L005 Netgear交换机的安全功能配置

msliyang
1 ℃
2020-07-01

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

NETGEAR交换机动手操作实验（五）Netgear交换机的安全设置2007年1月第1页共26页目录1.实验目的..................................................................................21.1实验条件.............................................................................22.实验内容..................................................................................22.1配置基于端口的MAC地址绑定.........................................22.1.1网络结构图................................................................22.1.2FS700TS系列智能交换机上端口和MAC地址绑定配置...........................................................................................32.1.3GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置.............................................................................82.2配置IP和MAC地址绑定................................................102.3配置基于端口的带宽控制.................................................112.3.1网络结构图..............................................................112.3.2GSM7300/FSM7300系列交换机的带宽控制配置.....112.3.3FS700TS系列交换机的带宽控制配置......................132.4交换机的802.1x设置......................................................152.4.1NETGEAR7000系列交换机802.1x设置................162.4.2FS700TS系列交换机的802.1x设置........................22第2页共26页1.实验目的现在，业界普遍认为安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。目前，绝大多数用户对通过交换机解决安全问题抱积极态度，近75%的用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。本文将针对NETGEAR的智能及网管型交换机，详细介绍各种关于网络安全设置的办法。目前，业界普遍认为有效的网络安全设置有：1．基于交换机端口和主机MAC地址的绑定。2．基于主机IP和MAC地址的绑定3．基于端口的交换机流量控制(RateLimiting)4．基于802.1x的端口认证美国网件公司出品智能交换机FS700TS系列，及网管型交换机FSM700系列，三层交换机FSM7300，GSM7300系列交换机均支持一系列的网络安全设置。但不同系列的交换机所支持的功能和设置均有所区别，先文将作详细介绍。1.1实验条件实验所需的设备如下：设备名称数量操作系统/固件版本FS700TS系列交换机11.0.1.23GSM7300系列交换机16.2.0.14个人电脑若干台WIN98/2000/XP2.实验内容2.1配置基于端口的MAC地址绑定2.1.1网络结构图以下是我们要达到实验目的的网络示意图：如图1,图2。第3页共26页图1:合法用户可以通过交换机连接到企业内部网络图2:非法用户的连接请求将会被交换机拒绝如图所显，拥有合法的MAC地址的用户可以通过交换机连接到企业的内部网络，而没有合法MAC地址的用户将会被交换机拒绝。经过这样的配置后，网络里面只有唯一合法主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。该功能主要用户防止非法用户使用网络，同时亦由于MAC地址的唯一性，网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。美国网件公司出品智能交换机FS700TS系列，及网管型交换机FSM700系列，三层交换机FSM7300，GSM7300系列交换机均支持端口MAC地址绑定。2.1.2FS700TS系列智能交换机上端口和MAC地址绑定配置本文以FS728TS为例子，对其端口1进行IP及MAC地址绑定的设置：第4页共26页1.首先通过管理地址192.168.0.239登录到FS728TS的管理界面,并点击左边工具栏的SwitchStatus菜单以确定交换机的固件版本。如图3：图3:Switchstatus2．点击菜单Switch-Security-Traffics-Portsecurity，如图4：第5页共26页图4:PortSecurity3．点击Interface下的1/e1端口（代表端口一），将该端口设置于锁定状态，通过该设置后，该端口将不会再学习新的MAC地址。如图5：第6页共26页图5:ModifyPortSecurity在Interface上选择1/e1。在Lockinterface旁的复选框上打钩，以锁定端口。在LearningMode模式下选择Classiclock使端口不再学习新的MAC地址。在ActiononViolation下拉对话框中，选择discard使非法的MAC地址不能接入网络。4．点击System-Addresstable-staticaddress,以增加合法的MAC地址，只有在该列表里显示的MAC地址的主机才能接入网络。如图6：第7页共26页图6:Staticaddress5．点击Add,增加一个合法的MAC地址，如图7第8页共26页图7:AddStaticaddress在Interface上选择1/e1。在Macaddress上填入相应的MAC地址。在VLAN下还可以选择该MAC对应的VLAN在Status下选择Secure,使该静态列表和PortSecure里面的设置相关连。6．最后，可以通过System-AddressTable-Dynamicaddress，查看MAC地址的学习情况。如图8：图8:Dynamicaddress2.1.3GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置本章节将以FSM7352交换机为例子介绍其端口跟MAC绑定的配置办法1.通过PortSecure设置实现端口和MAC地址绑定登录进入交换机，输入管理口令进入配置模式，敲入命令：(FSM7352S)#configure//进入配置模式(FSM7352S)(Config)#port-security第9页共26页//打开端口安全模式(FSM7352S)(Config)#interface1/0/45//进入具体端口配置模式(FSM7352S)(Interface1/0/45)#port-security//配置端口安全模式(FSM7352S)(Interface1/0/45)#port-securitymac-address00:E0:4C:00:0C:2B1//配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S)(Interface1/0/45)#port-securitymax-dynamic0//配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S)(Interface1/0/45)#port-securitymax-static1//配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。注意：以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。2．用MAC地址的扩展访问列表实现端口和MAC地址绑定(FSM7352S)(Config)#macaccess-listextendedtestmac01//定义一个MAC地址访问控制列表并且命名该列表名testmac01(Config-mac-access-list)#permit00:E0:4C:00:0C:2Bany//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S)(Config-mac-access-list)#permitany00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S)(Config)#interface1/0/45第10页共26页//进入具体端口的配置模式(FSM7352S)(Interface1/0/45)#macaccess-grouptestmac01in//在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。注意：以上配置仅适用于FSM7328S,FSM7352S,FSM7352PS,GSM7324,GSM7312,GSM7212,GSM7224,GSM7248,FSM7326P系列交换机4.0以上软件版本。2.2配置IP和MAC地址绑定IP和主机的MAC地址绑定，有利于网络管理员有效地分配IP地址，并根据IP地址对主机进行带宽或者访问管理，合理规划网络资源，更有效地控制网络安全和管理网络。下文以FSM7352S为例子，在其端口45上设置IP和MAC地址绑定：(FSM7352S)(Config)#macaccess-listextendedtestmac01//定义一个MAC地址访问控制列表并且命名该列表名为testmac01(Config-mac-access-list)#permit00:E0:4C:00:0C:2Bany//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S)(Config-mac-access-list)#permitany00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S)(Config)#access-list1permit192.168.1.1230.0.0.0(FSM7352S)(Config)#access-list1denyevery//定义一个IP地址访问控制列表只允许192.168.1.123与网络通讯(FSM7352S)(Config)#interface1/0/45//进入具体端口的配置模式(FSM7352S)(Interface1/0/45)#ipaccess-group1in1第11页共26页(FSM7352S)(Interface1/0/45)#macaccess-grouptestmac01in2//在该端口上应用IP访问列表1配置成功以后，在1/0/45的端口上就只