Ativar função de verificação de porta ARP

Condição de configuração

Nenhum

Ativar função de verificação de porta ARP

Depois de habilitar a função ARP Check da porta, o ARP Check obtém dinamicamente a entrada no banco de dados DHCP Snooping e grava no hardware ACL.

Tabela 1 -2 Habilite a função de verificação ARP da porta

Vincular entrada estática de verificação ARP

Condição de configuração

Nenhum

Vincular entrada estática de verificação ARP

Tabela 1 -3 Bind ARP Verifique a entrada estática

Reinstale a entrada de verificação ARP não bem-sucedida na gravação do hardware

Condição de configuração

Nenhum

Reinstale a entrada de verificação ARP não bem-sucedida na gravação do hardware

Tabela 1 -4 Reinstalar a entrada de verificação ARP não bem-sucedida na gravação do hardware

Monitoramento e Manutenção de ARP Check

Tabela 1 -5 Monitoramento e manutenção do ARP Check

Configurar funções básicas da verificação ARP

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo.
• Configure a função básica ARP Check, percebendo que o PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

Topologia de rede

Figura 1 – 1 Rede de configuração das funções básicas do ARP Check

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e da porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configure o tipo de link da porta gigabitethernet0/1 como Access e permita a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access 
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

• Passo 2:Configure a função ARP Check no dispositivo.

#Ative a função ARP Check na porta gigabitethernet0/1 e configure a entrada de ligação ARP Check com o endereço MAC 0012.0100.0002 e o endereço IP 192.168.1.2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#arp-check enable
Device(config-if-gigabitethernet0/1)#arp-check binding 0012.0100.0002 192.168.1.2 rate 10
Device(config-if-gigabitethernet0/1)#exit

• Passo 3:Confira o resultado.

#Visualize as informações de configuração do ARP Check.

Device#show arp-check brief 
-------------------------------------------------------
Interface Name       Status     Binding Table 
-------------------------------------------------------
gi0/1              Enable      Yes        
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função ARP Check, e há a entrada ARP Check.

#Exibe a entrada de ligação de verificação ARP da porta.

Device#show arp-check interface gigabitethernet0/1
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/1           enable  0012.0100.0002  192.168.1.2  10  STATIC        active
total number: 1  

#PC1 pode acessar a rede IP normalmente, mas o PC2 não pode acessar a rede IP.

Combine ARP Check com DHCP Snooping

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo; O PC1 usa o endereço IP estático e o PC2 obtém o endereço IP via DHCP.
• O dispositivo configura a função DHCP Snooping e ARP Check, percebendo que o PC2 pode acessar a rede IP normalmente e o PC1 não pode acessar a rede IP.

Topologia de rede

Figura 1 -2 Rede de combinar ARP Check com DHCP Snooping

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e da porta no dispositivo.

#Cria VLAN2.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1, gigabitethernet0/2 e gigabitethernet0/3 como acesso, todos permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/3
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2: Configure a função DHCP Snooping no dispositivo.

#Habilite a função DHCP Snooping e configure a porta gigabitethernet0/2 como porta de confiança.

Device(config)#dhcp-snooping 
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dhcp-snooping trust
Device(config-if-gigabitethernet0/2)#exit

• Passo 3: Configure a função ARP Check no dispositivo.

#Habilite a função ARP Check na porta gigabitethernet0/1.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#arp-check enable
Device(config-if-gigabitethernet0/1)#exit

• Passo 4: Confira o resultado.

#Depois que o PC2 obtiver o endereço IP com sucesso, visualize a entrada dinâmica do DHCP Snooping no dispositivo.

Device#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:1
        database entries delete time :300
        ---------------------------------
        macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status     
        0013.0100.0001   192.168.1.100    2                2      gi0/1               107990           active    
        ------

#Visualize a entrada de ligação ARP Check da porta gigabitethernet0/1.

Device#show arp-check interface gigabitethernet0/1
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/1           enable  0013.0100.0001 192.168.1.100  15   DHCPSP        active
total number: 1  

Combine ARP Check com 802.1X

Requisitos de rede

• O PC1 está conectado à rede IP via dispositivo e o dispositivo adota o controle de acesso 802.1X.
• O modo de autenticação adota a autenticação RADIUS.
• PC1 não pode acessar a rede se não for autenticado com sucesso. Depois de passar a autenticação, o PC1 tem permissão para acessar a rede IP.
• O usuário autenticado pode gerar a entrada arp-check para realizar a detecção de validade do pacote arp do usuário autenticado.

Topologia de rede

Figura 1 -3 Rede de combinar ARP Check com 802.1X

Etapas de configuração

• Passo 1:No dispositivo, configure o tipo de link da VLAN e da porta.

#No dispositivo, crie VLAN2~VLAN4.

Device#configure terminal
Device(config)#vlan 2-4
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet 0/2 como acesso, permitindo a passagem dos serviços da VLAN2. Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#switchport access vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet 0/3-gigabitethernet 0/4 do Dispositivo, configure o tipo de link da porta como Acesso, permitindo que os serviços de VLAN3-VLAN4 passem respectivamente (omitido).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#interface vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit

• Passo 3: Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário, a senha e o valor da chave como admin (omitido).

• Passo 5:Configure a autenticação 802.1X.

#Ative a autenticação 802.1X na porta e configure o modo de autenticação como Macbased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#authentication port-method macbased
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:No Dispositivo, configure a função ARP Check.

#Ative a função ARP Check na porta gigabitethernet0/2.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#arp-check enable
Device(config-if-gigabitethernet0/2)#exit

• Passo 7:Autentique com sucesso.

#Antes de passar a autenticação, o PC1 não pode acessar a rede.

#Após iniciar a autenticação e ser autenticado com sucesso, o PC1 pode acessar a rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized         USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2              USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.1
         IPV6_ADDRESS= Unknown
                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

• Passo 8:Confira o resultado.

Device#show arp-check interface gigabitethernet0/2
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/2           enable   3883.45ef.7984 199.0.0.1  15   DOT1X       active
                    
total number: 1  

#Se o pacote arp enviado pelo PC1 corresponder completamente à entrada, encaminhe-o e limite a velocidade normalmente. Se não corresponder, solte-o diretamente.

Configurar fila de CPU de pacotes de protocolo

Condição de configuração

Nenhum

Configurar fila de CPU de pacotes de protocolo

O dispositivo possui totalmente oito filas e o usuário pode configurar diferentes pacotes de protocolo para entrar em diferentes filas. O dispositivo envia os pacotes de protocolo para a CPU para processamento em ordem de fila de alta prioridade para fila de baixa prioridade de acordo com a configuração do usuário. Se os pacotes de protocolo estiverem na fila com alta prioridade, eles primeiro obterão o processamento da CPU. Além disso, o usuário também pode especificar o pacote importante para entrar na fila de alta prioridade, garantindo que os pacotes importantes sejam enviados primeiro à CPU para processamento. Por padrão, diferentes pacotes de protocolo entram na fila padrão da CPU. Além disso, também podemos usar o comando para modificar o pacote para entrar na fila de CPU especificada.

Tabela 2 -2 Configure a fila da CPU do pacote de protocolo

Configurar a limitação de taxa total de todas as filas de CPU

Condição de configuração

Nenhum

Configurar a limitação de taxa total de todas as filas de CPU

Para evitar que o ataque vicioso na rede cause uma utilização muito alta da CPU e o dispositivo não possa ser executado, o usuário pode configurar a limitação de taxa total de todas as filas da CPU. Se houver ataque e a taxa total de pacotes em todas as filas exceder a taxa total limitada, os pacotes serão descartados, evitando causar uma utilização muito alta da CPU.

Tabela 2 -3 Configure a limitação de taxa total de todas as filas de CPU

Configurar a limitação de taxa de cada fila de CPU

Condição de configuração

Nenhum

Configurar a limitação de taxa de cada fila de CPU

Para evitar que o ataque vicioso na rede cause uma utilização muito alta da CPU e o dispositivo não possa ser executado, o usuário pode configurar a limitação de taxa de cada fila da CPU. Se houver ataque e a taxa de pacotes na fila exceder a taxa limitada da fila, o pacote será descartado, evitando causar uma utilização muito alta da CPU. Por padrão, diferentes filas de CPU definem diferentes taxas limitadas. O usuário pode modificar a taxa limitada da fila da CPU conforme desejado.

Tabela 2 -4 Configure a limitação de taxa de cada fila de CPU

Configure o pacote de protocolo personalizado para ser processado pela CPU

Condição de configuração

Nenhum

Configurar regra de correspondência de Pacote de protocolo personalizado a ser processado pela CPU

A regra de correspondência configurada do pacote de protocolo personalizado a ser processado pela CPU deve ser usada com o modo do pacote de protocolo personalizado a ser processado pela CPU. Ele executa o processamento da ação correspondente para o pacote que atende à regra de correspondência. A regra de correspondência inclui dst-mac (endereço MAC de destino), ingresso (interface), vlan-id (ID VLAN), tipo ether (tipo Ethernet), IP (IPV4), IPV6, 0x0000 (tipo Ethernet personalizado), ip- protocolo (protocolo IP, como IGMP e TCP), dst-ip (IP de destino), src-port (porta de origem) e dst-port. O usuário pode combinar as regras de correspondência acima para usar conforme desejado.

Tabela 2 -5 Configure a regra de correspondência do pacote de protocolo personalizado a ser processado pela CPU

O pedido não é suportado. resposta não é suportada.

Configurar o modo de pacote de protocolo personalizado a ser processado pela CPU

A regra de correspondência configurada do pacote de protocolo personalizado a ser processado pela CPU deve ser usada com o modo do pacote de protocolo personalizado a ser processado pela CPU. Ele executa o processamento da ação correspondente para o pacote que atende à regra de correspondência. Por exemplo, se o modo configurado for cópia, não altere o processo de encaminhamento original do pacote, mas copie o pacote para a CPU para processamento; se o modo configurado for drop, não permita enviar o pacote à CPU para processamento, mas descarte o pacote; se o modo configurado for remark, modifique a prioridade do pacote a ser processado pela CPU; se o modo configurado for trap, altere o processo de encaminhamento original do pacote enviando apenas o pacote para a CPU para processamento em vez de encaminhar o pacote.

Tabela 2 -6 Configure o modo de envio do pacote de protocolo personalizado para CPU

ação de observação não é suportada

Monitoramento e manutenção da CPU Protection

Tabela 2 -7 Monitoramento e manutenção da CPU Protection

Configurar funções básicas de CPU Protection

Requisitos de rede

• O PC está conectado à rede IP via dispositivo.
• Configure o pacote DHCP para enfileirar 5 no dispositivo para que o pacote DHCP que chega ao dispositivo local possa primeiro obter o processamento da CPU.
• Execute a limitação de taxa para a fila ARP no dispositivo para que quando a utilização da CPU do dispositivo for muito alta, o pacote com baixa prioridade possa ser processado normalmente.

