am
访问控制
访问管理功能是指:在接入层以太网交换机的端口上,通过配置端口的访问管理IP 地址池,将指定范围的IP 地址与端口进行绑定。
端口隔离
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
端口隔离特性与以太网端口所属的VLAN 无关
端口隔离与端口聚合的关系
当聚合组中的某个端口加入到隔离组后,同一聚合组内的其它端口,均会自动加入
隔离组中。
案例
pc1 pc2 分别 与交换机 e 1/0/1 e 1/0/2 相连 e 1/0/10 与外网相连
配置步骤
int e 1/0/1
port isolate
q
int e 1/0/2
port isolate
q
arp 绑定
ARP 即地址解析协议
网络设备进行网络寻址时只能识别数据链路层的MAC地址,不能直接识别来自网
络层的IP 地址。如果要将网络层中传送的数据报交给目的主机,必须知道该主机的
MAC地址。因此网络设备在发送报文之前必须将目的主机的IP 地址解析为它可以
识别的MAC地址。
主要用于从IP 地址到以太网MAC 地址的解析。
如将ARP 映射表绑定,就可以防止一般的ARP欺骗***。防止ARP病毒***的最有效手段:双向静态ARP绑定
注意:
静态ARP映射项在以太网交换机正常工作时间一直有效,但如果更改或者删除
VLAN 虚接口,或者执行删除VLAN 或把端口从VLAN 中删除等使ARP表项不
再合法的操作,则ARP表项都将被自动删除。
参数vlan-id 必须是已经存在的VLAN ID ,且 vlan-id 参数后面指定的以太网端口
必须属于这个VLAN。
目前,不支持在聚合端口上配置静态ARP映射项。
注意:
静态ARP映射项在以太网交换机正常工作时间一直有效,但如果更改或者删除
VLAN 虚接口,或者执行删除VLAN 或把端口从VLAN 中删除等使ARP表项不
再合法的操作,则ARP表项都将被自动删除。
参数vlan-id 必须是已经存在的VLAN ID ,且 vlan-id 参数后面指定的以太网端口
必须属于这个VLAN。
目前,不支持在聚合端口上配置静态ARP映射项。
案例
设 交换机动态ARP老化时间为20分钟 设一静态ARP ip地址为192.168.2.33 对应
mac为 00e0-fc00-ff40 对应端口为属于vlan10的 e 1/0/12
arp timer aging 20
arp static 192.168.2.33 1111-2222-1111
mac 绑定
通过交换机 对用户 的mac进行绑定 实现 控制 别人冒充ip进行上网
案例
在端口e 1/0/10 上进行mac认证
sys
vlan 10
port e 1/0/10
q
int e 1/0/10
mac-address static 1111-1111-1111 vlan 10
802.1q
802.1x 协议是一种基于端口的网络接入控制
基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所
接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访
问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连
接被物理断开。
802.1x 提供了一个用户身份认证的实现方案,为了实现此方案,除了配置802.1x
相关命令外,还需要在交换机上配置AAA方案
案例
本地802.1q 接入用户名为user1密码为123456使用明文输入
闲置切断功能处于打开状态。
开启全局802.1x 特性
sys
dot1x
dot1x int e 1/0/1
dot1x port-method macbased int e 1/0/1
radius scheme radius1
primary auth 192.168.2.100
primary accoun 192.168.2.101
scondary auth 192.168.2.101
scondary account 192.168.2.100
key auth name
key account money
timer 5
retry 5
timer realtime-acc 15
user-name-format without-domain
q
domain default enable abc.net
scheme radius-scheme radius loacal
access-limit enable 30
idle-cut enable 20 2000
q
domain default enable abc.net
local-user user1
service-type lan-access
password simple localpass
转载于:https://blog.51cto.com/xingshobo1989/823370