L005 Netgear交换机的安全功能配置.docx
《L005 Netgear交换机的安全功能配置.docx》由会员分享,可在线阅读,更多相关《L005 Netgear交换机的安全功能配置.docx(24页珍藏版)》请在冰豆网上搜索。
L005Netgear交换机的安全功能配置
NETGEAR交换机动手操作实验(五)
Netgear交换机的安全设置
2007年1月
目录
1.实验目的2
1.1实验条件2
2.实验内容3
2.1配置基于端口的MAC地址绑定3
2.1.1网络结构图3
2.1.2FS700TS系列智能交换机上端口和MAC地址绑定配置4
2.1.3GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置8
2.2配置IP和MAC地址绑定10
2.3配置基于端口的带宽控制11
2.3.1网络结构图11
2.3.2GSM7300/FSM7300系列交换机的带宽控制配置12
2.3.3FS700TS系列交换机的带宽控制配置13
2.4交换机的802.1x设置16
2.4.1NETGEAR7000系列交换机802.1x设置16
2.4.2FS700TS系列交换机的802.1x设置22
1.实验目的
现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。
目前,绝大多数用户对通过交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。
本文将针对NETGEAR的智能及网管型交换机,详细介绍各种关于网络安全设置的办法。
目前,业界普遍认为有效的网络安全设置有:
1.基于交换机端口和主机MAC地址的绑定。
2.基于主机IP和MAC地址的绑定
3.基于端口的交换机流量控制(RateLimiting)
4.基于802.1x的端口认证
美国网件公司出品智能交换机FS700TS系列,及网管型交换机FSM700系列,三层交换机FSM7300,GSM7300系列交换机均支持一系列的网络安全设置。
但不同系列的交换机所支持的功能和设置均有所区别,先文将作详细介绍。
1.1实验条件
实验所需的设备如下:
设备名称
数量
操作系统/固件版本
FS700TS系列交换机
1
1.0.1.23
GSM7300系列交换机
1
6.2.0.14
个人电脑
若干台
WIN98/2000/XP
2.实验内容
2.1配置基于端口的MAC地址绑定
2.1.1网络结构图
以下是我们要达到实验目的的网络示意图:
如图1,图2。
图1:
合法用户可以通过交换机连接到企业内部网络
图2:
非法用户的连接请求将会被交换机拒绝
如图所显,拥有合法的MAC地址的用户可以通过交换机连接到企业的内部网络,而没有合法MAC地址的用户将会被交换机拒绝。
经过这样的配置后,网络里面只有唯一合法主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
该功能主要用户防止非法用户使用网络,同时亦由于MAC地址的唯一性,网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。
美国网件公司出品智能交换机FS700TS系列,及网管型交换机FSM700系列,三层交换机FSM7300,GSM7300系列交换机均支持端口MAC地址绑定。
2.1.2FS700TS系列智能交换机上端口和MAC地址绑定配置
本文以FS728TS为例子,对其端口1进行IP及MAC地址绑定的设置:
1.首先通过管理地址192.168.0.239登录到FS728TS的管理界面,并点击左边工具栏的SwitchStatus菜单以确定交换机的固件版本。
如图3:
图3:
Switchstatus
2.点击菜单Switch-Security-Traffics-Portsecurity,如图4:
图4:
PortSecurity
3.点击Interface下的1/e1端口(代表端口一),将该端口设置于锁定状态,通过该设置后,该端口将不会再学习新的MAC地址。
如图5:
图5:
ModifyPortSecurity
●在Interface上选择1/e1。
●在Lockinterface旁的复选框上打钩,以锁定端口。
●在LearningMode模式下选择Classiclock使端口不再学习新的MAC地址。
●在ActiononViolation下拉对话框中,选择discard使非法的MAC地址不能接入网络。
4.点击System-Addresstable-staticaddress,以增加合法的MAC地址,只有在该列表里显示的MAC地址的主机才能接入网络。
如图6:
图6:
Staticaddress
5.点击Add,增加一个合法的MAC地址,如图7
图7:
AddStaticaddress
●在Interface上选择1/e1。
●在Macaddress上填入相应的MAC地址。
●在VLAN下还可以选择该MAC对应的VLAN