Topologia de rede

Figura 2 – 1 Rede de configuração das funções básicas de CPU Protection

Etapas de configuração

• Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
• Passo 2:Configure o endereço IP da interface. (Omitido)
• Passo 3:Configure a fila da CPU do pacote DHCP.

# Configure o pacote DHCP para enfileirar 5 no dispositivo.

Device#configure terminal 
Device(config)#cpu-packet dhcp cos 5

• Passo 4:Configure a limitação de taxa da fila da CPU.

# Configure a taxa limitada da fila da CPU no dispositivo como 50pps.

Device(config)#cpu-packet cos 1 pps 100

• Passo 5:Confira o resultado.

#Visualize a fila de CPU dos pacotes de protocolo no dispositivo.

Device#show cpu-packet cos 
Type                       Current-CoS    [Default-CoS]
-------------------------------------------------------
random                     0              [0]
ipv6-all                   0              [0]
pppoe                      0              [0]
udp-broadcast              0              [0]
icmp                       0              [0]
ip-e-packet                0              [0]
ipsec-esp                  0              [0]
ipsec-ah                   0              [0]
ip                         0              [0]
mpls-unicast               0              [0]
mpls-multicast             0              [0]
LBD_l2-src-miss            0              [0]
ipaddr-0                   0              [0]
ipaddr-127                 0              [0]
ipv4-all                   0              [0]
src-martian-addr           0              [0]
arp                        1              [1]
ip6-solicited-node         1              [1]
host-group                 1              [1]
router-group               1              [1]
ND                         1              [1]
trill-oam                  1              [1]
lldp                       2              [2]
dot1x                      2              [2]
dhcp                       5              [2]
dhcpv6                     2              [2]
http                       2              [2]
svi-ip                     2              [2]
pim                        3              [3]
pim6                       3              [3]
igmp-dvmrp                 3              [3]
ip6-interface-multicast    3              [3]
ike                        3              [3]
ntp                        3              [3]
mld                        3              [3]
rsvp                       4              [4]
ospf                       4              [4]
ospfv3                     4              [4]
irmp                       4              [4]
rip                        4              [4]
ripng                      4              [4]
is-is                      4              [4]
bgp                        4              [4]
ldp                        4              [4]
mlag-pts                   4              [4]
mlag-keep-alive            4              [4]
mvst                       5              [5]
l2-interface-unicast       5              [5]
gvrp                       5              [5]
mvst-inspection            5              [5]
ulfd                       5              [5]
l2pt                       5              [5]
svi-icmp                   5              [5]
ethernet-cfm               5              [5]
ethernet-lmi               5              [5]
bfd                        6              [6]
vbrp                       6              [6]
vrrp                       6              [6]
vrrp3                      6              [6]
telnet                     6              [6]
ssh                        6              [6]
loopback-detect            6              [6]
slow-protocols             6              [6]
stp-bpdu                   6              [6]
radius                     6              [6]
trill                      6              [6]
mlag                       6              [6]
eips                       7              [7]
ulpp                       7              [7]
mad-fast-hello             7              [7]
erps                       7              [7]
Device#

Você pode ver que a fila da CPU do DHCP no dispositivo é ajustada da fila padrão 2 para a fila 5.

# Visualize a limitação de taxa da fila no dispositivo.

Device#show cpu-packet pps
CoS   Current-PPS   [Default-PPS]
---------------------------------
0     250           [250]
1     100           [250]
2     500           [500]
3     500           [500]
4     1000          [1000]
5     400           [400]
6     400           [400]
7     100           [100]
TOTAL 2000          [2000]

Você pode ver que a taxa limitada da fila 1 de ARP no dispositivo é modificada do padrão 250pps para 100pps.

Configurar regra personalizada de proteção de CPU

Requisitos de rede

• O dispositivo está conectado diretamente ao PC1 e ao PC2.
• Configure a regra personalizada da CPU Protection no dispositivo e intercepte o pacote que corresponde à condição da CPU para processamento e insira a fila correspondente.

Topologia de rede

Figura 2 – 2 Networking de configuração da regra customizada de proteção da CPU

Etapas de configuração

• Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
• Passo 2:Configure o endereço IP da interface. (Omitido)
• Passo 3:Configure a regra personalizada de CPU Protection.

#Configure a regra personalizada e intercepte o pacote IP com endereço de destino 121.5.0.2 para CPU para processamento e defina o valor de COS como 5.

Device#configure terminal 
Device(config)#cpu-packet user-define 1 match ether-type ip dst-ip host 121.5.0.2
Device(config)#cpu-packet user-define 1 action trap cos 5

• Passo 4:Confira o resultado.

#Visualize a regra personalizada no dispositivo.

Device#show cpu-packet udf-table 
user-define 1
 ether-type: 0x0800(IPv4)
 dst-ip: host 121.5.0.2
 location: global
 valid: yes
 action: trap
 CoS: 5

# Quando o PC1 acessa o PC2, a regra personalizada da regra da CPU entra em vigor e intercepta o pacote IP com o endereço de destino 121.5.0.2 no dispositivo para a CPU para processamento e entra na fila 5.

Quando a regra personalizada corresponder a outra condição e executar outros modos, consulte a configuração.

Visão geral da Port Security

A Port Security é o mecanismo de segurança de controle dos dispositivos conectados à rede. Ele é aplicado à camada de acesso e pode limitar os hosts de usar a porta do dispositivo, permitindo que alguns hosts especificados acessem a rede, enquanto os outros hosts não podem acessar a rede.

A função de Port Security pode vincular o endereço MAC do usuário, endereço IP, ID da VLAN e número da porta, impedindo que o usuário inválido acesse a rede, de modo a garantir a segurança dos dados da rede e o usuário válido pode obter largura de banda suficiente.

Regra de Port Security

A regra de Port Security é dividida em quatro tipos:

Regra MAC: Controle se o host pode se comunicar de acordo com o endereço MAC do host. O modo de ligação da regra MAC contém ligação MAC, ligação MAC+VLAN, ligação MAC+IP e ligação MAC+IPv6.

Regra de IP: Controle se o host pode se comunicar de acordo com o endereço IP do host. A regra de IP pode ser para a vinculação de um único endereço IP e também pode ser para a vinculação do segmento de endereço IP.

Regras IPv6: controle se o host pode se comunicar de acordo com o endereço IPv6 do host. As regras IPv6 podem ser vinculadas a um único endereço IPv6 ou a segmentos de endereço IPv6;

Regra MAX: Limite o número de endereços MAC que podem ser aprendidos livremente pela porta para controlar a comunicação do host. O número das entradas de endereço MAC não contém as entradas de endereço MAC válidas geradas pela regra MAC, regra IP e ligação IPv6

Regra STICKY: Controla se o host pode se comunicar de acordo com o endereço MAC do host. O modo de ligação da regra STICKY contém a ligação MAC, ligação MAC+VLAN, ligação MAC+IP e ligação MAC + IPv6. A regra STICKY pode aprender automaticamente e também configurar manualmente, e é salva na configuração em execução. Se salvar a configuração em execução antes do dispositivo reiniciar, não é necessário configurar novamente após o dispositivo reiniciar e a regra STICKY entrar em vigor automaticamente. Ao habilitar a função STICKY na porta e o modo de aprendizado STICKY for o modo MAC, converta a entrada MAC dinâmica aprendida pela regra MAX para a regra STICKY e salve na configuração em execução.

Regras de VOICE VLAN: Controla principalmente a comunicação do host de acordo com se o endereço MAC do host pertence ao OUI configurado pelo VOICE-VLAN. Esses endereços MAC não incluem a lista de endereços MAC legítimos gerados por regras MAC, regras IP e vinculação IPv6.

Princípio de Trabalho de Port Security

Se apenas habilitar a Port Security, a Port Security descartará todos os pacotes recebidos na porta. As regras de Port Security dependem dos pacotes ARP e dos pacotes IP do dispositivo a serem acionados. Quando o dispositivo recebe o pacote ARP e o pacote IP, a Port Security extrai várias informações do pacote e combina com a regra configurada. A ordem de correspondência é primeiro corresponder à regra MAC, depois corresponder à regra STICKY, depois corresponder à regra IP e, por último, corresponder à regra MAX e controlar a tabela de encaminhamento L2 da porta de acordo com o resultado correspondente, de modo a controlar o encaminhamento ação da porta para o pacote. O pacote válido que corresponde à regra MAX ou à regra STICKY é encaminhado. Para o pacote que corresponde à regra MAC ou regra IP, se a ação da regra para o pacote for permitida, o pacote pertence ao pacote válido e é encaminhado. Caso contrário, o pacote é inválido e descartado.

A ação é a regra MAC permitida e a regra IP. Depois de entrar em vigor, grave o endereço MAC da regra na tabela de encaminhamento L2 para que o encaminhamento L2 possa ser executado para os pacotes que correspondem à regra. Se a ação for a regra Mac recusada e a regra IP, o MAC correspondente não é gravado na tabela de encaminhamento L2 e o pacote precisa ser descartado por meio da Port Security.

Após a regra MAC e a regra STICKY entrarem em vigor, escreva nas entradas do endereço MAC para formar as entradas efetivas, fazendo com que o pacote execute o encaminhamento L2. O processamento do pacote IPv6 é semelhante.

Configurar funções básicas de Port Security

Nas tarefas de configuração da Port Security, deve-se primeiro habilitar a Port Security para que a configuração das demais funções tenha efeito.

Condição de configuração

Nenhum

Ativar função de Port Security

Depois de habilitar a Port Security e se não configurar nenhuma regra de Port Security, a porta não pode aprender o endereço MAC.

Tabela 3 -2 Configure as funções básicas da Port Security

A regra IP e a regra MAX da Port Security e 802.1x não podem ser usadas em uma porta ao mesmo tempo. A regra IP e a regra MAX da Port Security e a autenticação do endereço MAC não podem ser usadas em uma porta ao mesmo tempo. A função de Port Security e autenticação de canal seguro não pode ser usada em uma porta ao mesmo tempo. A Port Security e o DAI (Dynamic ARP Inspection) não podem ser usados em uma porta ao mesmo tempo.

Configurar o modo de aprendizado da regra STICKY

Condição de configuração

Antes de configurar o modo de aprendizagem da regra STICKY, primeiro complete a seguinte tarefa:

• Ative a função de Port Security

Configurar o modo de aprendizado da regra STICKY

Se o usuário espera realizar o aprendizado STICKY por MAC ou MAC + VLAN, você pode configurar o modo de aprendizado da regra STICKY como modo MAC. Se o usuário espera realizar o aprendizado da regra STICKY por MAC+IP, você pode configurar o modo de aprendizado da regra STICKY como modo MAC+IP.

