實現端口安全的幾種機制

　　一、mac綁定

　　交換機安全特性可以讓我們配置交換機端口，使得當具有非法MAC地址的設備接入時，交換機會自動關閉接口或者拒絕非法設備接入，也可以限制某個端口上最大的MAC地址數

　　情景模擬(Cisco S3550)

　　在交換機上配置從f0/11接口上只允許MAC地址為00e0.fc01.0000的主機接入

　　S1(config)#int f0/11

　　S1(config-if)#shutdown

　　S1(config-if)#switch mode access//把端口改為訪問模式

　　S1(config-if)#switch port-security//打開交換機的端口安全功能

　　S1(confg-if)#switch port-security maximum 1//設置只允許該端口下的MAC條目最大數量為1，即只允許一個設備接入

　　S1(config-if)#switch port-security violation shutdown

　　“switch port-securityviolation{protect|shutdown|restrict}”//命令含義如下：

　　lprotect;當新的計算機接入時，如果該接口的MAC條目超過最大數量，則這個新的計算機將無法接入，而原有的計算機不受影響;

　　lshutdown;當新的計算機接入時，如果該接口的MAC條目超過最大數量，則該接口將會被關閉，則這個新的計算機和原有的計算機都無法接入，需要管理員使用”no shutdown”命令重新打開;

　　lrestrcit;當新的計算機接入時，如果該接口的MAC條目超過最大數量，則這個新的計算機可以接入，然而交換機將向發送警告信息。

　　S1(config-if)#switchport port-security mac-address 00e0.fc01.0000//設置接入該端口要匹配的MAC地址

　　二、ARP綁定

　　ARP(Address Resolution Protocol，地址解析協議)是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上後，這個節點會收到確認其物理地址的應答，這樣的數據包才能被傳送出去。RARP(逆向ARP)經常在無盤工作站上使用，以獲得它的邏輯IP地址。

　　使用ARP綁定可以有效的避免廣播，將ip地址與mac地址進行綁定，也可以防止本網段內的其他主機假冒本機的ip地址來進行非法的活動

　　例：

　　Quidway(config)# arp 129.102.0.1 00e0.fc01.0000 1 ethernet 0/1

　　配置局域網內IP 地址129.102.0.1對應的MAC地址為00e0.fc01.0000，經過VLAN1 經過以太網端口Ethernet0/1

　　情景模擬(華為交換機)

　　在交換機上配置只允許ip地址為192.168.1.200，mac地址為00e0.fc01.0000的主機進行日常的遠程維護

　　acl number 2000

　　rule 10 permit source 192.168.1.200 0.0.0.0

　　rule 20 deny source any

　　user-interface vty 0 4

　　acl 2000 inbound

　　此時已經設置只有ip地址為192.168.1.200的主機可以進行遠程訪問，此時要防止其他主機來盜用管理主機的ip地址來進行遠程訪問

　　arp static 192.168.1.200 00e0.fc01.0000

　　arp綁定之後，冒充管理主機ip地址的主機就無法進行遠程訪問了

　　三、vlan

　　可以實現交換機的各個端口之間兩兩互不通信，將每個端口放在不同的vlan中即可實現，可以用在寬帶接入中的每家每戶之間不能通信，但與上聯鏈路可以通信。

　　四、端口隔離

　　通過端口隔離特性，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔

　　離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供

　　了靈活的組網方案。

　　當聚合組中的某個端口加入到隔離組後，同一聚合組內的其它端口，均會自動加入

　　隔離組中。

　　可以在二層和三層交換機上實現端口隔離

　　在二層交換機上只能創建一個隔離組，處在同一個隔離組的端口兩兩之間不能通信

　　例：(華為二層交換機)

　　1. 組網需求

　　小區用戶PC2、PC3、PC4分別與交換機的以太網端口Ethernet1/0/2、

　　Ethernet1/0/3、Ethernet1/0/4相連

　　交換機通過Ethernet1/0/1端口與外部網絡相連

　　小區用戶PC2、PC3和PC4之間不能互通

　　2. 組網圖

　　3. 配置步驟

　　# 將以太網端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔離組。

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway] interface ethernet1/0/2

