概述

一:AM  访问控制管理 

二:MAC-ADDRESS 绑定

三:arp  绑定        

四:acl

五:AAA 认证和DOT1X

 

 

                                        一:AM

AM的简介

AM实现了一种更加灵活的基于端口的管理,可以有效的实现对端口的隔离和端口的ip地址的绑定。

案例一:AM的端口隔离

实现pc1和pc3之间不能够互相的通信

clip_image002

配置命令:

在全局模式下

Am enable 全局开启AM的功能

vlan 10 创建一个vl

port Ethernet 0/5 Ethernet 0/10 Ethernet 0/15 增加相应的接口

interface vlan-interface 10 配置一个3层的ip地址

ip add 192.168.10.254 255.255.255.0

在接口模式下

Interface Ethernet 0/5

Am isolate Ethernet 0/10

配置结果

[Quidway]dis cu

am enable

vlan 10

interface Vlan-interface10

ip address 192.168.10.254 255.255.255.0

interface Ethernet0/5

port access vlan 10

am isolate Ethernet0/10

#

interface Ethernet0/10

port access vlan 10

am isolate Ethernet0/5

interface Ethernet0/15

port access vlan 10

[Quidway]dis am Ethernet 0/5

Ethernet0/5

Status : enabled

IP Pools : (NULL)

Isolate Ports: Ethernet0/10

没有配置vl10中的am的端口隔离前 pc1和pc3之间可以互通

clip_image004

已经配置了vl10中am的端口隔离 pc1和pc3之间不可以通行

clip_image006

将pc3的主机接入到vl10的ethernet0/15的借口上,pc1和pc3之间仍然可以互相通信

clip_image004[1]

案例二:对端口的ip地址的绑定

clip_image008

实现对端口的ip地址的绑定

Am enable 全局开启AM的功能

Interface Ethernet 0/3

am ip-pool 192.168.10.100 1

说明:这样的话在interface Ethernet 0/3 接口上我们只能够实用192.168.10.100的地址才能够正常的与外网进行通信啦!!!

                             二Mac地址绑定

Mac地址绑定的说明:

由于大多数情况下,网络***的现象都来自与内网,因此说对内网进行mac地址的绑定有很强的必要性,这样的话我们就可以一定程度上减少来自于内网的***。

案例一:

通过对端口 interface Ethernet 0/5 进行静态的mac-address 绑定,并设置该端口的mac-address的最大的学习数量,我们就实现了对该端口的唯一的主机的绑定。

clip_image010

Cms-pc 的mac地址 :b870-f406-463d

[Quidway]mac-address static b870-f406-463d interface Ethernet 0/5 vlan 1

[Quidway]inter Ethernet 0/5

[Quidway-Ethernet0/5]mac-address max-mac-count 0 设置该接口学习mac地址的最大数量

[Quidway]dis mac-address 查看mac地址表

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME

b870-f406-463d 1 Config static Ethernet0/5 NOAGED

实用绑定的主机ping网关地址192.168.10.254

clip_image012

其他的pc 机是不会被允许使用该端口的

clip_image014

                                      三Arp绑定

Arp绑定的说明

我们在三层交换机上对端口进行arp的绑定,可以减少局域网内的arp***。

由于在局域网内发动arp***是很简单的事情,常见的arp***工具也很多。

比如:

clip_image016

很容易就会导致我们无法上网或者ip冲突。

案例一:

clip_image018

[Quidway]arp static 192.168.2.1 b870-f406-463d 这样的话中间人就无法进行arp的***,或者截获相应的数据包啦

[Quidway]dis arp static

IP Address MAC Address VLAN ID Port Name Aging Type

192.168.2.1 b870-f406-463d N/A N/A N/A Static

--- 2 entries found ---

              四Acl 规则

ACL的简介

随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。所以,我们有必要实施相应的acl规则来对网络内的流量进行控制。

