L005Netgear交换机的安全功能配置.doc

【精品文档】如有侵权，请联系网站删除，仅供学习与交流L005Netgear交换机的安全功能配置.精品文档.NETGEAR交换机动手操作实验（五）Netgear交换机的安全设置2007年1月目 录1.实验目的21.1实验条件22.实验内容32.1 配置基于端口的MAC地址绑定32.1.1 网络结构图32.1.2 FS700TS系列智能交换机上端口和MAC地址绑定配置42.1.3 GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置82.2 配置IP和MAC地址绑定102.3 配置基于端口的带宽控制112.3.1 网络结构图112.3.2 GSM7300/FSM7300系列交换机的带宽控制配置122.3.3 FS700TS系列交换机的带宽控制配置132.4 交换机的802.1x设置162.4.1 NETGEAR 7000系列交换机802.1x设置162.4.2 FS700TS系列交换机的802.1x设置221. 实验目的现在，业界普遍认为安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。目前，绝大多数用户对通过交换机解决安全问题抱积极态度，近75%的用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。本文将针对NETGEAR的智能及网管型交换机，详细介绍各种关于网络安全设置的办法。目前，业界普遍认为有效的网络安全设置有：1 基于交换机端口和主机MAC地址的绑定。2 基于主机IP和MAC地址的绑定3 基于端口的交换机流量控制 (Rate Limiting)4 基于802.1x的端口认证美国网件公司出品智能交换机FS700TS系列，及网管型交换机FSM700系列，三层交换机FSM7300，GSM7300系列交换机均支持一系列的网络安全设置。但不同系列的交换机所支持的功能和设置均有所区别，先文将作详细介绍。1.1实验条件实验所需的设备如下：设备名称数量操作系统/固件版本FS700TS系列交换机11.0.1.23GSM7300系列交换机16.2.0.14个人电脑若干台WIN98/2000/XP2. 实验内容2.1 配置基于端口的MAC地址绑定2.1.1 网络结构图以下是我们要达到实验目的的网络示意图：如图1, 图2。图1:合法用户可以通过交换机连接到企业内部网络 图2:非法用户的连接请求将会被交换机拒绝 如图所显，拥有合法的MAC地址的用户可以通过交换机连接到企业的内部网络，而没有合法MAC地址的用户将会被交换机拒绝。经过这样的配置后，网络里面只有唯一合法主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。该功能主要用户防止非法用户使用网络，同时亦由于MAC地址的唯一性，网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。美国网件公司出品智能交换机FS700TS系列，及网管型交换机FSM700系列，三层交换机FSM7300，GSM7300系列交换机均支持端口MAC地址绑定。2.1.2 FS700TS系列智能交换机上端口和MAC地址绑定配置本文以FS728TS为例子，对其端口1进行IP及MAC地址绑定的设置：1. 首先通过管理地址192.168.0.239登录到FS728TS的管理界面,并点击左边工具栏的Switch Status菜单以确定交换机的固件版本。如图3：图3:Switch status2点击菜单Switch-Security-Traffics-Port security，如图4：图4:Port Security 3点击Interface下的1/e1端口（代表端口一），将该端口设置于锁定状态，通过该设置后，该端口将不会再学习新的MAC地址。如图5：图5:Modify Port Security l 在Interface 上选择1/e1。l 在Lock interface旁的复选框上打钩，以锁定端口。l 在Learning Mode 模式下选择Classic lock使端口不再学习新的MAC地址。l 在Action on Violation下拉对话框中，选择 discard 使非法的MAC地址不能接入网络。4点击System-Address table-static address,以增加合法的MAC地址，只有在该列表里显示的MAC地址的主机才能接入网络。如图6：图6:Static address5点击Add,增加一个合法的MAC地址，如图7图7:Add Static addressl 在Interface 上选择1/e1。l 在Mac address上填入相应的MAC地址。l 在VLAN 下还可以选择该MAC对应的VLANl 在Status下选择Secure,使该静态列表和Port Secure里面的设置相关连。6最后，可以通过System-Address Table-Dynamic address，查看MAC地址的学习情况。如图8：图8:Dynamic address2.1.3 GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置本章节将以FSM7352交换机为例子介绍其端口跟MAC绑定的配置办法1. 通过Port Secure设置实现端口和MAC地址绑定登录进入交换机，输入管理口令进入配置模式，敲入命令： (FSM7352S) #configure/进入配置模式(FSM7352S) (Config)#port-security/打开端口安全模式(FSM7352S) (Config)#interface 1/0/45/进入具体端口配置模式(FSM7352S) (Interface 1/0/45)#port-security/配置端口安全模式(FSM7352S) (Interface 1/0/45)#port-security mac-address 00:E0:4C:00:0C:2B 1/配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S) (Interface 1/0/45)#port-security max-dynamic 0/配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S) (Interface 1/0/45)#port-security max-static 1/配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。 