriod = 120 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds Guest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}
2、端口安全,解决CAM表溢出***(有种MACOF的工具,每分钟可以产生155000个MAC地址,去轰击CAM表,从而使合法主机的要求都必须被FLOOD)
示例配置:
Switch#configure terminal Switch(config)#interface fastethernet0/0 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 20 这里默认是1 Switch(config-if)#switchport port-security mac-address sticky
保存学习到的地址到RUN CONFIG文件中,避免手动配置的麻烦,并省去动态学习所消耗的资源
switchport port-security violation {protect | restrict | shutdown}
三个参数解释:
保护:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,且不产生通知
限制:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,产生通知,如SNMP TRAP?SYSLOG信息,并增加违反记数;这里有个问题,恶意***会产生大量的类似信息,给网络带来不利.
关闭:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接关闭该端口,除非手动开启,或改变端口安全策略
端口安全需要全部手动配置,增加工作量,下面的两种方式
DHCP SNOOP
如网吧的管理员使用DHCP分配地址的时候执行IP和MAC地址的捆绑
Switch#configure terminal Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 34 Switch(config)#ip dhcp snooping information option Switch(config)#interface fa0/0 连接DHCP服务器的接口 Switch(config-if)#ip dhcp snooping limit rate 70 Switch(config-if)#ip dhcp snooping trust
指定该接口为信任接口,将获得DHCP服务器所分配的地址,其他接口所发生的DHCP行为将被否决DAI动态ARP审查,调用ACL和DHCP SNOOP的IP-TO-MAC数据库
Switch#configure terminal Switch(config)#ip arp inspection filter这里调用ACL
注意,只能调用ARP ACL,该ACL优先与IP-TO-MAC表被审查,也就是说,即使有绑定项存在,如果被ARP-ACL拒绝,也不能通过
Switch(config)#ip arp inspection vlan 34 Switch(config)#interface fa0/0 Switch(config-if)#ip arp inspection trust
连接到DHCP服务器的接口,调用该接口上的DHCP SNOOP的IP-TO-MAC表,默认连接到主机的接口都是不信任的接口
Switch(config-if)#ip arp inspection limit rate 20 burst interval 2
不信任接口限制为每秒14个ARP请求,信任接口默认不受限制,这里修改为每秒20
Switch(config-if)#exit Switch(config)#ip arp inspection log-buffer entries 64 记录拒绝信息64条
注意:DHCP SNOOP只提供IP-TO-MAC绑定表,本身不参与流量策略,只是防止DHCP欺骗,而对任何IP和MAC欺骗
是没有能力阻止的,但是它提供这样一张表给DAI调用,以防止MAC欺骗
ip arp-inspection 仅仅对违规的ARP包进行过滤,不对IP包和其他包起作用 ip source verify 会对绑定接口的IP或者IP+MAC进行限制
3、VACL
Configuring VACLs for Catalyst 6500 Traffic Capture Router(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80 Router(config)# vlan access-map my_map Router(config-access-map)# match ip address 110 Router(config-access-map)# action forward capture Router(config)# vlan filter my_map 10-12,15 Router(config)# interface fa 5/7 Router(config-if) switchport capture allowed vlan 10-12, 15
4、SPAN RSPAN
基于源端口和基于源VLAN的两种监控方式
RX TX BOTH 三种流量方向
VLAN MONITOR只能监控入站流,即RX,在该源VLAN中的物理端口都将成为源端口向目标端口COPY流.可以分配多个源端口或VLAN的RX流量到目的端口.不能监控多个端口的出站流,可以监控单个端口的出站流.最多只能配置两个监控会话.源端口和目标端口是分离的.可以将TRUNK端口配置成源端口,然后使用VLAN过滤想要被分析的流,但是此命令不影响正常的流量转发.过滤功能不能使用在基于源VLAN的情况下.