【原創(chuàng)】銳捷交換機安全配置總結

ylzrx 2012-02-03

展開全文

【原創(chuàng)】銳捷交換機安全配置總結

2010年07月25日星期日 14:52

1、（config)#mac-address-table static 0026.9e61.0011 vlan 1 interface GigabitEthernet 0/1
可設置MAC,、VLAN與端口的綁定,；設置靜態(tài)mac地址項，避免廣播請求該端口所接設備的MAC地址,，實現(xiàn)安全；與報文過濾無關,；

2,、(config-if)#switchport port-security binding 0026.9e61.0012 vlan 1 192.168.1.5
或（config)#switchport port-security interface g0/3 mac-address 0026.9e61.0012 vlan 1 192.168.1.5 //實現(xiàn)IP、MAC,、VLAN與端口的綁定,；
注意通過switchport port-security開啟檢測功能，如果存在對應IP或對應MAC但是不符合IP+MAC對應關系則不允許轉發(fā),；如果不存在對應IP或對應MAC則看該端口最大安全MAC數有沒有超過最大范圍（默認128）,，如未超過則添加對應關系，并允許轉發(fā),，如超過最大范圍則不轉發(fā),；

3、(config)#address-bind 192.168.1.6 0026.9e61.0013 //可實現(xiàn)IP與MAC的綁定（注意需要address-bind install來開啟功能，實現(xiàn)只有IP和MAC對應正確的報文才允許轉發(fā)）
此處綁定優(yōu)先于第2類綁定生效,；

4,、(config)#ip dhcp snooping //通過對DHCP報文窺探，篩選合法的DHCP報文,，屏蔽非法的DHCP報文,；并將合法的用戶信息（IP、MAC,、VLAN,、端口、租約時間）形成dhcp snooping數據庫,；

5,、(config-if)#ip verify source                               //只驗證IP，只有IP符合的報文才允許轉發(fā)
或 (config-if)#ip verify source port-security        //驗證IP+MAC,，只有IP+MAC都符合的報文才允許轉發(fā)由于ARP報文沒有IP頭部,，所以ip verify source無法過濾ARP報文，只能過濾IP報文,。
     (config)#ip source binding 0026.9e61.0015 vlan 1 192.168.1.10 interface GigabitEthernet 0/1 //靜態(tài)綁定IP,、MAC、VLAN與端口,，并存入ip verify source安全數據庫,。實現(xiàn)靜態(tài)IP用戶也可訪問網絡（不設置時靜態(tài)IP用戶因為沒有經過DHCP請求過程，安全地址庫內沒有對應地址項,，所以無法訪問網絡）,。
ip verify source靜態(tài)綁定也需要開啟ip dhcp snooping才能生效，否則狀態(tài)為
Interface            Filter-type Filter-mode Ip-address      Mac-address    VLAN
-------------------- ----------- ----------- --------------- -------------- --------
GigabitEthernet 0/1 ip+mac      inactive-no-snooping-vlan

開啟ip dhcp snooping后狀態(tài)為
Interface            Filter-type Filter-mode Ip-address      Mac-address    VLAN
-------------------- ----------- ----------- --------------- -------------- --------
GigabitEthernet 0/1 ip+mac      active      192.168.1.6     0026.9e61.9a15 1
GigabitEthernet 0/1 ip+mac      active      deny-all        deny-all

此處綁定與第3類綁定同時生效,，數據包需滿足兩者條件才能轉發(fā),。利用的是dhcp snooping數據庫里IP+MAC對應關系。

7,、arp 192.168.1.20 0026.9e61.9a16 arpa     //設置靜態(tài)ARP綁定

8,、(config-if)#arp-check auto //有安全地址時過濾IP+MAC不在安全數據庫里的ARP報文，沒有安全地址時則不過濾,；
或 (config-if)#arp-check //強制開啟過濾,，無論是否有安全地址均過濾IP+MAC不在安全數據庫里的ARP報文；
利用dhcp snooping數據庫里的IP,、MAC和端口對應關系,。

總結：ip verify source的靜態(tài)綁定與address-bind同時生效并優(yōu)先于switchport port-security靜態(tài)綁定。