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

常见的acl

acl number

INTEGER<2000-2999> Specify a basic acl  基本的acl 只根据报文的源IP 地址信息制定匹配规则

INTEGER<3000-3999> Specify an advanced acl  高级的acl根据报文的源IP 地址信息、目的IP 地址信息、IP 承载的协议类型、协议的特性等三、四层信息制定匹配规则

INTEGER<4000-4999> Specify a link acl 基于二层的acl(源mac和目的mac)根据报文的源MAC地址、目的MAC地址、802.1p优先级二层协议类型等二层信息制定匹配规则

INTEGER<5000-5999> Specify a user acl 专家的acl

案例一:基于时间的acl

[Quidway]time-range workday 08:00 to 18:00 working-day

[Quidway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 time-range workDay

上班的时候

clip_image020

下班的时候

clip_image022

案例二:高级的acl

通过配置acl的规则限制外网主机对内网服务器的访问。

clip_image024

1.SecPath防火墙的主要配置

#

sysnameQuidway

#

Firewall packet-filterenable

firewall packet-filterdefault permit

#

Acl number3000 // 定义NAT转换的ACL组

rule0 permit ip source192.168.1.0 0.0.0.255

acl number 3001 //定义高级ACL组

rule 0 permit ip source 202.38.2.0 0.0.0.255 允许外网中2.0网段的主机访问www服务器

rule 1 permit tcp destination 192.168.1.100 0 destination-port eq www

rule 2 deny ip

#

Interface Ethernet 0/0

Ip address 192.168.1.1 255.255.255.0

#

Interface Ethernet0/1

Ip address 202.38.1.1 255.255.255.0 外网的共有的地址

Firewall packet-filter 3001 inbound 在接口上应用相应的规则

Nat outbound 3000

Nat server protocol tcp global 202.38.1.100 any inside 192.168.1.100 any

Nat server protocol icmp global 202.38.1.100 inside 192.168.1.100

#

firewallzonetrust

add interface Ethernet0/0

setpriority85

#

firewallzoneuntrust

add interface Ethernet0/1

setpriority5

#

iproute-static0.0.0.00.0.0.0 202.38.1.2

#

配置关键点

aclnumber3001中rule2的目的地址为NATServer前的私网地址,而不

是公网地址。

      五AAA技术和dot1x

        AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简

称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实

际上是对网络安全的一种管理。工作模式:c/s的工作模式

案例一:

示意图:

clip_image025

一:AAA认证服务器的搭建:

1:windows server 2003的系统,首先从开始里面打开windows的控制面板,选择增加删除组件选项,然后选择网络服务选项,点详细信息,选中internet 选项

clip_image026

2:从开始里面选择管理工具,internet验证服务,新建客户端此处为192.168.100.32 ,共

享的密码为123456.

clip_image027

clip_image028

3:在远程访问策略选项中选择更该配置文件,并更改身份验证为pap 验证模式

clip_image029

clip_image030

4:增加配置验证的用户,并作相应的权限的调整

clip_image032

clip_image033

二:在交换机上配置radius客户端的相关指令

RADIUS客户端配置:

System-view

Sysname sw1

Radius scheme abc 配置radius的方案为abc

Primary authentication 192.168.100.100 radius 验证服务器的ip地址

Key authentication 123456 配置共享链路的密码

Server-type standard 服务类型为标准的类型

Accounting optional 配置计费为可选项

User-name-format without-domain  用户在登陆的时候不需要加域名,此处的域名可以理解为一个vl

Quit

Domain zzu 定义一个zzu 的域

Radius scheme abc 在该域下应用方案abc

Access-list enable 10 定义该域下的最大连接数

Quit

Dot1x 启用radius验证

Dot1x authentication-method pap 配置radius的验证方式为pap 方式

Inter e0/7

Dot1x 在接口上启用radius验证

三:测试

clip_image034

1.连接

clip_image035

案例二:

AAA验证和ciscorescue v4.2 验证服务器的搭建(telnet方式和级别的设置)

image

 

 

 

     请点击该链接

欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)