●在Status下选择Secure,使该静态列表和PortSecure里面的设置相关连。
6.最后,可以通过System-AddressTable-Dynamicaddress,查看MAC地址的学习情况。
如图8:
图8:
Dynamicaddress
2.1.3GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置
本章节将以FSM7352交换机为例子介绍其端口跟MAC绑定的配置办法
1.通过PortSecure设置实现端口和MAC地址绑定
登录进入交换机,输入管理口令进入配置模式,敲入命令:
(FSM7352S)#configure
//进入配置模式
(FSM7352S)(Config)#port-security
//打开端口安全模式
(FSM7352S)(Config)#interface1/0/45
//进入具体端口配置模式
(FSM7352S)(Interface1/0/45)#port-security
//配置端口安全模式
(FSM7352S)(Interface1/0/45)#port-securitymac-address00:
E0:
4C:
00:
0C:
2B1
//配置该端口要绑定的主机的MAC地址和所属VLAN
(FSM7352S)(Interface1/0/45)#port-securitymax-dynamic0
//配置该端口动态学习MAC地址数量为0,即不再学习动态MAC地址
(FSM7352S)(Interface1/0/45)#port-securitymax-static1
//配置该端口静态MAC地址数量为1,即不能再添加静态MAC地址
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以通过这个端口使用网络,并且该主机只能通过这个端口使用网络。
如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。
2.用MAC地址的扩展访问列表实现端口和MAC地址绑定
(FSM7352S)(Config)#macaccess-listextendedtestmac01
//定义一个MAC地址访问控制列表并且命名该列表名testmac01
(Config-mac-access-list)#permit00:
E0:
4C:
00:
0C:
2Bany
//定义MAC地址为00:
E0:
4C:
00:
0C:
2B的主机可以访问任意主机
(FSM7352S)(Config-mac-access-list)#permitany00:
E0:
4C:
00:
0C:
2B
//定义所有主机可以访问MAC地址为00:
E0:
4C:
00:
0C:
2B的主机
(FSM7352S)(Config)#interface1/0/45
//进入具体端口的配置模式
(FSM7352S)(Interface1/0/45)#macaccess-grouptestmac01in
//在该端口上应用名为testmac01的访问列表(即前面我们定义的访问策略)
此功能与1大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。
2.2配置IP和MAC地址绑定
IP和主机的MAC地址绑定,有利于网络管理员有效地分配IP地址,并根据IP地址对主机进行带宽或者访问管理,合理规划网络资源,更有效地控制网络安全和管理网络。
下文以FSM7352S为例子,在其端口45上设置IP和MAC地址绑定:
(FSM7352S)(Config)#macaccess-listextendedtestmac01
//定义一个MAC地址访问控制列表并且命名该列表名为testmac01
(Config-mac-access-list)#permit00:
E0:
4C:
00:
0C:
2Bany
//定义MAC地址为00:
E0:
4C:
00:
0C:
2B的主机可以访问任意主机
(FSM7352S)(Config-mac-access-list)#permitany00:
E0:
4C:
00:
0C:
2B
//定义所有主机可以访问MAC地址为00:
E0:
4C:
00:
0C:
2B的主机
(FSM7352S)(Config)#access-list1permit192.168.1.1230.0.0.0
(FSM7352S)(Config)#access-list1denyevery
//定义一个IP地址访问控制列表只允许192.168.1.123与网络通讯
(FSM7352S)(Config)#interface1/0/45
//进入具体端口的配置模式
(FSM7352S)(Interface1/0/45)#ipaccess-group1in1
(FSM7352S)(Interface1/0/45)#macaccess-grouptestmac01in2
//在该端口上应用IP访问列表1
