交换机作为最常用的网络设备,具有简单、价格低廉、端口密度高、性能高等优点。并承担终端接入、流量聚合转发、隔离控制等功能。但是,由于以太网交换机不验证访问用户的合法性,因此存在未经授权的用户访问交换机以访问网络的风险。
以太网识别终端并通过IP进行通信。终端配置IP一般有两种方式,即手动配置静态IP地址和自动获取IP地址。
首先,终端配置静态IP地址。
当终端通过手动配置IP地址接入网络时,通过在交换机中配置IP Source Guard,随意检查源IP、源MAC地址和接入VLAN,可以防止基于源地址欺骗的非法接入行为。联网如下图所示:
基本配置如下:
[交换机]用户-绑定静态IP-address 10 . 0 . 0 . 1 MAC-address 0001-0001-0001接口千兆以太网0/0/1 VLAN 10//全局绑定条目
[交换机]接口千兆以太网0/0/1
在[交换机-千兆以太网0/0/1] IP源下启用IPSG检查用户-绑定启用//端口。
第二,终端通过DHCP自动获取IP地址。
当自动获取IP地址时,交换设备无法区分合法终端和非法终端,合法终端可以在DHCP服务器上被DHCP静态绑定,使得非法终端无法获取IP地址。终端自动获取IP地址组网如图:
基本配置如下(省略DHCP服务器配置):
[切换] dhcp启用//启用dhcp服务
[交换机] dhcp侦听使能//全局启用dhcp侦听功能。
[交换机] vlan 10
[交换机-VLAN 10] DHCP侦听使能//VLAN启用DHCP侦听功能。
[交换机-VLAN 10] DHCP侦听可信接口千兆以太网0/0/3//配置DHCP侦听可信端口。
[交换机-VLAN 10] IP源检查用户-绑定启用//启用IPSG检查。
三是配合终端接入系统,实现用户接入管理。
当接入交换机和终端数量较多时,配置费时费力,配置不当会导致合法终端无法接入网络。因此,在中大型网络准入控制场景下,最好部署准入控制系统,能够实现网络准入控制统一管理、终端自动绑定、有线、无线、哑终端等设备的网络权限控制等功能。
除了网络准入控制之外,还应及时关闭交换机上未使用的端口,以切断未授权用户对网络的访问。