Tabela 3 -9 Configure o modo de aprendizado da regra STICKY

Configurar a função de envelhecimento do endereço MAC estático

Condição de configuração

Antes de configurar a função de envelhecimento do endereço MAC estático, primeiro conclua a seguinte tarefa:

• Ative a função de Port Security

Ativar função de envelhecimento do endereço MAC estático

Para detectar se o terminal da entrada efetiva da regra MAC ou regra IP está online, o usuário pode habilitar a função de envelhecimento do endereço MAC estático. Após a função de envelhecimento do endereço MAC estático e se for detectado que o terminal está offline, a entrada efetiva do terminal é excluída para que os recursos do chip possam ser liberados.

Tabela 3 -10 Habilite a função de envelhecimento do endereço MAC estático

Configurar o tempo de idade do endereço MAC estático

O usuário pode configurar o tempo de idade razoável de acordo com a configuração real do ambiente de rede. Na aplicação geral, apenas mantenha o valor padrão.

Tabela 3 -11 Configure o tempo de idade do endereço MAC estático

Configurar o modo de processamento ao receber pacote inválido

Condição de configuração

Antes de configurar o modo de processamento ao receber o pacote inválido , primeiro complete a seguinte tarefa:

• Ative a função de Port Security

Configurar o modo de processamento ao receber pacote inválido

A Port Security fornece três tipos de modos de processamento para o pacote inválido, ou seja, proteger, restringir e desligar. O usuário pode selecionar de acordo com o requisito de segurança. As funções específicas dos três modos de processamento são as seguintes:

• protect : Após receber o pacote inválido, descarte o pacote.
• restringir : Depois de receber o pacote inválido, descarte o pacote e intercepte as informações para o NMS.
• shutdown : Após receber o pacote inválido, descarte o pacote, desabilite a porta que está recebendo o pacote e intercepte as informações para o NMS.

Tabela 3 -12 Configure o modo de processamento ao receber o pacote inválido

Configurar intervalo de envio de log ao receber pacote inválido

Condição de configuração

Antes de configurar o intervalo de envio de log ao receber o pacote inválido, primeiro conclua a seguinte tarefa:

• Ative a função de segurança da interface.

Configurar intervalo de envio de log ao receber pacote inválido

O usuário pode configurar o intervalo de envio de log com base no pacote inválido realmente recebido. Na aplicação geral, basta reservar o valor padrão.

Tabela 3 -13 Configure o intervalo de envio de log ao receber o pacote inválido

Configurar a Port Security para usar a função ACL

Condição de configuração

Antes de configurar a Port Security para usar a função ACL, primeiro conclua a seguinte tarefa:

• Ative a função de Port Security

Configurar a Port Security para usar a ACL

Os usuários podem configurar se a Port Security usa ACL de acordo com as necessidades reais. Ao usar as regras ACL, MAC+IP, MAC+IPv6, STICKY MAC+IP e STICKY MAC+IPv6 podem corresponder com precisão o endereço MAC de origem e o endereço IP/IPv6 de origem do usuário, evitando o acesso ilegal do usuário com correspondência de endereço MAC de origem e incompatibilidade de endereço IP/IPv6 de origem.

Tabela 3 -14 Configurar regra MAC+IP para usar ACL

Monitoramento e Manutenção da Port Security

Tabela 3 -15 Monitoramento e manutenção da Port Security

Configurar regra MAC e IP de Port Security

Requisitos de rede

• PC1, PC2 e a impressora de rede são conectados ao servidor via Device.
• Configure a função de Port Security no dispositivo, permitindo a passagem de PC1 e recusando a passagem de PC2; permitir que a impressora de rede execute as tarefas de impressão entregues pelo servidor e pelo usuário do PC1.

Topologia de rede

Figura 3 – 1 Rede de configuração de Port Security MAC e regra de IP

Etapas de configuração

• Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/3 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2:Configure a função de Port Security.

#Configure a regra MAC+IP no gigabitethernet0/1 do Device, permitindo a passagem do PC1; configurar a regra de IP, recusando a passagem de PC2.

Device#config terminal
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security permit mac-address 3883.45ef.7984 ip-address 199.0.0.1
Device(config-if-gigabitethernet0/1)#port-security deny ip-address 199.0.0.2
Device(config-if-gigabitethernet0/1)#exit

#Configure a regra MAC em gigabitethernet0/2 do dispositivo, permitindo que a impressora de rede acesse a rede.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security enable
Device(config-if-gigabitethernet0/2)#port-security permit mac-address 3883.45ef.f395
Device(config-if-gigabitethernet0/2)#exit

• Passo 3:Confira o resultado.

#Visualize as entradas efetivas da Port Security no dispositivo. O usuário pode ver que os MACs do PC1 e da impressora de rede são gravados nas entradas efetivas da Port Security.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation      Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1       MAC+IP              0    
2     gi0/2                38:83:45:EF:F3:95 2    199.0.0.3         MAC               0  

#Com a detecção, podemos ver que o PC1 pode acessar o servidor e a impressora da rede pode executar a tarefa de impressão entregue pelo PC1 e o servidor.

#Com a detecção, podemos ver que o PC2 não consegue pingar o servidor ou a impressora da rede.

Configurar regra MAC de Port Security

Requisitos de rede

• PC1, PC2 e PC3 são conectados ao servidor via Device; O PC e o servidor estão na mesma LAN.
• Configure a regra de Port Security no dispositivo, permitindo que PC1 e PC2 acessem o servidor e recusando o acesso de PC3 ao servidor.

Topologia de rede

Figura 3 – 2 Networking de configuração da regra MAX da segurança da porta

Etapas de configuração

• Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/2
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2:Configure a regra de Port Security no dispositivo.

#Configure a regra MAX em gigabitethernet0/1 do dispositivo. O número máximo de regras MAC é 3.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security maximum 3
Device(config-if-gigabitethernet0/1)exit

#Recusar PC3 para acessar o servidor em giabitethernet0/1 do dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security deny mac-address 3883.45ef.f395
Device(config-if-gigabitethernet0/1)exit

• Passo 3:Confira o resultado.

#Os três PCs tentam se comunicar com o servidor respectivamente. Você pode ver que PC1 e PC2 podem acessar o servidor e PC3 não pode acessar o servidor. Visualize as entradas efetivas da Port Security em gigabitethernet0/1 do dispositivo e você poderá ver que os endereços MAC de PC1 e PC2 são gravados nas entradas efetivas da Port Security.

Device#show port-security active-address                
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation      Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                00:50:ba:0c:89:a3 2    ---             FREE                0    
2     gi0/1                38:83:45:EF:79:84 2    ---             FREE                0    
Total Mac Addresses for this criterion: 2

Configurar regra STICKY de Port Security

Requisitos de rede

• PC1, PC2 e PC3 são conectados ao servidor via Device; eles estão na mesma LAN que o servidor.
• Configure a regra de Port Security no Dispositivo, permitindo a passagem de dois PCs.
• Depois de salvar a configuração e reiniciar o dispositivo, a regra STICKY pode entrar em vigor imediatamente.

Topologia de rede

Figura 3 – 3 Networking de configuração da regra STICKY da segurança da porta

Etapas de configuração

• Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/2
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2:Configure a regra MAX da Port Security no dispositivo.

#Configure a regra MAX em gigabitethernet0/1 do dispositivo. O número máximo de regras MAX é 2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security maximum 2
Device(config-if-gigabitethernet0/1)exit

• Passo 3:Configure a regra STICKY da Port Security no dispositivo.

#Ative a função STICKY no gigabitethernet0/1 do dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security permit mac-address sticky
Device(config-if-gigabitethernet0/1)#exit

• Passo 4:Confira o resultado.

#PC1, PC2 e PC3 tentam se comunicar com o servidor. Veja as entradas efetivas da Port Security em gigabitethernet0/1 do dispositivo e você pode ver que o tipo de regra em gigabitethernet0/1 é STICKY.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation        Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1         STICKY              0    
2     gi0/1                38:83:45:EF:F3:95 2    199.0.0.3         STICKY              0    
Total Mac Addresses for this criterion: 2

#Após salvar a configuração e reiniciar o dispositivo, a regra STICKY existe e entra em vigor.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation        Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1         STICKY              0    
2     gi0/1                38:83:45:EF:F3:95 2    199.0.0.3         STICKY              0    
Total Mac Addresses for this criterion: 2

Configurar entradas de limite estático do IP Source Guard da porta

Condição de configuração

Antes de configurar as entradas de limite estático do IP Source Guard da porta, primeiro conclua a seguinte tarefa:

• Habilite a função IP Source Guard da porta ou habilite a função Dynamic ARP Inspection da porta

Configurar entradas de limite estático do IP Source Guard da porta

As entradas vinculadas estáticas da porta IP Source Guard são a base da filtragem dos pacotes IP recebidos pela porta especificada.

Quando a função Inspeção ARP Dinâmica da porta está habilitada, somente as entradas estáticas configuradas com mac, ip e vlan podem servir como base para a detecção de validade dos pacotes ARP.

Tabela 4 -2 Configure as entradas vinculadas estáticas da porta IP Source Guard

Para a função de Inspeção de ARP Dinâmico da porta, consulte o capítulo Inspeção de ARP Dinâmico do manual de configuração.

Configurar a função de IP Source Guard da porta

Condição de configuração

Nenhum

função de IP Source Guard da porta

Depois de habilitar a função Port IP Source Guard, primeiro grave a entrada vinculada à porta no chip, incluindo a entrada vinculada estática e a entrada vinculada dinâmica. A entrada de limite estático é gravada primeiro. E então realizar o controle de segurança dos pacotes IP recebidos pela porta de acordo com as entradas escritas no chip, melhorando a segurança.

Tabela 4 -3 Configurar a função IP Source Guard da porta

Após habilitar a função de IP Source Guard da porta, as entradas vinculadas da IP Source Guard da porta são gravadas no chip. O número de entradas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar entradas vinculadas ou habilitar a função IP Source Guard da porta na outra porta, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se algumas entradas vinculadas do IP Source Guard não puderem ser gravadas no chip porque os recursos de entrada do chip não são suficientes, o sistema tentará automaticamente gravar as entradas vinculadas no chip novamente a cada 60 segundos até que todas as entradas vinculadas sejam gravadas no chip ou excluídas. Se as funções do IP Source Guard da porta e do IP Source Guard global forem usadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas do IP Source Guard da porta e do IP Source Guard global para que possa ser encaminhado. Caso contrário, é descartado. Antes de habilitar a função IP Source Guard da porta e se o dispositivo terminal conectado à porta não for um cliente DHCP, ou o dispositivo terminal for o cliente DHCP, mas o dispositivo local não habilitar a função DHCP Snooping, precisamos configurar o MAC endereço, endereço IP e o ID de VLAN do dispositivo terminal como a entrada de ligação estática do IP Source Guard da porta, de modo a garantir que depois de habilitar a função, o dispositivo terminal se comunique normalmente. Para a função DHCP Snooping, consulte o capítulo DHCP Snooping do manual de configuração.

