Cisco 3550路由器設置交換機MAC地址的訪問控制
本文主要給大家詳細的介紹了對于CISCO 3550路由器如何進行對交換機的設置,并且給講述了MAC地址的訪問控制設置,希望看過此文對你有所幫助。
在網絡管理工作中,常常會碰到這樣的情況:某些用戶違反管理規定,私自修改自已的IP地址,以達到訪問受限資源的目的。這樣的行為,不但破壞了信息安全規則,還可能因為地址沖突引起網絡通訊故障。
網管管理員可能會試圖使用如后文所述的各種技術手段來解決這一問題,但效果不一定很理想:首先技術手段無法完全阻止這種現象的發生,其次是增加了管理的復雜性和成本。所以遏制這種現象最有效的方法是行政手段,這是技術手段所無法替代的。
在介紹這些管理手段之前我們先來看一個模擬的環境:工作站PC和SERVER連接到一臺Cisco Catalyst 3550交換機上,它們分屬不同的VLAN,借助3550的路由功能進行通訊(附交換機配置):
hostname Cisco3550
!
interface GigabitEthernet0/11 description Connect to PC
!
interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2
!
interface Vlan1
p address 1.1.1.254 255.255.255.0
!
interface Vlan2
p address 2.1.1.254 255.255.255.0
如果不需要做權限限制,只是要防止IP地址沖突的話,最佳的方案可能是使用DHCP.DHCP 服務器可以為用戶設置IP 地址、子網掩碼、網關、DNS等參數,使用方便,還能節省IP地址。在Cisco設備上設置DPCP可以參考:《Cisco路由器上配置DHCP全程詳解》.靜態的分配和設置需要較多管理開銷,如果用戶不搗亂的話,由于用戶名和IP地址一一對應,維護起來比較方便,以下均假設采用的是靜態的管理方法。
測試1.假設VLAN1內只允許IP 1.1.1.1 訪問Server: 2.1.1.1,其它訪問全部禁止。
限制方法:使用IP訪問控制列表
interface Vlan1
p address 1.1.1.254 255.255.255.0
p access-group 100 in
access-list 100 permit ip host 1.1.1.1 host 2.1.1.1
突破方法:非法用戶將IP地址自行改為 1.1.1.1即可訪問Server.非法用戶搶占地址1.1.1.1將會引起IP地址沖突問題。如果用戶將IP地址設成網關的IP,還會影響到整個VLAN的通訊。通過修改Windows 設置,可以防止用戶修改“網絡”屬性,但這一方法也很容易被突破。
測試2.在測試1的基礎上加上靜態ARP綁定可以防止IP地址盜用。
實現方法:在測試1配置的基礎上設置arp 1.1.1.1 0001.0001.1111 ARPA
注意以下的命令是錯誤的,因為ARP的端口參數是三層(路由)端口而非二層(交換)端口:
arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11
設置完成之后,如果非法用戶把地址改為1.1.1.1,它發送到路由器的包正常,但是從目標服務器2.1.1.1返回的數據包在路由器上轉發的時候,目標MAC地址將總是設為0001.0001.1111,非法用戶不能接收。
類似辦法:使用“ARP SERVER”按一定的時間間隔廣播網段內所有主機的正確IP-MAC映射表
突破方法:修改MAC地址很容易,在Windows網絡連接設置修改網卡的配置,在“高級”頁面中找到Network Address設置為指定的值即可。
測試3.使用Port Secure
原理:如果限制了指定端口只能被特定MAC地址的機器,用戶若更改了MAC地址端口將會進入不可用狀態。
設置方法:
interface g 0/1
switchport mode access
switchport port-security
設置完成之后,交換機端口上首次連接的PC的MAC地址將會記錄到交換機中,成為唯一能夠使用該端口的MAC地址。如果該PC更換MAC地址,默認將會使用端口置于shutdown狀態,無法與網絡連通。
可以使用命令設置安全沖突的處理方法:
sw port-security violation [protect | restrict | shutdown ]
protect 丟棄來自非法源地址的包,不告警
restrict 丟棄來自非法源地址的包,發送syslog告警
shutdown(默認) 關閉端口,發送SNMP trap、Syslog 告警,除非管理員執行命令shut/no shut,否則端口一直處理down狀態。
突破方法:代理服務器。用戶在同一VLAN內能夠對外訪問的主機上安裝代理服務器,通過代理訪問。
測試4.使用VLAN,PVLAN隔離用戶
原理:將授權用戶和非授權用戶劃分到不同的VLAN中,并使用訪問控制列表限制VLAN間的通訊。也可以使用PVLAN隔離使同一VLAN間某些主機之間不能直接通訊……
interface range g 0/10
description Connect to PC1
switchport access vlan 7
interface range g 0/11
description Connect to PC2
switchport access vlan 8
特殊辦法:交換機Cisco 3550交換機還能支持在二層(交換)端口上設置mac/ip 訪問控制列表,以下設置將使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b,否則網絡通訊不正常。
ac access-list extended macacl
permit host 0000.0c31.ba9b any
permit any host 0000.0c31.ba9b
interface FastEthernet0/1
o ip address
p access-group ipacl in
ac access-group macacl in
p access-list extended ipacl
permit ip any host 1.1.1.1
permit ip host 1.1.1.1 any
突破方法:該用戶跑到授權用戶的機器上訪問
這是非典型的突破方法,目前還沒有很好的解決方法。
其他可能的限制方法:
1.認證代理:用戶訪問特定資源前必須在某個網頁上輸入用戶名和密碼,否則不通
2.802.1x:用戶通過802.1x認證同時由DHCP服務器分配IP地址,否則不通
3.PPPoE:用戶需安裝PPPoE客戶端軟件,使用用戶名和密碼登錄網絡才能使用
討論更新:一位叫Maying的朋友看了本文之后到BBS發帖子詢問:“如何在路由器上設置過濾掉某個特定mac地址的流量?不希望使用這個mac地址的主機通過路由器!”。
這個要求比較新鮮。當你針對一個MAC地址進行過濾的時候,這一動作發生在第二層。而路由器一般執行的是第三層路由的任務,只有很少情況下做橋接的時候才對進入的MAC地址進行過濾,所以這樣的過濾最好設置在二層交換設備上。
但這個要求對路由器來說也不是不可能的任務,麥子使用以下配置達到了要求的效果:
p cef//Rate-limit 需要cef的支持,路由器可能默認未啟用cef interface Ethernet0/0 ip address 192.168.1.254 255.255.255.0 rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop //如果源MAC地址為指定值則丟棄(其他的都允許) access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址
這時候要注意,目標工作站到達該路由器之前不能經過其他三層設備,否則MAC地址會被改掉。
討論更新:Maying朋友再問:“我的路由器是Cisco 1720, 不支持CEF,怎么辦?”
Cisco 1720路由器能夠支持CEF, 但要求是12.0(3)T以上IP PLUS版本的軟件,12.2(11)YV 起標準IP版軟件也可以支持CEF.如果路由器目前IOS軟件版本不夠,需要升級。
也可以使用橋接(IRB)的方法來解決,這種方法只需要12.0(2)T 以上標準IP版軟件即可。配置如下:
bridge irb //啟用IRB支持
interface Ethernet0/0
o ip address //路由做到邏輯端口BVI 1上
bridge-group 1 //加入橋接組1
!
interface BVI1
p address 192.168.1.254 255.255.255.0 //為橋接組1提供路由
!
bridge 1 protocol ieee //運行生成樹協議防止環路
bridge 1 route ip //路由IP流量
bridge 1 address 0001.0001.abcd discard
//丟棄來著于MAC地址0001.0001.abcd的數據包