　　[Quidway-Ethernet1/0/2] port isolate

　　[Quidway-Ethernet1/0/2] quit

　　[Quidway] interface ethernet1/0/3

　　[Quidway-Ethernet1/0/3] port isolate

　　[Quidway-Ethernet1/0/3] quit

　　[Quidway] interface ethernet1/0/4

　　[Quidway-Ethernet1/0/4] port isolate

　　[Quidway-Ethernet1/0/4] quit

　　[Quidway]

　　# 顯示隔離組中的端口信息。

　　 display isolate port

　　Isolated port(s) on UNIT 1:

　　Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4

　　在三層交換機上可以創建多個隔離組，處在同一個隔離組的端口兩兩之間不能通信，但可以與其他隔離組中的端口通信

　　例：(華為 S3526)

　　1. 組網需求

　　小區用戶PC2、PC3、PC4分別與交換機的以太網端口Ethernet1/0/2、

　　Ethernet1/0/3、Ethernet1/0/4相連

　　交換機通過Ethernet1/0/1端口與外部網絡相連

　　小區用戶PC2和PC3之間不能互通，但都能與PC4互通

　　2. 組網圖

　　3. 配置步驟

　　# 將以太網端口Ethernet1/0/2、Ethernet1/0/3加入隔離組。

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway] am enable

　　[Quidway] interface ethernet1/0/2

　　[Quidway-Ethernet1/0/2] am isolate ethernet1/0/3

　　[Quidway-Ethernet1/0/2] quit

　　# 由於在ethernet1/0/2已經指明要隔離的端口是ethernet1/0/3，所以無需在端口ethernet1/0/3重復指明其隔離端口是ethernet1/0/2，ethernet1/0/3端口將會自動將端口ethernet1/0/2視為隔離端口

　　在三層交換機上不僅可以實現與二層交換機上相類似的端口隔離的功能還能實現端口與IP地址的綁定。端口和ip綁定，要求數據流量必須通過三層設備，如vlan間通信的時候就可以用到這項技術，但是如果數據流量沒有通過三層設備，如vlan內部的通信，端口和ip綁定是沒有意義的

　　例：(華為 S3526)

　　1. 組網需求

　　vlan20的網關為交換機的Ethernet1/0/2端口

　　vlan30的網關為交換機的Ethernet1/0/3端口

　　交換機通過Ethernet1/0/1端口與外部網絡相連

　　vlan20內的主機只允許IP地址為192.168.20.10的主機通過Ethernet1/0/2端口與外部通信

2. 組網圖

　　3. 配置步驟

　　# 修改端口類型

　　 system-view

　　System View: return to User View withCtrl+Z.

　　[Quidway]interface Ethernet 1/0/2

　　[Quidway-Ethernet1/0/2]port link-type access

　　[Quidway-Ethernet1/0/2]interface Ethernet 1/0/3

　　[Quidway-Ethernet3/0/3]port link-type access

　　[Quidway-Ethernet3/0/3]quit

　　# 創建svi端口

　　[Quidway]vlan 20

　　[Quidway-vlan20]port Ethernet 1/0/2

　　[Quidway-vlan20]vlan 30

　　[Quidway-vlan30]port Ethernet 1/0/3

　　[Quidway-vlan30]quit

　　[Quidway]interface Vlanif 20

　　[Quidway-Vlanif20]ip address 192.168.20.1 255.255.255.0

　　[Quidway-Vlanif20]interface Vlanif 30

　　[Quidway-Vlanif30]ip address 192.168.30.1255.255.255.0

　　[Quidway-Vlanif30]quit

　　# 設置允許通過的主機

　　[Quidway] am enable

　　[Quidway] interface ethernet1/0/2

　　[Quidway-Ethernet1/0/2] am ip-pool 192.168.20.10

　　[Quidway-Ethernet1/0/2] quit

　　# 此時vlan20中能通過其網關的就只有192.168.20.10這台主機了

　　五、ACL(二層、三層)

　　ACL(Access Control List，訪問控制列表)主要用來實現流識別功能。網絡設備為

　　了過濾數據包，需要配置一系列的匹配規則，以識別需要過濾的報文。在識別出特

　　定的報文之後，才能根據預先設定的策略允許或禁止相應的數據包通過。

　　ACL通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、

　　目的地址、端口號等。

　　由ACL定義的數據包匹配規則，可以被其它需要對流量進行區分的功能引用，如

　　QoS中流分類規則的定義。

　　根據應用目的，可將ACL分為下面幾種：

　　基本ACL：只根