Configurar o tipo de pacote filtrado de IP Source Guard da porta

Condição de configuração

Antes de configurar o tipo de pacote filtrado da porta IP Source Guard, primeiro conclua a seguinte tarefa:

• Habilite a função IP Source Guard da porta

Configurar o tipo de pacote filtrado de IP Source Guard da porta

Após habilitar a função Port IP Source Guard, o pacote IP é filtrado por meio de ip. Quando o endereço IP de origem e o número da VLAN do pacote IPv4 recebido pela porta são os mesmos que o endereço IP de origem e o número da VLAN na entrada de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Após habilitar a função Port IP Source Guard, os pacotes IP são filtrados por meio do ip-mac. Quando o endereço MAC de origem, o endereço IP de origem e o número da VLAN do pacote IP recebido pela porta são os mesmos que o endereço MAC, o endereço IP e o número da VLAN nas entradas de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Após habilitar a função Port IP Source Guard, os pacotes IP são filtrados por meio do mac. Quando o endereço MAC de origem e o número da VLAN do pacote IP recebido pela porta são os mesmos que o endereço MAC, o endereço IP e o número da VLAN nas entradas de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Tabela 4 -4 Configure o tipo de pacote filtrado da porta IP Source Guard

Configurar a função de ligação de entrada estática da porta MAC

Condição de configuração

Antes de configurar a função de ligação de entrada estática do MAC da porta, primeiro conclua a seguinte tarefa:

• Habilite a função IP Source Guard da porta

Configurar a função de ligação de entrada estática da porta MAC

Depois de configurar a função de ligação de entrada estática MAC da porta, obtenha o endereço mac correspondente, o número da vlan e o número da porta das entradas estáticas do IP Source Guard configuradas e as entradas dinâmicas na porta, e entregue a entrada MAC estática correspondente.

Tabela 4 -5 Configurar a função de ligação de entrada estática MAC

Configurar a função de IP Source Guard global

Condição de configuração

Nenhum

Configurar a função de IP Source Guard global

Para proteger a segurança do endereço IP do usuário e impedir que outro usuário use seu próprio endereço IP, podemos configurar a função IP Source Guard global para vincular o endereço IP do usuário e o endereço MAC. As entradas vinculadas ao IP Source Guard globais do endereço IP do usuário configurado e do endereço MAC são gravadas diretamente no chip, de modo a filtrar os pacotes IP e ARP inválidos.

Ao habilitar a função Global Dynamic ARP Inspection, as entradas vinculadas do IP Source Guard globais configuradas servem como base para a detecção de validade da função global Dynamic ARP Inspection para os pacotes ARP.

Tabela 4 -6 Configurar a função global do IP Source Guard

Se a ACL estendida híbrida for aplicada à entrada global (todas as portas), precisamos cancelar o aplicativo para que a função IP Source Guard global possa ser configurada. Caso contrário, a configuração falha. Consulte o capítulo ACL do manual de configuração. As entradas globais vinculadas ao IP Source Guard suportam no máximo 40. Após exceder 40, a configuração falha. As entradas vinculadas do IP Source Guard globais configuradas são gravadas diretamente no chip. O número de entradas vinculadas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar as entradas vinculadas do IP Source Guard global, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se as funções do IP Source Guard da porta e do IP Source Guard global forem usadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas do IP Source Guard da porta e do IP Source Guard global para que possa ser encaminhado. Caso contrário, é descartado.

Para a função de Inspeção de ARP Dinâmico da porta, consulte o capítulo Inspeção de ARP Dinâmico do manual de configuração.

Monitoramento e manutenção do IP Source Guard

Tabela 4 -7 Monitoramento e manutenção do IP Source Guard

Configurar a função de IP Source Guard de porta efetiva com base em entradas dinâmicas de DHCP snooping

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo.
• Configure a função global de espionagem de IP.
• Configure a função IP Source Guard da porta, para que o PC2 possa acessar a rede IP normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 4 – 1 Rede de configuração da função IP Source Guard da porta efetiva com base nas entradas dinâmicas do DHCP Snooping

Etapas de configuração

• Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

• Passo 2:No dispositivo, habilite a função DHCP Snooping global e configure giga bitthernet0/2 conectado ao servidor DHCP como a porta confiável.

Device(config)#dhcp snooping enable
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dhcp snooping trust
Device(config-if-gigabitethernet0/2)#exit

• Passo 3:Configure o pool de endereços do servidor DHCP como 1.0.0.0/24. (omitido)
• Passo 4:No dispositivo, configure a função IP Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função IP Source Guard baseada em porta.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip verify source 
Device(config-if-gigabitethernet0/1)#exit

• Passo 5:Confira o resultado.

# Visualize as informações de configuração do DHCP Snooping.

Device#show dhcp-snooping 
        dhcp-snooping configuration information:
        dhcp-snooping status:enable
        dhcp-snooping option82 information status:disable
        dhcp-snooping option82 information policy:replace
        dhcp-snooping option82 information format:default
        dhcp-snooping option82 information remote id:default(mac address)
        dhcp-snooping information relay-address :None
        dhcp-snooping binding agent save mode :auto-flash
        dhcp-snooping binding agent save delay :1800
        dhcp-snooping binding agent save pool :30
        dhcp-snooping interface information :
        ------------------------------------------------------------- 
        interface            trust-status     rate-limit(pps)  circuit-Id 
        gi0/0/1              untrust          40               default(vlan-mod-interface) 
        gi0/0/2              trust            ----             default(vlan-mod-interface) 
        gi0/0/3              untrust          40               default(vlan-mod-interface) 
        gi0/0/4              untrust          40               default(vlan-mod-interface) 
        gi0/0/5              untrust          40               default(vlan-mod-interface)
        ……

#Visualize as informações de configuração do IP Source Guard.

Device#show ip source guard
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    
-------------------------------------------------------
gi0/1                    Enabled     	ip           Disabled     
gi0/2                    Disabled     	ip           Disabled     
gi0/3                    Disabled     	ip           Disabled     
gi0/4                    Disabled     	ip           Disabled     
gi0/5                    Disabled     	ip           Disabled     
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função IP Source Guard e o tipo de verificação é ip. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em ip+vlan.

#Visualize as entradas vinculadas ao IP Source Guard da porta.

Device#show ip binding table 
---------------------------------------------
IP Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 0
     Dynamic binding entries   : 1
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address     IP-Address    VLAN-ID   Type-Flag   Writing-Flag    L2-Flag  
-----------------------------------------------------------------------------------------
gi0/1          0001.0001.0001   1.0.0.2       2         dynamic      Write         Not Write    

#PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

Configurar a função de IP Source Guard da porta com base em entradas estáticas

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo.
• Configure a função IP Source Guard da porta efetiva com base em entradas estáticas, para que o PC2 possa acessar a rede IP normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 4 – 2 Rede de configuração da função IP Source Guard da porta efetiva com base em entradas estáticas

Etapas de configuração

• Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

# Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

• Passo 2:No dispositivo, configure a função IP Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função IP Source Guard com base no modo de filtragem MAC+VLAN e configure o endereço IP como 1.0.0.1 e as entradas de ligação do IP Source Guard da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip verify source 
Device(config-if-gigabitethernet0/1)#ip source binding ip-address 1.0.0.1 vlan 2  
Device(config-if-gigabitethernet0/1)#exit

• Passo 3:Confira o resultado.

#Visualize as informações de configuração do IP Source Guard.

Device#show ip source guard 
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------------
Interface Name           Status       Verify Type    L2 Status    
-------------------------------------------------------------
gi0/1                    Enabled      	IP           Disabled     
gi0/2                    Disabled     	IP           Disabled     
gi0/3                    Disabled     	IP           Disabled     
gi0/4                    Disabled     	IP           Disabled
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função IP Source Guard. As entradas estáticas do IP Source Guard entram em vigor de acordo com as entradas IP+VLAN configuradas, não relacionadas com o valor Verify Type. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em ip+vlan.

#Visualize as entradas vinculadas ao IP Source Guard da porta.

Device #show ip binding table
-----------------------------------------
IP Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 1
     Dynamic binding entries   : 0
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   IP-Address   VLAN-ID    Type-Flag   Writing-Flag    L2-Flag        
-----------------------------------------------------------------------------------------
gi0/1              ---        1.0.0.1      2          Static       Write         Not Write       

# PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

Ativar função de proteção de fonte IPv6 da porta

Condição de configuração

Nenhum

Ativar função de proteção de fonte IPv6 da porta

Depois de habilitar a função de proteção de fonte IPv6 da porta, grave as entradas vinculadas na porta (incluindo entradas estáticas e entradas dinâmicas) no chip e os pacotes que correspondem completamente aos recursos de entrada vinculada podem ser encaminhados. Caso contrário, solte-o. Depois de habilitar o IPv6 Source Guard, permita que os pacotes DHCPv6 e os pacotes ND na porta passem por padrão.

Tabela 5 -2 Habilite a função de IPv6 Source Guard da porta

Configurar máx. Entradas vinculadas do IPv6 Source Guard da porta

Condição de configuração

Antes de configurar o número máximo de entradas vinculadas ao Source Guard IPv6 da porta, primeiro conclua a seguinte tarefa:

• Habilite a função de proteção de fonte IPv6 da porta

Configurar máx. Número de entradas de IPv6 Source Guard da porta

O número máximo de entradas vinculadas (incluindo entradas vinculadas estáticas e dinâmicas) suportadas pela porta impede que uma porta seja atacada e ocupe os recursos do dispositivo.

Tabela 5 -3 Configure o número máximo de entradas vinculadas ao Source Guard IPv6 da porta

Configurar o tipo de pacote filtrado de IPv6 Source Guard da porta

Condição de configuração

Antes de configurar o tipo de pacote filtrado da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

• Habilite a função de proteção de fonte IPv6 da porta

Configurar o tipo de pacote filtrado de IPv6 Source Guard da porta

Após habilitar a função de proteção de fonte IPv6 da porta, filtre os pacotes IPv6 pelo modo ip. Quando o endereço IPv6 de origem e o número de VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço IPv6 de origem e o número de VLAN nas entradas vinculadas do Source Guard IPv6 da porta, a porta encaminha o pacote. Se algum for diferente, solte-o.

Após habilitar a função de proteção de fonte IPv6 da porta, filtre o pacote IPv6 pelo modo ip-mac. Quando o endereço MAC de origem, o endereço IPv6 de origem e o número VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço MAC, o endereço IPv6 e o número VLAN na entrada vinculada do Source Guard da porta IPv6, a porta encaminha o pacote. Se algum for diferente, solte-o.

Após habilitar a função de proteção de fonte IPv6 da porta, filtre o pacote IPv6 pelo modo mac. Quando o endereço MAC de origem e o número da VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço MAC, o endereço IPv6 e o número da VLAN na entrada vinculada do Source Guard da porta IPv6, a porta encaminha o pacote. Se algum for diferente, solte-o.