配置成功以后,在1/0/45的端口上就只允许MAC地址为00:
E0:
4C:
00:
0C:
2B和IP地址为192.168.1.123的主机通讯。
要注意IPACL的SequenceNumber要小于MACACL,不然IP改变了仍然可以连入交换机。
注意:
以上功能适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,FSM7326P系列三层交换机4.0以上软件版本。
2.3配置基于端口的带宽控制
2.3.1网络结构图
以下是我们要达到实验目的的网络示意图:
如图9:
图9:
交换机控制用户的接入带宽
如图所示流量控制技术把流经端口的异常流量限制在一定的范围内。
能够实现风暴控制、端口保护和端口安全。
流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。
广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。
NETGERA的GSM7300/FSM7300系列交换机能对经过端口的各类流量进行各种速率限制,从而达管理用户使用带宽和保障网络安全的功能。
2.3.2GSM7300/FSM7300系列交换机的带宽控制配置
下文以GSM7324为例子,控制端口2上的任意IP的上传的带宽为15Kbps:
User:
admin
Password:
(GSM7324)>enablePassword:
(GSM7324)#config(GSM7324)(Config)#class-mapmatch-alltest//定义一个class-map名为test
(GSM7324)(Config-classmap)#matchany//定义CLASS的策略,由于本例子需要控制端口的所有应用,所以选择ANY,NETGEAR的7300系列交换机支持基于一下条件的策略控制
any任意
class-map定义好的class-map.coscos等级destination-address目标的MAC地址
dstip目标IP地址dstl4port目标第4层端口
ethertype以太网类型
ip(DSCP,Precedence,orTos等IP字段值
protocolIEEE协议
source-address源MAC地址
srcip源IP地址
srcl4port源第4层端口
vlanVLANID
(GSM7324)(Config-classmap)#exit
//退出CLASS设置
(GSM7324)(Config)#policy-maptestin
//定义一个名为test的policy-map
(GSM7324)(Config-policy-map)#classtest
//指定在policy-map里面绑定预先定义好的class策略
(GSM7324)(Config-policy-classmap)#police-simple151conform-actiontransmitviolate-actiondrop
//定义policy-classmap里允许通过的带宽为15K,当实际使用带宽超过15+1K的时候,交换机将会禁止数据包通过,当实际使用带宽小于15K时,交换机将允许其通过。
(GSM7324)(Config-policy-classmap)#exit
//退出policy-classmap配置模式
(GSM7324)(Config-policy-map)#exit
//退出policy-map配置模式
(GSM7324)(Config)#interface0/2
//进入需要控制的端口2
(GSM7324)(Interface0/2)#service-policyintest
//将定义好的policy-mapb绑定到该端口,方向为进入
(GSM7324)(Interface0/2)#exit
//退出端口设定界面
配置成功以后,在端口2上将只有15k的上行带宽。
注意:
以上功能适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,FSM7326P系列三层交换机4.0以上软件版本。
2.3.3FS700TS系列交换机的带宽控制配置
一、首先打开FS728TS交换机的管理界面,进入到Switch—QoS—General—Bandwidth中。
二、设置端口下载速度到2Mbps
1、点击1/e10进入端口速度限制界面
2、将“EgressShapingRateonSelectedPort”前的勾打上,并在“CommittedInformationRate(CIR) (Mbps)”填入2,说明是将端口10的出端口(即下载)的速度设为2Mbps。
点击“Apply”应用。
三、限制端口上传速度为5Mbps。
(此时已将交换机恢复初始设置)
注意:
在做上传的端口速率限制之前,必须把所限端口的风暴控制功能(StormControl)关闭,否则不能设置成功。
1、到Switch—Security—Traffic—Stormcontrol中