注意：以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324, GSM7312, GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。2用MAC地址的扩展访问列表实现端口和MAC地址绑定(FSM7352S) (Config)#mac access-list extended testmac01/定义一个MAC地址访问控制列表并且命名该列表名testmac01     (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any/定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B /定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S) (Config)#interface 1/0/45/进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in/在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）  此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。注意：以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312, GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。2.2 配置IP和MAC地址绑定IP和主机的MAC地址绑定，有利于网络管理员有效地分配IP地址，并根据IP地址对主机进行带宽或者访问管理，合理规划网络资源，更有效地控制网络安全和管理网络。下文以FSM7352S为例子，在其端口45上设置IP和MAC地址绑定： (FSM7352S) (Config)#mac access-list extended testmac01/定义一个MAC地址访问控制列表并且命名该列表名为testmac01    (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any/定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机 (FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B/定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机 (FSM7352S) (Config)#access-list 1 permit 192.168.1.123 0.0.0.0(FSM7352S) (Config)#access-list 1 deny every/定义一个IP地址访问控制列表只允许192.168.1.123与网络通讯(FSM7352S) (Config)#interface 1/0/45/进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#ip access-group 1 in 1(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in 2/在该端口上应用IP访问列表1配置成功以后，在1/0/45的端口上就只允许MAC地址为00:E0:4C:00:0C:2B和IP地址为192.168.1.123的主机通讯。要注意IP ACL的Sequence Number要小于MAC ACL，不然IP改变了仍然可以连入交换机。注意： 以上功能适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312, FSM7326P系列三层交换机4.0以上软件版本。2.3 配置基于端口的带宽控制2.3.1 网络结构图以下是我们要达到实验目的的网络示意图：如图9：图9:交换机控制用户的接入带宽如图所示流量控制技术把流经端口的异常流量限制在一定的范围内。能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。NETGERA的GSM7300/FSM7300系列交换机能对经过端口的各类流量进行各种速率限制，从而达管理用户使用带宽和保障网络安全的功能。2.3.2 GSM7300/FSM7300系列交换机的带宽控制配置下文以GSM7324为例子，控制端口2上的任意IP的上传的带宽为15Kbps：User:adminPassword:(GSM7324) >enablePassword:(GSM7324) #config(GSM7324) (Config)#class-map match-all test/定义一个class-map 名为test (GSM7324) (Config-classmap)#match any/定义CLASS的策略，由于本例子需要控制端口的所有应用，所以选择ANY，NETGEAR的7300系列交换机支持基于一下条件的策略控制any 任意class-map 定义好的class-map.cos cos等级destination-address 目标的MAC地址dstip 目标IP地址dstl4port 目标第4层端口ethertype 以太网类型ip (DSCP, Precedence, or Tos等IP字段值protocol IEEE 协议source-address 源MAC地址srcip 源IP地址srcl4port 源第4层端口vlan VLAN ID(GSM7324) (Config-classmap)#exit/退出CLASS设置(GSM7324) (Config)#policy-map test in/定义一个名为test的policy-map (GSM7324) (Config-policy-map)#class test/指定在policy-map 里面绑定预先定义好的class策略(GSM7324) (Config-policy-classmap)#police-simple 15 1 conform-action transmit violate-action drop/定义policy-classmap里允许通过的带宽为15K，当实际使用带宽超过15+1K的时候，交换机将会禁止数据包通过，当实际使用带宽小于15K时，交换机将允许其通过。