Tabela 5 -4 Configure o tipo de pacote filtrado da porta IPv6 Source Guard

Depois de habilitar a função de proteção de fonte IPv6 da porta, as entradas vinculadas da proteção de fonte IPv6 da porta são gravadas no chip. O número de entradas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar entradas vinculadas ou habilitar a função de IPv6 Source Guard da porta na outra porta, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se algumas entradas vinculadas do Source Guard IPv6 não puderem ser gravadas no chip porque os recursos de entrada do chip não são suficientes, o sistema tentará automaticamente gravar as entradas vinculadas no chip novamente a cada 60 segundos até que todas as entradas vinculadas sejam gravadas no chip ou excluídas. Configure o tipo de pacote de filtro de IPv6 Source Guard da porta válido apenas para entrada dinâmica gerada pela espionagem DHCPv6

Configurar entradas vinculadas estáticas do IPv6 Source Guard da porta

Condição de configuração

Antes de configurar as entradas de limite estático da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

• Habilite a função de proteção de fonte IPv6 da porta

Configurar entradas vinculadas estáticas do IPv6 Source Guard da porta

As entradas vinculadas estáticas da porta IPv6 Source Guard são a base da filtragem dos pacotes IPv6 recebidos pela porta especificada.

Tabela 5 -5 Configure as entradas vinculadas estáticas da porta IPv6 Source Guard

Configurar a função de ligação de entrada estática da porta MAC

Condição de configuração

Antes de configurar a função de ligação de entrada estática da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

• Habilite a função de proteção de fonte IPv6 da porta

Configurar a função de ligação de entrada estática da porta MAC

Depois de configurar a função de ligação de entrada estática MAC da porta, obtenha o endereço mac correspondente, o número da vlan e o número da porta das entradas estáticas do IP Source Guard configuradas e as entradas dinâmicas na porta, e entregue a entrada MAC estática correspondente.

Tabela 5 -6 Configurar a função de ligação de entrada estática MAC

Configurar a função de proteção de origem do IPv6 global

Condição de configuração

Nenhum

Configurar a função de IPv6 Source Guard global

Para proteger a segurança do endereço IPv6 do usuário e impedir que outro usuário use seu próprio endereço IPv6, podemos configurar a função IPv6 Source Guard global para vincular o endereço IPv6 do usuário e o endereço MAC. As entradas vinculadas ao IP Source Guard globais do endereço IPv6 do usuário configurado e do endereço MAC são gravadas diretamente no chip, de modo a filtrar os pacotes IPv6 inválidos.

Tabela 5 -7 Configurar a função global de proteção de origem IPv6

As entradas vinculadas ao IPv6 Source Guard globais suportam no máximo 40. Após exceder 40, a configuração falha. As entradas vinculadas do IPv6 Source Guard globais configuradas são gravadas diretamente no chip. O número de entradas vinculadas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar as entradas vinculadas do IPv6 Source Guard globais, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se as funções IPv6 Source Guard da porta e IPv6 Source Guard global estiverem habilitadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas da porta IPv6 Source Guard e IPv6 Source Guard global ao mesmo tempo para que pode ser encaminhado. Caso contrário, é descartado.

Monitoramento e manutenção do IPv6 Source Guard

Tabela 5 -8 Monitoramento e manutenção do IPv6 Source Guard

Configurar a função de IPv6 Source Guard da porta com base em entradas dinâmicas de DHCPv6 snooping

Requisitos de rede

• PC1 e PC2 estão conectados à rede IPv6 via dispositivo.
• Configure a função global de DHCPv6 snooping.
• Configure a função de IPv6 Source Guard da porta para que o PC1 possa acessar a rede IPv6 normalmente e o PC2 não possa acessar a rede IPv6.

Topologia de rede

Figura 5 – 1 Rede de configuração da função de proteção de origem IPv6 da porta efetiva com base em entradas dinâmicas de espionagem DHCPv6

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configura o tipo de link da porta gigabitethernet 0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

• Passo 2:No dispositivo, habilite a função de DHCPv6 snooping global e configure giga bitthernet0/2 conectado ao servidor DHCP como a porta confiável.

Device(config)#ipv6 dhcp snooping enable
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#ipv6 dhcp snooping trust
Device(config-if-gigabitethernet0/2)#exit

• Passo 3:Configure o pool de endereços do servidor DHCPv6 como 2000::2/64. (omitido)
• Passo 4:No dispositivo, configure a função IPv6 Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função de IPv6 Source Guard baseada em porta.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ipv6 verify source 
Device(config-if-gigabitethernet0/1)#exit

• Passo 5:Confira o resultado.

#Visualize as informações de configuração do DHCPv6 Snooping.

Device#show ipv6 dhcp snooping 
        dhcpv6-snooping configuration information:
        dhcpv6-snooping status:enable
        dhcpv6-snooping entry aged time:300
        dhcpv6-snooping binding agent save delay time:1800
        dhcpv6-snooping binding agent save type :FLASH
        dhcpv6-snooping binding agent save file :dhcpv6sp_binding.db
        dhcpv6-snooping binding agent save pool time:30
        dhcpv6-snooping interface information :
        ------------------------------------------------------------- 
        interface            trust-status     max-learning-num option-policy    option18-status  option37-status  
        gi0/1                untrust          1024             keep             disable          disable
gi0/2                trust            1024             keep             disable          disable          
        gi0/3                untrust          1024             keep             disable          disable          
        gi0/4                untrust          1024             keep             disable          disable          
        gi0/5                untrust          1024             keep             disable          disable          
        ……

# Visualize as informações de configuração do IPv6 Source Guard.

Device#show ipv6 source guard
-----------------------------------------
IPv6 source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    Max Entry    
-------------------------------------------------------
gi0/1                    Enabled     	ip           Disabled     536          
gi0/2                    Disabled     	ip           Disabled     536          
gi0/3                    Disabled     	ip           Disabled     536          
gi0/4                    Disabled     	ip           Disabled     536          
gi0/5                    Disabled     	ip           Disabled     536          
……

Podemos ver que a função IPv6 Source Guard está habilitada na porta gigabitethernet0/1. Verifique se o tipo é ip. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em IP+VLAN.

# Exibe a entrada vinculada ao IPv6 Source Guard da porta.

Device#show ipv6 binding table 
----------------------------global Ipv6 and mac binding entry -----------------------------
 total :0
-----------------------------------------------------------------------------------------
------------------------------------------
IPv6 Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 0
     Static not write entries  : 0
     Dynamic binding entries   : 1
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   VLAN-ID   Type-Flag   Writing-Flag    L2-Flag    IP-Address             
-----------------------------------------------------------------------------------------
gi0/1          0001.0001.0001    2         dynamic      Write         Not Write    2000::2

#PC1 pode acessar a rede IPv6 normalmente e o PC2 não pode acessar a rede IPv6.

Configurar a função de IPv6 Source Guard da porta efetiva com base em entradas estáticas

Requisitos de rede

• PC1 e PC2 estão conectados à rede IPv6 via dispositivo.
• Configure a função de IPv6 Source Guard da porta com base em entradas estáticas, para que o PC1 possa acessar a rede IPv6 normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 5 – 2 Rede de configuração da função de proteção de origem IPv6 da porta efetiva com base em entradas estáticas

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configure o tipo de link da porta gigabitethernet0/1 como Access, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

• Passo 2:Configure a função de IPv6 Source Guard da porta no dispositivo.

# Habilite a função de proteção de fonte IPv6 da porta com base no modo de filtragem MAC+VLAN na porta gigabitethernet0/1 e configure o endereço IP como 1000::1 e a entrada vinculada da proteção de fonte IPv6 da porta da VLAN 2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ipv6 verify source 
Device(config-if-gigabitethernet0/1)#ipv6 source binding ip-address 1000::1 vlan 2  
Device(config-if-gigabitethernet0/1)#exit

• Passo 3:Confira o resultado.

# Visualize as informações de configuração do IPv6 Source Guard.

Device#show ipv6 source guard 
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    
-------------------------------------------------------------
gi0/1                    Enabled      	IP           Disabled     
gi0/2                    Disabled     	IP           Disabled     
gi0/3                    Disabled     	IP           Disabled     
gi0/4                    Disabled     	IP           Disabled
……

Podemos ver que a função IPv6 Source Guard está habilitada na porta gigabitethernet0/1. A entrada estática do IPv6 Source Guard entra em vigor de acordo com a entrada MAC+VLAN configurada, não relacionada com o valor Verify Type. Portanto, o exemplo acima tem efeito com base em MAC+VLAN.

# Exibe a entrada vinculada ao IPv6 Source Guard da porta.

Device #show ipv6 binding table
----------------------------global Ipv6 and mac binding entry -----------------------------
 total :0
-----------------------------------------------------------------------------------------
------------------------------------------
IPv6 Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 1
     Static not write entries  : 0
     Dynamic binding entries   : 0
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   VLAN-ID   Type-Flag   Writing-Flag    L2-Flag    IP-Address                          
-----------------------------------------------------------------------------------------
gi0/1              ---         2         Static      Write         Not Write   1000::1

#PC1 pode acessar a rede IPv6 normalmente e o PC2 não pode acessar a rede IPv6.

Ativar função ND Snooping

Condição de configuração

Nenhum

Ativar função ND Snooping

Tabela 6 -2 Ativar a função ND Snooping

Especificar a interface de confiança do ND Snooping

Condição de configuração

Nenhum

Especificar a interface de confiança do ND Snooping

Tabela 6 -3 Especificar a interface de confiança do ND Snooping

Configurar entrada de ligação estática do ND Snooping

Condição de configuração

Nenhum

Configurar entrada de ligação estática do ND Snooping

Tabela 6 -4 Configurar entrada de ligação estática do ND Snooping

Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Condição de configuração

Nenhum

Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Tabela 6 -5 Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Ativar a função de registro de detecção de ataque ND Snooping

Condição de configuração

Nenhum

Ativar a função de registro de detecção de ataque ND Snooping

Tabela 6 -6 Ativar a função de registro de detecção de ataque ND Snooping

Monitoramento e Manutenção de ND

Tabela 6 -7 Monitoramento e Manutenção de ND

Configurar a função básica do ND Snooping

Requisitos de rede

• O dispositivo 1 está conectado ao dispositivo de gateway 2 por meio de gigabitothernet0/3.
• O dispositivo 2 habilita o serviço RA (habilita a função de envio de pacotes RA).
• O dispositivo 1 habilita a função de espionagem ND. Quando um invasor envia pacotes NS/NA/RS/RA ilegais na rede, o Device1 descarta esses pacotes ND inválidos para garantir a comunicação entre o usuário válido e o gateway.

Topologia de rede

Figura 6 - 1 Rede de configuração das funções básicas do ND Snooping

Etapas de configuração

• Passo 1:Em Device1, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device1#configure terminal 
Device1(config)#vlan 2
Device1(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1-gigabitethernet0/3 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device1(config)#interface gigabitethernet 0/1-0/3
Device1(config-if-range)#switchport mode access   
Device1(config-if-range)#switchport access vlan 2
Device1(config-if-range)#exit

• Passo 2:Na interface L3 gigabitethernet0/2/1 do dispositivo de gateway Device2, configure o endereço IPv6.