点击1/e10进入端口风暴控制页面。
2、将“EnableBroadcastControl”的勾去掉,点“Apply”应用。
3、回到Switch—QoS—General—Bandwidth中,点击1/e10进入端口速度限制界面
4、将“IngressRateLimitStatus”的下拉条选中“Enable”,并将“RateLimit (Mbps)”设为5,即将端口10的入端口(即上传)速度设为了5Mbps。
点击“Apply”应用。
2.4交换机的802.1x设置
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口访问LAN/MAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
连接结构图:
2.4.1NETGEAR7000系列交换机802.1x设置
第一步:
先选择一个保留的端口不做认证,因为只要开启802.1x功能,默认就会把所有端口变为认证才能通讯,所以建议要保留一个端口不需要802.1x认证。
下面例子选择第一端口为保留的。
在PortConfiig->ControlMode里默认是auto,表示端口需要802.1x认证,选forceauthorized就表示不需要认证。
在这页面的最底一行可选择基于“Port”还是基于“MAC”做认证。
基于“Port”认证是标准的,表示只要这个端口认证通过,下面连接的所有交换机都可以通过,即只要接上一个HUB,HUB里有一台机通过认证,其余所有PC都可以通过了。
而基于“MAC”做认证是非标准的,主要为了防止刚才的接HUB的情形,每个MAC都要认证一次,即使接上HUB也是无用的。
这是大多数用户喜欢用的方式。
第二步:
设置Radius认证服务器的IP地址,下面例子是“192.168.0.32”。
注意:
交换机的IP管理地址必须与Radius的IP地址路由可送(即可互相PING通),否则交换机无法与Radius通讯。
然后设置Radius认证服务器的相关端口(一般用默认就可以)和通讯密钥
第三步:
设置Radius计费服务器的IP地址,例如“192.168.0.32”。
如无计费需要,可省略这步。
下面页面先将计费模式打开。
设置计费服务器地址:
第四步:
新建一个认证方式,例如取名为“testdot1x”。
从System->Security->LoginAuthListConfig
为testdot1x的Method1选择设为“Radius”,按“Submit”
然后再在System->Security->PortAccessControl->Login选择应用“testdot1x”,如下图
第五步:
在交换机上开启802.1x认证。
默认所有端口均启用802.1x。
System->Security->PortAccessControl->Config->Enable
第六步:
设置一台Radius服务器,例如Steel-BeltedRadius,将IP地址设为192.168.0.32,与刚才设置的对应。
另外需注意的是,Radius一定要与交换机管理IP路由可达,即可从Radius上PING通交换机,不一定处于同一网段。
第七步:
在PC上安装802.1x客户端,插到未认证的端口,输入帐号密码即可进行认证。
2.4.2FS700TS系列交换机的802.1x设置
1、在FS752TS的设置页面中,进入System-ManagementSecurity-RADIUS中,设置主、备RADIUS服务器的地址、共享密钥等信息。
在HostIPAddress中填入Radius服务器地址,AuthenticationPort填入Radius身份认证的端口(默认为1812),在KeyString填入Radius共享密钥,并在UsageType选择802.1x,点Apply应用。
2、进到Switch-Security-PortAuthentication-Properties中,将PortBasedAuthenticationState选为Enable,AuthenticationMethod选择Radius。
点击Apply。
3、到Switch-Security-PortAuthentication-PortAuthentication中,选择要进行802.1x认证的端口。
4、假设选择端口1,将1/e1的AdminPortControl设为Auto(ForceAuthorized是表示不需要认证)。
点Apply。
5、本例中使用Windows自带的802.1x的客户端,需要将“本地连接”属性中“验证”的“EAP类型”改为“MD-5质询”。
当电脑连入需要认证的端口时,Windows会提示输入用户名和密码
6、如果用户名和密码正确,这个端口将被开放,从Radius服务器上可以看到信息。
这时在FS752TS的界面中也可以看到这个端口的信息。
此时该端口正常开放,电脑可以由此端口上网。
升级会员 