《中小企业网络运营与维护教程》5-2交换机的安全配置

中小型企业网络安全项目5.1

服务器和客户端的安全保障任务5.2交换机的安全配置任务5.3企业园区网络出口安全设置任务5.2交换机的安全配置任务教学重点对安全智能交换机进行设置以提高整个园区网络的安全性。教学难点IEEE802.1x标准、交换机安全特性。5.2.1

应用环境对企业园区来讲，关于园区网络内部的管理一直是一个非常复杂和令人头痛的问题。园区网络安全必须受到网络管理人员的重视。网络在不断发展，网络安全环境也随之变化，新的安全形势对局域网安全提出新的考验，网络管理人员也需要及时更新技术，采取适当的应对措施，以保障网络的稳定畅通。随着互联网以及网络安全状况的发展变化，除了防火墙，现在需要兼顾考虑通过对内部网络设备如交换机进行安全设置以提高整个园区网络的安全性。5.2.2

需求分析自冲击波病毒开始，病毒在局域网疯狂传播所造成的强大杀伤力开始让用户心惊胆战，一旦局域网某台计算机感染了病毒，就会造成大量的计算机掉线甚至整个网络陷入瘫痪，而此时传统的路由器和防火墙却显得毫无办法。要解决局域网的安全问题，交换机就不能再纯粹完成转发工作了事，还需要判断转发的数据包，封堵一些常见病毒所使用的端口，以及进行端口速率限制。现在需要对企业园区网络的智能安全交换机进行设置，以提高园区网络的安全性。5.2.3方案设计企业园区当初在规划建设园区内部网络的时候就全部使用了安全智能交换机，使用安全智能交换机能够识别各种恶意数据流量，可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件，切断病毒传播的路径，安全智能交换机具有以下特点：支持基于IP、Mac、应用的访问控制列表功能（ACL）支持常见病毒端口过滤功能支持基于端口、Ip、Mac、应用的速率限制支持基于端口、ip、mac、802.1p和应用的优先级控制（QoS）支持基于mac+ip+vlan+端口的绑定（ARP防御）支持ARP攻击和DDOS攻击事件记录日志5.2.4

相关知识：IEEE802.1x概述IEEE802.1x（Port-BasedNetworkAccessControl）是一个基于端口的网络存取控制标准，为LAN提供了一种对连接到局域网设备的用户进行认证的手段。IEEE802.1x标准定义了一种基于“客户端—服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。在客户端通过认证之前，只有EAPOL报文（ExtensibleAuthenticationProtocoloverLAN）可在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。5.2.4

相关知识：IEEE802.1x概述802.1x的Authentication，Authorization，andAccounting三种安全功能，简称AAA：Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限Accounting：计账，记录用户使用网络资源的情况，为收费提供依据5.2.5

相关知识：交换机的安全功能随着网络应用的普及不断深化，用户对于二层交换机的需求不仅仅局限于数据转发性能、服务质量（QoS）等方面，网络安全理念正日益成为局域网交换机选型的重要参考内容。以下是交换机安全设置功能遵循的6条规则：1．L2-L4层过滤2．802.1X基于端口的访问控制3．流量控制（trafficcontrol）4．SNMPv3及SSH安全网管5．Syslog和Watchdog6．双映像文件5.2.6实施过程以S3250系列交换机为例，交换机解决园区网络安全问题的一些技术和实际的配置方法如下。风暴控制配置缺省情况下，针对广播、多播和未知名单播的风暴控制功能均被关闭。打开GigabitEthernet0/1上的多播风暴控制功能，并设置允许的速率为4M：Ruijie#configureterminalRuijie(config)#interfaceGigabitEthernet0/1Ruijie(config-if)#storm-controlmulticast4096Ruijie(config-if)#end当用户按一定的百分比为一个端口限定带宽后，所有端口都必须按这个百分比带宽设置，否则设置失败。在接口配置模式下通过命令nostorm-controlbroadcast,nostorm-controlmulticast,nostorm-controlunicast