(GSM7324) (Config-policy-classmap)#exit/退出policy-classmap配置模式(GSM7324) (Config-policy-map)#exit/退出policy-map配置模式(GSM7324) (Config)#interface 0/2 /进入需要控制的端口2(GSM7324) (Interface 0/2)#service-policy in test/将定义好的policy-mapb绑定到该端口，方向为进入(GSM7324) (Interface 0/2)#exit/退出端口设定界面配置成功以后，在端口2上将只有 15k的上行带宽。注意： 以上功能适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312, FSM7326P系列三层交换机4.0以上软件版本。2.3.3 FS700TS系列交换机的带宽控制配置一、 首先打开FS728TS交换机的管理界面，进入到SwitchQoSGeneralBandwidth中。二、 设置端口下载速度到2Mbps1、 点击1/e10进入端口速度限制界面2、将“Egress Shaping Rate on Selected Port”前的勾打上，并在“Committed Information Rate (CIR) (Mbps)”填入2，说明是将端口10的出端口（即下载）的速度设为2Mbps。点击“Apply”应用。三、限制端口上传速度为5Mbps。（此时已将交换机恢复初始设置）注意：在做上传的端口速率限制之前，必须把所限端口的风暴控制功能（Storm Control）关闭，否则不能设置成功。1、到SwitchSecurityTrafficStorm control中点击1/e10进入端口风暴控制页面。2、 将“Enable Broadcast Control”的勾去掉，点“Apply”应用。3、 回到SwitchQoSGeneralBandwidth中，点击1/e10进入端口速度限制界面4、 将“Ingress Rate Limit Status”的下拉条选中“Enable”，并将“Rate Limit (Mbps)”设为5，即将端口10的入端口（即上传）速度设为了5Mbps。点击“Apply”应用。2.4 交换机的802.1x设置802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 连接结构图：2.4.1 NETGEAR 7000系列交换机802.1x设置第一步：先选择一个保留的端口不做认证，因为只要开启802.1x功能，默认就会把所有端口变为认证才能通讯，所以建议要保留一个端口不需要802.1x认证。下面例子选择第一端口为保留的。在Port Confiig -> Control Mode里默认是auto，表示端口需要802.1x认证，选force authorized就表示不需要认证。在这页面的最底一行可选择基于“Port”还是基于“MAC”做认证。基于“Port”认证是标准的，表示只要这个端口认证通过，下面连接的所有交换机都可以通过，即只要接上一个HUB，HUB里有一台机通过认证，其余所有PC都可以通过了。而基于“MAC”做认证是非标准的，主要为了防止刚才的接HUB的情形，每个MAC都要认证一次，即使接上HUB也是无用的。这是大多数用户喜欢用的方式。第二步：设置Radius认证服务器的IP地址，下面例子是“192.168.0.32”。注意：交换机的IP管理地址必须与Radius的IP地址路由可送（即可互相PING通），否则交换机无法与Radius通讯。然后设置Radius认证服务器的相关端口（一般用默认就可以）和通讯密钥第三步：设置Radius计费服务器的IP地址，例如“192.168.0.32”。如无计费需要，可省略这步。下面页面先将计费模式打开。设置计费服务器地址：第四步：新建一个认证方式，例如取名为“testdot1x”。从System->Security->Login Auth List Config为testdot1x的Method1选择设为“Radius”，按“Submit”然后再在System->Security->Port Access Control->Login选择应用“testdot1x”，如下图第五步：在交换机上开启802.1x认证。默认所有端口均启用802.1x。System->Security->Port Access Control->Config-> Enable第六步：设置一台Radius服务器，例如Steel-Belted Radius，将IP地址设为192.168.0.32，与刚才设置的对应。另外需注意的是，Radius一定要与交换机管理IP路由可达，即可从Radius上PING通交换机，不一定处于同一网段。第七步：在PC上安装802.1x客户端，插到未认证的端口，输入帐号密码即可进行认证。2.4.2 FS700TS系列交换机的802.1x设置1、在FS752TS的设置页面中，进入SystemManagement SecurityRADIUS中，设置主、备RADIUS服务器的地址、共享密钥等信息。在Host IP Address中填入Radius服务器地址，Authentication Port填入Radius身份认证的端口（默认为1812），在Key String填入Radius共享密钥，并在Usage Type选择802.1x，点Apply应用。2、进到SwitchSecurityPort AuthenticationProperties中，将Port Based Authentication State选为Enable，Authentication Method选择Radius。点击Apply。3、到SwitchSecurityPort AuthenticationPort Authentication中，选择要进行802.1x认证的端口。4、假设选择端口1，将1/e1的Admin Port Control设为Auto（Force Authorized是表示不需要认证）。点Apply。5、本例中使用Windows自带的802.1x的客户端，需要将“本地连接”属性中“验证”的“EAP类型”改为“MD-5质询”。当电脑连入需要认证的端口时，Windows会提示输入用户名和密码6、如果用户名和密码正确，这个端口将被开放，从Radius服务器上可以看到信息。这时在FS752TS的界面中也可以看到这个端口的信息。此时该端口正常开放，电脑可以由此端口上网。