國(guó)家保密局網(wǎng)站>>宣傳教育>>兩識(shí)教育

接入交換機(jī)常用安全準(zhǔn)入配置

2018年12月27日    來源:中央和國(guó)家機(jī)關(guān)保密技術(shù)服務(wù)中心【字體: 打印

交換機(jī)作為最常用的網(wǎng)絡(luò)設(shè)備,具有簡(jiǎn)單、低價(jià)、高端口密度、高性能等優(yōu)點(diǎn),承擔(dān)著終端接入、流量匯聚和轉(zhuǎn)發(fā)、隔離控制等功能。但是,由于以太網(wǎng)交換機(jī)不對(duì)接入用戶進(jìn)行合法性驗(yàn)證,所以存在未經(jīng)授權(quán)的用戶接入交換機(jī)訪問網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

以太網(wǎng)是通過IP標(biāo)識(shí)終端并進(jìn)行通信的。終端配置IP一般有兩種方式,手工配置靜態(tài)IP地址和自動(dòng)獲取IP地址兩種方式。

一、終端配置靜態(tài)IP地址

終端通過手工配置IP地址接入網(wǎng)絡(luò)時(shí),我們可以通過在交換機(jī)配置IP Source Guard,對(duì)源IP、源MAC地址和接入VLAN任意綁定組合檢查的方式防止基于源地址欺騙的非法接入行為。組網(wǎng)如下圖所示:

基本配置如下:

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10 //全局綁定表項(xiàng)

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] ip source check user-bind enable //端口下使能IPSG

二、終端通過DHCP自動(dòng)獲取IP地址

自動(dòng)獲取IP地址的情況下,交換機(jī)設(shè)備無法區(qū)分合法和非法終端,可在DHCP服務(wù)器上對(duì)合法終端進(jìn)行DHCP靜態(tài)綁定,使非法終端無法獲取IP地址。終端自動(dòng)獲取IP地址組網(wǎng)如圖所示:

基本配置如下(DHCP服務(wù)器配置略):

[Switch] dhcp enable //使能dhcp服務(wù)

[Switch] dhcp snooping enable //全局使能dhcp-snooing功能

[Switch] vlan 10

[Switch-vlan10] dhcp snooping enable //vlan使能dhcp-snooping功能

[Switch-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //配置dhcp-snooping信任端口

[Switch-vlan10] ip source check user-bind enable //使能IPSG檢查

三、配合終端準(zhǔn)入系統(tǒng)實(shí)現(xiàn)用戶接入管理

接入交換機(jī)和終端數(shù)量較多時(shí),配置費(fèi)時(shí)費(fèi)力,而且配置錯(cuò)誤會(huì)導(dǎo)致合法終端無法接入網(wǎng)絡(luò)。所以中、大規(guī)模網(wǎng)絡(luò)準(zhǔn)入控制場(chǎng)景下,最好部署準(zhǔn)入控制系統(tǒng),可實(shí)現(xiàn)有線、無線、啞終端等設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制統(tǒng)一管理、終端自動(dòng)綁定和網(wǎng)絡(luò)權(quán)限控制等功能。

除做好網(wǎng)絡(luò)準(zhǔn)入控制外,對(duì)于交換機(jī)上不用的端口,應(yīng)及時(shí)關(guān)閉,切斷未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)的途徑。