来关闭接口相应的风暴控制功能。5.2.6实施过程2.保护口配置把Gigabitethernet0/3设置为保护口：Ruijie#configureterminalRuijie(config)#interfacegigabitethernet0/3Ruijie(config-if)#switchportprotectedRuijie(config-if)#end通过命令noswitchportprotected接口配置命令将一个端口重新设置为非保护口。5.2.6实施过程3.配置安全端口及违例处理方式配置接口gigabitethernet0/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect：Ruijie#configureterminalRuijie(config)#interfacegigabitethernet0/3Ruijie(config-if)#switchportmodeaccessRuijie(config-if)#switchportport-securityRuijie(config-if)#switchportport-securitymaximum8Ruijie(config-if)#switchportport-securityviolationprotectRuijie(config-if)#end在接口配置模式下，可用noswitchportport-security来关闭一个接口的端口安全功能，用noswitchportport-securitymaximum来恢复最大安全地址数为为缺省值，用noswitchportport-securityviolation来将违例处理置为缺省模式。5.2.6实施过程4.配置安全端口上的安全地址为接口gigabitethernet0/3配置一个安全地址：00d0.f800.073c，并为其绑定一个IP地址：192.168.12.202：Ruijie#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#interfacegigabitethernet0/3Ruijie(config-if)#switchportmodeaccessRuijie(config-if)#switchportport-securityRuijie(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Ruijie(config-if)#end在接口配置模式下，可以使用命令noswitchportport-securitymac-addressmac-address来删除该接口的安全地址。5.2.6实施过程5.配置安全地址的老化时间配置接口gigabitethernet0/3上的端口安全的老化时间，老化时间设置为8分钟，老化时间同时应用于静态配置的安全地址：Ruijie#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#interfacegigabitthernet0/3Ruijie(config-if)#switchportport-securityagingtime8Ruijie(config-if)#switchportport-securityagingstaticRuijie(config-if)#end可以在接口配置模式下使用命令noswitchportport-securityagingtime来关闭一个接口的安全地址老化功能，使用命令noswitchportport-securityagingstatic来使老化时间仅应用于动态学习到的安全地址。5.2.6实施过程6.配置ARP报文检查在端口上添加合法用户mac地址00d0.f822.33ab，IP地址为192.168.2.5时，端口上的ARP报文检查会自动启用：Ruijie#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#interfacefastEthernet0/5Ruijie(config-if)#switchportport-securityRuijie(config-if)#switchportport-securitymac-address00d0.f822.33abip-address192.168.2.5ARP报文检查自动启用了，想关闭ARP报文检查：Ruijie(config-if)#noarp-check5.2.6实施过程7.802.1x配置（1）配置设备与RADIUSSERVER之间的通讯在实际应用环境中，RADIUSSERVER可以使用第三方RADIUS服务器软件WinRadius，推荐使用锐捷SAM系统作为RADIUS服务器，以支持更多的高级及扩展应用。RADIUSSERVER维护了所有用户的信息：用户名、密码、该用户的授权信息以及该用户的记帐信息。所有的用户集中于RadiusServer管理，而不必分散于每台设备，便于管理员对用户的集中管理。设备要能正常地与RADIUSSERVER通讯，必须进行如下设置：5.2.6实施过程7.802.1x配置（1）配置设备与RADIUSSERVER之间的通讯

RadiusServer端：要注册一个RadiusClient。注册时要告知RadiusServer设备的IP、认证的UDP端口（若记帐还要添记帐的UDP端口）、设备与RadiusServer通讯的约定密码，还要选上对该Client支持EAP扩展认证方式）。对于如何在RadiusServer上注册一个RadiusClient，不同软件的设置方式不同，请查阅相关的文档。5.2.6实施过程7.802.1x配置（1）配置设备与RADIUSSERVER之间的通讯

设备端：为了让设备能与Server进行通讯，要设置RadiusServer的IP地址，认证（记帐）的UDP端口，与服务器通讯的约定密码。设置serverip为192.168.4.12、认证Udp端口为600、以明文方式设置约定密码：Ruijie#configureterminalRuijie(config)#radius-serverhost192.168.4.12Ruijie(config)#radius-serverhost192.168.4.12auth-port600Ruijie(config)#radius-serverkeyMsdadShaAdasdj878dajL6g6gaRuijie(config)#end

使用noradius-serverhostip-addressauth-port将RadiusServer认证UDP端口恢复为缺省值。使用noradius-serverkey删除RadiusServer认证密码。5.2.6实施过程7.802.1x配置（2）设置802.1X认证的开关

当打开802.1x认证时,设备会主动要求受控端口上的主机进行认证,未通过认证的主机不允许访问网络。打开802.1x认证：Ruijie#configureterminalRuijie(config)#aaanew-modelRuijie(config)#radius-serverhost192.168.217.64Ruijie(config)#radius-serverkeystarnetRuijie(config)#aaaauthenticationdot1xauthengroupradiusRuijie(config)#dot1xauthenti