交换机的安全:访问安全、端口安全、DHCP欺骗、DAI与IPSG、AAA、dot1x、SPAN、ACL

实验一:交换机的访问安全

(1)拓扑图

实验二:交换机端口安全

(1)拓扑图

实验三:DHCP欺骗

(1)拓扑图

实验四:DAI与IPSG(由于DAI和IP与IP DHCP snooping的紧密关系,本实验是在实验三的基础上配置DAI和IPSG)

(1)拓扑图:

实验五:AAA(认证、授权、审计)

(1)拓扑图

650) this.width=650;” src=”http://www.fwqtg.net/wp-content/uploads/2015/06/wKiom1U498aBvwGEAAH0IBRMDrs679.jpg” title=”AAA1.JPG” alt=”交换机的安全:访问安全、端口安全、DHCP欺骗、DAI与IPSG、AAA、dot1x、SPAN、ACL” />

(3)在交换机s1上的配置

s1(config)#int vlan 1

s1(config-if)#ip add 192.168.1.3 255.255.255.0

s1(config-if)#no shu

s1(config)#aaa new-model (启用AAA认证功能)

s1(config)#tacacs-server  host 192.168.1.2(指明AAA服务器的IP地址)

s1(config)#tacacs-server key 123456(指明在和AAA服务器进行验证时的密码要和cisco acs 4.0上配置的密码相同)

s1(config)#aaa authentication login test_login group tacacs+ (创建一个认证列表,该列表使用tacacs+进行认证)

s1(config)#line vty 0 15

s1(config-line)#login authentication test_login(配置使用之前创建的认证列表对telnet或者ssh用户进行认证)

s1(config)#aaa authentication enable default enable 

s1(config)#enable secret xu(用户telnet到交换机后,还需要执行enable命令才能配置交换机,需要enable密码。)

(4)配置授权

在cisco acs 4.0配置基于用户组的相应权限

在交换机上配置如下

s1(config)#aaa authentication exec TEST group tacacs+(配置exec模式的授权列表)

s1(config)#aaa authentication config-commands(要求配置模式下的命令也需要授权)

s1(config)#aaa authentication configuration TEST group tacacs+(配置config模式的授权列表)

s1(config)#aaa authentication commands 15 TEST group tacacs+(配置命令等级为15的命令授权列表)

s1(config)#line vty 0 15

s1(config-line)#authentication exec TEST 

s1(config-line)#authentication commands 15 TEST(要求等级为15的命令要授权)

(5)配置审计

s1(config)#aaa accounting exec ACC start-stop group tacacs+

s1(config)#aaa accounting commands 0 ACC start-stop group tacacs+

s1(config)#aaa accounting commands 1 ACC start-stop group tacacs+

s1(config)#aaa accounting commands 15 ACC start-stop group tacacs+(配置用户进入exec模式,命令等级为0、1、15的审计列表)

s1(config)#line vty 0 15

s1(config-line)#accounting exec ACC

s1(config-line)#accounting commands 0 ACC

s1(config-line)#accounting commands 1 ACC

s1(config-line)#accounting commands 15 ACC(配置telnet用户进入exec模式,执行等级为0、1、15命令都要审计)

测试后可以在cisco acs 4.0上查看用户登录和注销的时间以及用户所执行的命令等

实验六:dot1x(防止接入者把计算机的MAC地址改为合法的MAC地址接入交换机,dot1x利用AAA服务,只有合法的用户才能接入到交换机)

(1)拓扑图

650) this.width=650;” src=”http://www.fwqtg.net/wp-content/uploads/2015/06/wKioL1U5AvjCWUXUAAIxHREoEAk674.jpg” title=”dot1x.JPG” alt=”交换机的安全:访问安全、端口安全、DHCP欺骗、DAI与IPSG、AAA、dot1x、SPAN、ACL” />

(3)在交换机s2上的配置

s2(config)#int vlan 1

s2(config-if)#ip add 192.168.1.5 255.255.255.0

s2(config-if)#no shu

s2(config)#radius-server host 192.168.1.2(指明AAA服务器的IP地址)

s2(config)#radius-server key 123456(指明在和AAA服务器进行验证时的密码要和cisco acs 4.0上配置的密码相同)

s2(config)#aaa authentication dot1x default group radius(配置dot1x使用RADIUS服务器)

s2(config)#aaa authentication network default group radius(定义dot1x授权策略)

s2(config)#dot1x system-auth-control(全局开启dot1x控制)

s2(config)#radius-server vsa send authentication(配置交换机发送厂商特别属性到AAA服务器,目的是要获得用户的vlan信息)

s2#test aaa group radius zq  zq legacy(测试AAA服务是否正常)

s2(config)#interface fa0/1

s2(config-if)#switchport mode access 

s2(config-if)#dot1x port-control {auto|force-authorized|force-unauthorized}(auto:认证通过后接口状态就变为force-authorized,不通过就为force-unauthorized。force-authorized:强制接口状态为认证通过,这样用户就不需要认证了。force-unauthorized强制接口状态为不通过,这样用户就不能使用接口了)

s2(config-if)#dot1x reauthentication(认证失败,重新认证)

(4)测试

s2#show dot1x all

实验七:SPAN(交换机端口分析)

(1)拓扑图

实验八:RACL、VACL和MAC ACL

(1)拓扑图:


发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注