保密知识

当前位置: 首页 >> 保密工作 >> 保密知识 >> 正文

接入交换机常用安全准入配置

发布时间:2019年12月10日     访问次数:

       交换机作为最常用的网络设备,具有简单、低价、高端口密度、高性能等优点,承担着终端接入、流量汇聚和转发、隔离控制等功能。但是,由于以太网交换机不对接入用户进行合法性验证,所以存在未经授权的用户接入交换机访问网络的风险。

       以太网是通过IP标识终端并进行通信的。终端配置IP一般有两种方式,手工配置静态IP地址和自动获取IP地址两种方式。

       一、终端配置静态IP地址

       终端通过手工配置IP地址接入网络时,我们可以通过在交换机配置IP Source Guard,对源IP、源MAC地址和接入VLAN任意绑定组合检查的方式防止基于源地址欺骗的非法接入行为。组网如下图所示:

       基本配置如下:

       [Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10 //全局绑定表项

       [Switch] interface gigabitethernet 0/0/1

       [Switch-GigabitEthernet0/0/1] ip source check user-bind enable //端口下使能IPSG

       二、终端通过DHCP自动获取IP地址

       自动获取IP地址的情况下,交换机设备无法区分合法和非法终端,可在DHCP服务器上对合法终端进行DHCP静态绑定,使非法终端无法获取IP地址。终端自动获取IP地址组网如图所示:

       基本配置如下(DHCP服务器配置略):

       [Switch] dhcp enable //使能dhcp服务

       [Switch] dhcp snooping enable //全局使能dhcp-snooing功能

       [Switch] vlan 10

       [Switch-vlan10] dhcp snooping enable //vlan使能dhcp-snooping功能

       [Switch-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //配置dhcp-snooping信任端口

       [Switch-vlan10] ip source check user-bind enable //使能IPSG检查

       三、配合终端准入系统实现用户接入管理

       接入交换机和终端数量较多时,配置费时费力,而且配置错误会导致合法终端无法接入网络。所以中、大规模网络准入控制场景下,最好部署准入控制系统,可实现有线、无线、哑终端等设备的网络准入控制统一管理、终端自动绑定和网络权限控制等功能。

       除做好网络准入控制外,对于交换机上不用的端口,应及时关闭,切断未经授权的用户接入网络的途径。