Device2(config)#interface gigabitethernet 0/2/1
Device2 (config-if-gigabitethernet0/2/1)#ipv6 address 10::1/64
Device2 (config-if-gigabitethernet0/2/1)#exit

• Passo 3:No dispositivo de gateway Device2, habilite o serviço RA (habilite a função de envio de pacotes RA).

Device2(config)#interface gigabitethernet 0/2/1
Device2 (config-if-gigabitethernet0/2/1)#no ipv6 nd suppress-ra period
Device2 (config-if-gigabitethernet0/2/1)#no ipv6 nd suppress-ra response
Device2 (config-if-gigabitethernet0/2/1)#exit

• Passo 4:Em Device1, configure a função ND Snooping.

#Ative globalmente a função ND Snooping.

Device1(config)#nd snooping enable

#VLAN2 habilita a função ND Snooping.

Device1(config)#vlan 2
Device1(config-vlan2)#nd snooping enable
Device1(config-vlan2)#exit

#Configure a porta gigabitethernet0/3 como interface de confiança.

Device1(config)#interface gigabitethernet 0/3
Device1(config-if-gigabitethernet0/3)#nd snooping trusted
Device1(config-if-gigabitethernet0/3)#exit

• Passo 5:Confira o resultado.

#Veja que Device1 obtém as informações de prefixo enviadas pelo dispositivo de gateway Device2.

Device1#show nd snooping prefix 
      prefix                                  length     valid-time          preferred-time      
      -------------------------------------------------------------------------------------
      10::                                   64         2592000             604800              
                                    
      Total number: 1

#Após PC1 configurar o endereço IPv6 10::3 no intervalo de gerenciamento do prefixo 10::/64, visualize a entrada ND Snooping no dispositivo.

Device1#show nd snooping user-bind dynamic
ipv6-address       mac-address          vlan       interface              type        
10::3             0857.00da.4715         2          gi0/1                 dynamic     

No Device1, gere a entrada ND Snooping do IP, MAC, VLAN, acesse as informações da porta do PC1.

#Attacker simula o IP do PC1 para enviar pacotes NS, NA e RS ao gateway. O dispositivo recebe os pacotes NS, NA, RS do invasor, julga que é inconsistente com a entrada de espionagem de ND gravada, descarta-a e faz registros relevantes nas informações estatísticas de espionagem de ND.

Device1#show nd snooping statistics 
                                    
      Statistics for lpu 0 nd snooping:
                                    
      lladdrInvalid:              0
      dadPacketDeal:              0
      nsPacketPass:               0
                                          nsPacketDrop:               1
      naPacketPass:               0
                                          naPacketDrop:               1
                                          rsPacketDrop:               1
      rsPacketPass:               0
      raPacketPass:               0
      raPacketDrop:               0
      rdPacketDrop:               0
      rdPacketPass:               0
      sendDtPktFail:              0
      sendDtPktOk:                0

#Attacker simula o gateway para enviar o pacote RA para PC1. O dispositivo recebe o pacote RA do invasor, julga que o pacote RA é recebido do pacote não confiável, descarta-o e faz os registros relacionados nas informações estatísticas do ND Snooping.

Device1#show nd snooping statistics 
                                    
      Statistics for lpu 0 nd snooping:
                                    
      lladdrInvalid:              0
      dadPacketDeal:              0
      nsPacketPass:               0
      nsPacketDrop:               0
      naPacketPass:               0
      naPacketDrop:               0
      rsPacketDrop:               0
      rsPacketPass:               0
      raPacketPass:               0
                                          raPacketDrop:               1
      rdPacketDrop:               0
      rdPacketPass:               0
      sendDtPktFail:              0
      sendDtPktOk:                0

Visão geral das funções básicas do DHCP Snooping

O DHCP Snooping é um recurso de segurança do DHCP (Dynamic Host Configuration Protocol) e tem as duas funções a seguir:

1. Registre a relação correspondente do endereço MAC e endereço IP do cliente DHCP:

Considerando a segurança, o administrador da rede pode precisar registrar o endereço IP utilizado quando o usuário acessa a rede, confirmando a relação correspondente do endereço IP do host do usuário e o endereço IP obtido do servidor DHCP.

O DHCP Snooping escuta o pacote de solicitação DHCP e o pacote de resposta DHCP recebido pela porta confiável e registra o endereço MAC do cliente DHCP e o endereço IP obtido. O administrador pode visualizar as informações de endereço IP obtidas pelo cliente DHCP por meio da entrada vinculada registrada pelo DHCP Snooping.

1. Certifique-se de que o cliente obtenha o endereço IP do servidor válido

Se houver um servidor DHCP não autorizado na rede, o cliente DHCP pode obter o endereço IP errado, resultando em anormalidade de comunicação ou riscos de segurança. Para garantir que o cliente DHCP possa obter o endereço IP do servidor DHCP válido, a função DHCP Snooping permite configurar a porta como porta confiável ou porta não confiável:

• Porta de confiança é a porta conectada direta ou indiretamente ao servidor DHCP válido. A porta de confiança encaminha o pacote de resposta DHCP recebido normalmente, para garantir que o cliente DHCP possa obter o endereço IP correto.
• Porta não confiável é a porta não conectada direta ou indiretamente ao servidor DHCP válido. Se a porta não confiável receber o pacote de resposta DHCP enviado pelo servidor DHCP, descarte-o para evitar que o cliente DHCP obtenha o endereço IP errado.

Breve introdução da opção de DHCP snooping 82

O DHCP Snooping suporta a adição, encaminhamento e gerenciamento para o Option82. Option82 é uma opção de pacote DHCP. A opção é utilizada para registrar as informações de localização do cliente DHCP e o administrador pode localizar o cliente DHCP de acordo com a opção, de modo a realizar algum controle de segurança. Por exemplo, controle o número de endereços IP que podem ser distribuídos para uma porta ou VLAN. O modo de processamento de Option82 varia com o tipo de pacote DHCP:

1. Após o dispositivo receber o pacote de solicitação DHCP, processe o pacote de acordo com se o pacote contém a Option82, a política de processamento configurada pelo usuário e o formato de preenchimento e, em seguida, encaminhe o pacote processado para o servidor DHCP.

Figura 7 -1 Fluxo de processamento da Opção 82

1. Quando o dispositivo receber o pacote de resposta do servidor DHCP e se o pacote contiver a Option82, exclua a Option82 e encaminhe para o cliente DHCP; se o pacote não contiver o Option82, encaminhe diretamente para o cliente DHCP.

Configurar funções básicas de DHCP snooping

As funções básicas do DHCP Snooping incluem habilitar a função DHCP Snooping, configurar o status de confiança da porta e limitar a taxa dos pacotes DHCP.

Condição de configuração

Nenhum

Configurar função de DHCP snooping

Após habilitar a função DHCP Snooping, monitore os pacotes DHCP recebidos por todas as portas do dispositivo:

1. Para o pacote de solicitação recebido, gere a entrada vinculada correspondente de acordo com as informações no pacote
2. Para o pacote de resposta recebido do pacote de confiança, atualize o status e o tempo de concessão da entrada vinculada
3. Para o pacote de resposta recebido da porta não confiável, descarte-o diretamente

Tabela 7 -2 Configurar a função DHCP Snooping

Configurar o status de confiança da porta

Para evitar que o cliente DHCP obtenha o endereço do servidor DHCP inválido, podemos configurar a porta conectada direta ou indiretamente ao servidor válido como a porta confiável.

Depois que a porta for configurada como a porta confiável, permita o encaminhamento normal do pacote de resposta DHCP. Caso contrário, descarte o pacote de resposta DHCP.

Tabela 7 -3 Configurar o status de confiança da porta

A porta conectada ao servidor DHCP precisa ser configurada como a porta confiável. Caso contrário, o cliente DHCP não poderá obter o endereço. Depois que a porta for configurada como a porta confiável, não limite a taxa dos pacotes DHCP que passam pela porta. Depois de alterar o status da porta confiável para a porta não confiável, o limite superior da taxa de porta é o padrão 40.

Configurar limitação de taxa de DHCP snooping

A configuração da função de limitação de taxa DHCP Snooping pode limitar o número de pacotes DHCP processados a cada segundo, evitando que outros pacotes de protocolo não possam ser processados a tempo porque o sistema processa os pacotes DHCP por um longo tempo.

Quando o número de pacotes DHCP recebidos em um segundo excede a limitação de taxa, os pacotes DHCP subsequentes são descartados. Se os pacotes DHCP recebidos pela porta por 20 segundos sucessivos excederem a limitação de taxa, desative a porta para isolar a fonte de impacto do pacote.

Tabela 7 -4 Configurar a função de limitação de taxa de DHCP snooping

Depois de configurar o limite de taxa dos pacotes DHCP no modo de configuração do grupo de agregação, o limite de taxa de pacote DHCP de cada porta membro do grupo de agregação é o valor. A função de limitação de taxa de pacote DHCP só tem efeito para a porta não confiável e não tem efeito para a porta confiável. Depois que a porta for desabilitada automaticamente, podemos configurar Error-Disable para habilitar a porta automaticamente. Por padrão, a função de desativação automática da porta está habilitada; se os pacotes DHCP recebidos pela porta por 20s sucessivos excederem a limitação de taxa, mas não puderem desabilitar a porta automaticamente, precisamos visualizar a configuração de Error-Disable. Para a função Error-Disable, consulte o capítulo Error-Disable do manual de configuração.

Configurar a opção de DHCP snooping 82

A função DHCP Snooping suporta Option82. Option82 pode conter no máximo 255 subopções. O dispositivo Maipu suporta duas subopções, ou seja, Circuit ID e Remote ID.

Condição de configuração

Antes de configurar DHCP Snooping Option82, primeiro complete a seguinte tarefa:

• Habilite a função DHCP Snooping

Configurar a política de processamento de Option82

Depois que a porta é configurada com as informações de desabilitação, qualquer que seja o pacote de opções que a porta receba, ele será encaminhado como está.

Tabela 6 -5 Configurar a política de processamento de Option82

Configurar ID remoto

O conteúdo do Remote ID inclui conteúdo padrão e conteúdo não padrão. O formato de preenchimento do conteúdo padrão do Remote ID é o seguinte:

Figura 7 -2 O formato de preenchimento do conteúdo padrão do Remote ID

O conteúdo não padrão inclui cadeia de caracteres e nome de dispositivo personalizados e precisa ser configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento do conteúdo não padrão do Remote ID é o seguinte:

Figura 7 -3 O formato de preenchimento do conteúdo não padrão do Remote ID

Tabela 7 -5 Configurar o conteúdo do Remote ID

Configurar ID do Circuito

O conteúdo do Circuit ID inclui conteúdo padrão e conteúdo não padrão. O formato de preenchimento do conteúdo padrão do Circuit ID é o seguinte:

Figura 7 -4 O formato de preenchimento do conteúdo padrão do Circuit ID

O conteúdo não padrão precisa ser configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento do conteúdo não padrão do Circuit ID é o seguinte:

Figura 7 -5 O formato de preenchimento do conteúdo não padrão do Circuit ID

Tabela 7 -6 Configure o conteúdo do Circuit ID

Configurar Formato de Preenchimento da Opção 82

O formato de preenchimento do Option82 inclui o formato padrão e o formato de configuração do usuário.

