用户登录设备安全

传统上,用户已经能够将PC连接到交换网络并立即访问企业资源。随着网络的发展以及越来越多的机密数据和受限资源的出现,限制用户的访问非常重要。

当用户连接到网络交换机或路由器以执行某些操作时,可以对其进行身份验证。同样,可以基于用户的MAC地址或身份验证来控制物理端口访问。此外,网络设备可以检测并阻止某些类型的攻击。可以使用多种功能来验证通过交换机传递的信息,以使欺骗性的地址无法用于危害主机。

端口安全

在某些环境中,必须通过控制哪些站点可以访问网络本身来保护网络的安全。在用户工作站固定的情况下,总是希望它们的MAC地址连接到相同的访问层交换机端口。如果工作站是移动的,则可以动态学习其MAC地址,或将其添加到要添加的地址列表中,以便交换机之前可以在某个端口上期望它们。

网络管理员可以识别一组允许的MAC地址,以便端口可以授予它们访问权限。您可以显式配置地址,也可以从端口流量中动态了解地址。在使用端口安全性的每个接口上,指定将允许访问的最大MAC地址数。

默认情况下,端口安全性将确保每个交换机端口上仅允许访问一个MAC地址。您可以将最大地址数量设置为1到1024。默认情况下,使用端口安全性的每个接口都会动态学习MAC地址,并希望这些地址将来会出现在该接口上。

当主机在接口上传输帧时,将学习MAC地址。该接口最多学习允许的最大地址数。如果这些主机在一段时间内保持沉默,则学习到的地址也可以过期。

您还可以在接口上静态定义一个或多个MAC地址。这些地址中的任何一个都允许通过端口访问网络。请记住,如果配置的静态地址数量少于端口上保护的最大地址数量,则会动态学习其余地址。确保适当设置最大数量。

MAC地址违规

使用端口安全性时,必须定义在违反MAC地址时每个接口应如何反应。如果学习到的MAC地址数量超过最大数量,或者尝试在端口上传输未知(未静态定义)的MAC地址,则会发生冲突。检测到违规时,交换机端口将执行以下已配置的操作之一:

  • 关机: 端口立即进入err-disable状态,从而有效地将其关闭。必须手动或通过禁用错误的恢复将其重新启用才能再次使用。
  • 限制: 允许端口保持打开状态,但
    丢弃所有违反MAC地址的数据包。交换机会不断记录违规数据包的数量。
  • 保护: 与限制模式一样,允许端口保持打开状态。尽管丢弃了来自违规地址的数据包,但没有保留违规记录。

基于端口的身份验证

网络设备可以支持基于端口的身份验证,身份验证,授权,计费(AAA)和端口安全性的组合。此功能基于IEEE 802.1X标准。启用该功能后,在用户通过交换机认证之前,交换机端口将不会通过任何流量。如果认证成功,则用户可以正常使用端口。

对于基于端口的身份验证,交换机和最终用户的PC都必须使用LAN上的可扩展身份验证协议(EAPOL)来支持802.1X标准。802.1X标准是客户端和提供网络服务的交换机之间的共同努力。 

如果将客户端PC配置为使用802.1X,但交换机不支持它,则PC放弃协议并正常通信。但是,如果将交换机配置为使用802.1X,但PC不支持它,则交换机端口将保持未授权状态,以便它不会将任何流量转发到客户端PC。

802.1X交换机端口以未授权状态开始,因此该端口不允许除802.1X协议本身以外的任何数据。客户端或交换机都可以启动802.1X会话。当用户注销时,端口的授权状态结束,从而使802.1X客户端通知交换机恢复为未授权状态。交换机还可以使用户的授权会话超时。如果发生这种情况,客户端必须重新进行身份验证才能继续使用交换机端口。

风暴控制

如您所知,单个主机可以连接到单个交换机端口,从而形成冲突域。更重要的是,交换机使用目标MAC地址将帧传递到与相应主机相连的交换机端口。在大多数情况下,每个主机仅接收要到达的帧。

简化了帧交付,主机可以节省资源,以接收和丢弃不必要和无关的帧。此情况有三个例外:

  • 广播帧
  • 组播帧
  • 未知单播帧(ARP)

在每种情况下,帧的目的MAC地址都不特定或无法定位。因此,必须将帧泛洪或通过多个交换机端口将其交付给多个主机。正常情况下应该会有一定数量的洪泛流量。毕竟,主机必须依靠ARP请求之类的广播来查找其他主机。

在主机发送帧并且交换机获悉其MAC地址之前,交换机必须将发往主机的帧泛洪。但是,完全有可能在网络上有过多的洪泛流量。例如,主机可能具有失控的流程或恶意软件,这些恶意软件
会将广播风暴发送到其本地VLAN。

洪水率

默认情况下,帧将以交换机接收到的相同速率进行泛洪。在正常情况下,淹没帧的数量对于主机而言不应太大。在极端条件下,淹没的帧可能使许多主机不堪重负。您可以利用“风暴控制”功能对洪泛流量设置限制,以免对网络造成问题。

风暴控制

如上图所示,Storm Control在每个接口的基础上进行配置,以监视在接口处到达或接收的流量。想法是在帧进入交换机并到达内部交换总线之前对它们采取措施,然后将它们淹没到多个交换机端口。您可以配置广播,多播或未知单播通信量的阈值,以及在超过阈值时要采取的措施。

觉得文章有用?

点个广告表达一下你的爱意吧 !😁