Quando o formato de preenchimento é o formato padrão, o conteúdo de Remote ID e Circuit ID são ambos o conteúdo padrão; somente após o formato de preenchimento ser configurado como o formato de configuração do usuário, o conteúdo não padrão de Remote ID e Circuit ID pode entrar em vigor.

Tabela 7 -7 Configure o formato de preenchimento da Opção 82

Configurar a Política de Processamento de Pacotes da Opção 82

Configure a política de processamento de pacotes de Option82. Podemos adotar diferentes políticas de encaminhamento para o pacote de solicitação DHCP contendo Option82.

Tabela 7 -8 Configurar a política de processamento de pacotes de Option82

Configurar o armazenamento de entradas vinculadas de espionagem de DHCP

A função DHCP Snooping suporta o armazenamento automático ou manual no caminho especificado das entradas vinculadas. Se o dispositivo reiniciar, as entradas vinculadas armazenadas podem ser restauradas, evitando afetar a comunicação porque as entradas vinculadas são perdidas.

O caminho especificado pode ser dispositivo FLASH, servidor FTP ou servidor TFTP.

Condição de configuração

Antes de configurar o caminho de armazenamento das entradas vinculadas como o servidor FTP/TFTP, primeiro conclua a seguinte tarefa:

1. Servidor FTP/TFTP, ative a função do servidor FTP/TFTP normalmente
2. O dispositivo pode executar ping no endereço IP do servidor FTP/TFTP.

Configurar o armazenamento automático de entradas vinculadas de DHCP snooping

As entradas vinculadas do DHCP Snooping podem ser configuradas como o modo de armazenamento automático, ou seja, o sistema armazena automaticamente as entradas vinculadas regularmente.

O sistema atualiza periodicamente as entradas vinculadas, detectando se as entradas vinculadas são atualizadas. Se sim, precisamos armazenar as entradas atualizadas no caminho especificado após a chegada do atraso de armazenamento. O atraso de armazenamento pode prevenir e controlar o armazenamento frequente do sistema porque as entradas são atualizadas continuamente.

Tabela 7 -9 Configurar o armazenamento automático de entradas vinculadas ao DHCP Snooping

Configurar o armazenamento manual de entradas vinculadas de DHCP snooping

As entradas vinculadas do DHCP Snooping podem ser configuradas como o modo de armazenamento manual, ou seja, execute o comando store para concluir o armazenamento das entradas vinculadas.

Tabela 7 -10 Configure o armazenamento manual das entradas vinculadas do DHCP Snooping

Monitoramento e manutenção de DHCP snooping

Tabela 7 -11 Monitoramento e manutenção do DHCP Snooping

Configurar funções básicas de DHCP snooping

Requisitos de rede

• DHCP Server1 é o servidor DHCP válido; DHCP Server2 é o servidor DHCP inválido.
• Depois de configurar a função DHCP Snooping, o PC1 e o PC2 podem obter o endereço do DHCP Server1.

Topologia de rede

Figura 7 -6 Rede de configuração das funções básicas do DHCP Snooping

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta dez gigabitethernet 0/1-ten gigabitethernet 0/3 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access   
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2:Configure o pool de endereços do DHCP Server1 como 192.168.1.100-192.168.1.199 e o pool de endereços do DHCP Server2 como 192.168.2.100-192.168.2.199. (Omitido)
• Passo 3:Configure a função DHCP Snooping no dispositivo.

#Ative a função DHCP Snooping.

Device(config)#dhcp-snooping

a porta dez gigabitethernet 0/2 como porta de confiança.

Device(config)#interface tengigabitethernet 0/2
Device(config-if-tengigabitethernet0/2)#dhcp-snooping trust
Device(config-if-tengigabitethernet0/2)#exit

• Passo 4:Confira o resultado.

#Depois que o PC1 e o PC2 obtiverem o endereço com sucesso, visualize as entradas do DHCP Snooping no dispositivo.

Device#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:2
        database entries delete time :300
        ---------------------------------
        macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status     
        0013.0100.0002   192.168.1.101    1                2      te0/1               107990           active    
        ------
        0013.0100.0001   192.168.1.100    0                2      te0/1               107989           active    
        ------
Total valid DHCP Client binding table for this criterion: 2

PC1 e PC2 podem obter endereços do DHCP Server1.

Introdução às funções básicas de DHCPv6 snooping

A DHCPv6 snooping é um recurso de segurança do DHCPv6 (Dynamic Host Configuration Protocol for IPv6) e tem as duas funções a seguir:

1. Registre a relação correspondente do endereço MAC e do endereço IPv6 do cliente DHCPv6:

Considerando a segurança, o administrador da rede pode precisar registrar o endereço IPv6 utilizado quando o usuário acessa a rede, confirmando a relação correspondente do endereço IPv6 do host do usuário e o endereço IPv6 obtido do servidor DHCPv6.

A DHCPv6 snooping escuta o pacote de solicitação DHCPv6 e o pacote de resposta DHCPv6 recebido pela porta confiável e registra o endereço MAC do cliente DHCPv6 e o endereço IPv6 obtido. O administrador pode visualizar as informações de endereço IPv6 obtidas pelo cliente DHCPv6 por meio da entrada vinculada registrada pela DHCPv6 snooping.

1. Certifique-se de que o cliente obtenha o endereço IPv6 do servidor válido

Se houver um servidor DHCPv6 não autorizado na rede, o cliente DHCPv6 poderá obter o endereço IPv6 incorreto, resultando em anormalidade de comunicação ou riscos de segurança. Para garantir que o cliente DHCPv6 possa obter o endereço IPv6 do servidor DHCPv6 válido, a função de DHCPv6 snooping permite configurar a porta como porta confiável ou porta não confiável:

• Porta de confiança é a porta conectada direta ou indiretamente ao servidor DHCPv6 válido. A porta de confiança encaminha o pacote de resposta DHCPv6 recebido normalmente, para garantir que o cliente DHCPv6 possa obter o endereço IP correto.
• Porta não confiável é a porta não conectada direta ou indiretamente ao servidor DHCPv6 válido. Se a porta não confiável receber o pacote de resposta DHCPv6 enviado pelo servidor DHCPv6, descarte-o para evitar que o cliente DHCPv6 obtenha o endereço IPv6 errado.

Breve introdução da opção de DHCPv6 snooping 18/37

Para fazer com que o servidor DHCPv6 obtenha as informações de localização física do cliente DHCPv6, você pode adicionar Option18 e Option37 ao pacote de solicitação DHCPv6.

Quando o dispositivo detecta o pacote DHCPv6, ele pode adicionar algumas informações do dispositivo do usuário ao pacote de solicitação DHCPv6 pelo modo de opção DHCPv6. A opção 18 registra as informações de interface do cliente e é chamada de opção de ID de interface (ID de interface). A opção37 registra as informações do endereço MAC do cliente e é chamada de opção de ID remoto (ID remoto).

Quando o Option18/37 estiver habilitado e após o dispositivo receber o pacote de solicitação DHCPv6, forneça o seguinte processamento de acordo com a política de processamento e o modo de preenchimento do Option18/37 configurado pelo usuário.

Tabela 8 -1 A política de processamento do pacote de solicitação DHCPv6

Configurar funções básicas de DHCPv6 snooping

As funções básicas de DHCPv6 snooping incluem habilitar a função de DHCPv6 snooping, configurar o status de confiança da porta e configurar o número de entradas vinculadas de espionagem DHCPv6 da porta.

Condição de configuração

Nenhum

Ativar DHCPv6 snooping

Após habilitar a função de DHCPv6 snooping, monitore os pacotes DHCPv6 recebidos por todas as portas do dispositivo.

• Para o pacote de solicitação DHCPv6 recebido, gere a entrada vinculada correspondente de acordo com as informações no pacote
• Para o pacote de resposta recebido pela porta confiável, atualize o status e o tempo de concessão das entradas vinculadas correspondentes
• Para o pacote de resposta recebido pela porta não confiável, descarte-o diretamente

Tabela 8 -3 Ativar DHCPv6 snooping

Configurar o status de confiança da porta

Para evitar que o cliente DHCPv6 obtenha o endereço do servidor DHCPv6 inválido, você pode configurar a porta conectada direta ou indiretamente ao servidor válido como a porta confiável.

Depois que a porta for configurada como a porta confiável, permita que o pacote de resposta DHCPv6 seja encaminhado normalmente. Caso contrário, descarte o pacote de resposta DHCPv6.

Tabela 8 -4 Configurar o status de confiança da porta

A porta conectada ao servidor DHCPv6 precisa ser configurada como a porta confiável. Caso contrário, o cliente DHCPv6 não poderá obter o endereço.

Configurar o número de entradas vinculadas de espionagem da porta DHCPv6

A configuração do número de entradas vinculadas de espionagem DHCPv6 pode limitar o número máximo de entradas dinâmicas que podem ser aprendidas pela porta, evitando ocupar muitos recursos do sistema.

Tabela 8 -5 Configure o número das entradas vinculadas de DHCPv6 snooping da porta

Configurar a opção de DHCPv6 snooping 18/37

A função de DHCPv6 snooping suporta Option18 e Option37. Option18 e Option37 suportam o formato de preenchimento padrão e o formato de preenchimento estendido.

Condição de configuração

Antes de configurar o snooping DHCP Option18 e Option37, primeiro conclua a seguinte tarefa:

• Ative a função de DHCPv6 snooping

Configurar Opção 18

O conteúdo do ID da interface inclui o formato de preenchimento padrão e o formato de preenchimento estendido. O formato de preenchimento de conteúdo padrão do ID da interface é o seguinte:

Figura 8 -1 O formato de preenchimento de conteúdo padrão da Interface ID

O formato de preenchimento estendido precisa que o formato de preenchimento seja configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento estendido do ID da interface é o seguinte:

Figura 8 -2 O formato de preenchimento estendido de Interface ID

Tabela 8 -6 Configurar Opção 18

Configurar Opção 37

O conteúdo do Remote ID inclui o formato de preenchimento padrão e o formato de preenchimento estendido. O formato de preenchimento de conteúdo padrão do Remote ID é o seguinte:

Figura 8 -3 O formato de preenchimento de conteúdo padrão do Remote ID

O formato de preenchimento estendido precisa que o formato de preenchimento seja configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento estendido do Remote ID é o seguinte:

Figura 8 -4 O formato de preenchimento de conteúdo não padrão do Remote ID

Tabela 8 -7 Configurar Opção 37

Configurar a política de processamento do pacote Option18/37

Após configurar a política de processamento do pacote Option18/37, você pode adotar diferentes políticas de processamento para o pacote de solicitação DHCPv6 com Option18/37.

Tabela 8 -8 Configurar a política de processamento do pacote Option18/37

Configurar tempo de atraso de exclusão de entrada inválida de DHCPv6 snooping

Condição de configuração

Antes de configurar o tempo de atraso para excluir a entrada inválida de DHCPv6 snooping, primeiro conclua a seguinte tarefa:

• Ative a função de DHCPv6 snooping

Configurar tempo de atraso de exclusão de entrada inválida de DHCPv6 snooping

Após excluir o relacionamento de ligação, a entrada vinculada é atualizada para inválida. A entrada inválida não é excluída imediatamente, mas é excluída após exceder o tempo de atraso. Durante o período, caso o cliente renove a concessão, a entrada vinculada pode ser ativada, mas não é necessário redefinir a entrada vinculada.

Tabela 8 -9 Configure o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping

Configurar o armazenamento de entradas vinculadas de espionagem DHCPv6

A função de DHCPv6 snooping suporta o armazenamento automático ou manual no dispositivo FLASH. Se o dispositivo reiniciar, as entradas vinculadas armazenadas podem ser restauradas, evitando afetar a comunicação porque as entradas vinculadas são perdidas.

Condição de configuração

Antes de configurar o armazenamento das entradas vinculadas de DHCPv6 snooping, primeiro conclua a seguinte tarefa:

• Ative a função de DHCPv6 snooping

Configurar o armazenamento de entradas vinculadas de espionagem DHCPv6

O sistema atualiza periodicamente as entradas vinculadas de espionagem do DHCPv6, detectando se as entradas vinculadas são atualizadas. Se sim, precisamos armazenar as entradas atualizadas no caminho especificado após a chegada do atraso de armazenamento. Enquanto isso, você também pode armazenar as entradas vinculadas ao dispositivo FLASH imediatamente.

Tabela 8 -10 Configurar o armazenamento das entradas vinculadas de DHCPv6 snooping

Monitoramento e manutenção de DHCPv6 snooping

Tabela 8 -11 Monitoramento e manutenção de espionagem DHCPv6

Configurar funções básicas de DHCPv6 snooping

Requisitos de rede

• DHCPv6 Server1 é o servidor DHCPv6 válido; DHCPv6 Server2 é o servidor DHCPv6 inválido.
• Depois de configurar a função de DHCPv6 snooping, PC1 e PC2 podem obter o endereço do DHCPv6 Server1.

Topologia de rede

Figura 8 -5 Rede de configuração das funções básicas de DHCPv6 snooping

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configura o tipo de link da porta tengigabitethernet0/1-tengigabitethernet0/3 como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access   
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit

• Passo 2:Configure o pool de endereços do DHCPv6 Server1 como 1000::2/64 e o pool de endereços do DHCPv6 Server2 como 2000::2/64. (Omitido)
• Passo 3:Configure a função de DHCPv6 snooping no dispositivo.

# Habilite a função de DHCPv6 snooping.

Device(config)#ipv6 dhcp snooping enable

# Configure a porta tengigabitethernet0/2 como porta confiável.

Device(config)#interface tengigabitethernet 0/2
Device(config-if-tengigabitethernet0/2)#ipv6 dhcp snooping trust
Device(config-if-tengigabitethernet0/2)#exit

• Passo 4:Confira o resultado.

# Após PC1 e PC2 obterem o endereço com sucesso, visualize as entradas de DHCPv6 snooping no dispositivo.

Device#show ipv6 dhcp snooping database 
  Interface-Name       MAC-Address      VLAN-ID  ValidTime  AgedTime   IP-Address                                      
  te0/1               0001.0001.0008    2         120         0          1000::2                                       
  te0/1               0001.0001.0007    2         120         0          1000::3 

PC1 e PC2 podem obter endereços do DHCPv6 Server1.

Configurar a função de inspeção ARP dinâmica da porta

Condição de configuração

Antes de configurar a função de Inspeção ARP Dinâmica da porta, primeiro conclua a seguinte tarefa:

• Configure a entrada de ligação do IP Source Guard da porta

Configurar Inspeção ARP Dinâmica de Porta

Após habilitar a função DAI da porta, o sistema verifica a validade do pacote ARP recebido pela porta de acordo com a entrada de ligação do IP Source Guard. O pacote inválido é descartado e registrado nos logs.

O conteúdo registrado nos logs inclui VLAN ID, porta de recebimento, endereço IP de envio, endereço IP de destino, endereço MAC de envio, endereço MAC de destino e o número dos mesmos pacotes ARP inválidos. O usuário pode analisar ainda mais de acordo com as informações de log gravadas, como localizar o host que inicia o pacote ARP.

Por padrão, as informações de log são emitidas periodicamente. Podemos controlar a gravação, saída e envelhecimento do pacote configurando o intervalo de saída do log. O intervalo de saída do log serve como base dos seguintes parâmetros de log:

• Período de atualização do log: usado para avaliar se os logs precisam ser gerados e antigos. Se o intervalo de saída do log configurado for menor que 5s, o período de atualização do log será igual a 1s. Caso contrário, o período de atualização do log é igual a 1/5 do intervalo de saída do log.
• Tempo de idade do log: Após o tempo limite de idade, os logs são excluídos. O tempo de idade do log é o intervalo de saída do log.
• Token de log: no período de atualização de log, o número máximo de logs permitidos para gravação. O número de tokens de log é 15 múltiplos do período de atualização do log.

Após habilitar a função port DAI, podemos configurar também a função port ARP rate limit, ou seja, limitar o número de pacotes ARP que são processados a cada segundo, evitando que os demais pacotes do protocolo não possam ser processados a tempo porque o sistema processa muitos pacotes de pacotes ARP por um longo tempo.

A função de limitação de taxa de porta ARP é limitar o número de pacotes ARP que são processados a cada segundo, evitando que os outros pacotes de protocolo não possam ser processados a tempo porque o sistema processa muitos pacotes ARP por um longo tempo. Depois que o número de pacotes ARP recebidos em um segundo excede o limite de taxa, os pacotes ARP recebidos subsequentes são descartados. Se os pacotes ARP recebidos pela porta em 20 segundos sucessivos excederem a taxa, desabilite a porta para isolar a fonte de impacto do pacote.

Tabela 9 -2 Configurar a função de inspeção ARP dinâmica da porta

Depois que a função DAI da porta é habilitada, todos os pacotes ARP recebidos pela porta (broadcast ARP e unicast ARP) são redirecionados para a CPU para detecção, encaminhamento de software, gravação de log e assim por diante. Quando o número de pacotes ARP é grande, eles consomem seriamente os recursos da CPU, portanto, quando o dispositivo se comunica normalmente, não é sugerido habilitar a função DAI da porta. Quando há dúvida de que há ataque de falsificação de ARP na rede, é necessário habilitar a função DAI da porta para detectar e localizar. Em uma porta, a função DAI da porta não pode ser usada com a função de Port Security ao mesmo tempo. Depois de configurar o limite de taxa da porta que processa os pacotes ARP no modo de configuração do grupo de agregação, o limite de taxa de pacote ARP de cada porta membro do grupo de agregação é o valor. Se os pacotes ARP recebidos pela porta em 20s sucessivos ultrapassarem o limite superior, mas a porta não for desabilitada automaticamente, é necessário consultar o capítulo Error-Disable do manual de configuração.

Configurar a função de inspeção ARP dinâmica global

Condição de configuração

Antes de configurar a função global Dynamic ARP Inspection, primeiro complete a seguinte tarefa:

• Configurar a entrada vinculada do IP Source Guard global

Configurar a função de inspeção ARP dinâmica global

Após habilitar a função DAI global, o sistema realizará a verificação de validade do pacote ARP recebido de acordo com a entrada vinculada do IP Source Guard global. Se for o pacote inválido, descarte-o diretamente e não registre o log.

Tabela 9 -3 Configure a função global Dynamic ARP Inspection

Configurar inspeção dinâmica de ataque ARP

Condição de configuração

Nenhum

Configurar inspeção dinâmica de ataque ARP

Depois que a detecção dinâmica de ataque ARP for habilitada, o sistema não realizará a inspeção de validação para o pacote ARP recebido, mas apenas registrará o log.

Mesa 9 -4 Configurar a inspeção dinâmica de ataque ARP

Monitoramento e Manutenção da Inspeção ARP Dinâmica

Tabela 9 -5 Monitoramento e manutenção de inspeção ARP dinâmica

Configurar função básica DAI

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo.
• Em Device, configure a função DAI da porta, evitando o ataque ARP e spoofing.

Topologia de rede

Figura 9 -1 Rede de configuração das funções básicas da DAI

Etapas de configuração

• Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta tengigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#switchport mode access   
Device(config-if-tengigabitethernet0/1)#switchport access vlan 2
Device(config-if-tengigabitethernet0/1)#exit

• Passo 2:Configure a função DAI da porta no dispositivo.

#Ative a função DAI da porta na porta tengigabitethernet0/1 e configure o limite superior da porta tengigabitethernet0/1 processando pacotes ARP como 30pps.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#ip arp inspection 
Device(config-if-tengigabitethernet0/1)#ip arp inspection rate-limit 30
Device(config-if-tengigabitethernet0/1)#exit

• Passo 3:Em Dispositivo, configure a entrada de ligação.

#Na porta tengigabitethernet0/1, configure o endereço MAC como 0012.0100.0001, o endereço IP como 192.168.1.2 e a entrada de ligação do IP Source Guard da porta da VLAN2.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#ip source binding ip-address 192.168.1.2 mac-address 0012.0100.0001 vlan 2
Device(config-if-tengigabitethernet0/1)#exit

• Passo 4:Confira o resultado.

#Consulte as informações de configuração relacionadas à DAI.

Device#show ip arp inspection 
        Dynamic ARP Inspection information:
        Dynamic ARP Inspection log buffer size: 30
        Dynamic ARP Inspection log Interval:    20
        Dynamic ARP Inspection log Level:       6
        Dynamic ARP Inspection interface information :
        ------------------------------------------- 
        interface            status     rate-limit(pps)  attack
        te0/1                enable     30               OFF
        te0/2                disable    15               OFF
                            ……

#Quando a taxa de recebimento de pacotes ARP pela porta tengigabitothernet0/1 exceder 30pps, o dispositivo descartará os pacotes que excederem a taxa e emitirá a seguinte mensagem de prompt.

Jan  1 02:21:06: The rate on interface tengigabitethernet0/1 too fast ,the arp packet drop!

#Quando a taxa de recebimento de pacotes ARP pela porta tengigabitothernet0/1 exceder 30pps e durar 20 segundos, o dispositivo fechará a porta tengigabitothernet0/1 e emitirá as seguintes informações de prompt.

Jan  1 02:21:26: %LINK-INTERFACE_DOWN-4: interface tengigabitethernet0/1, changed state to down
Jan  1 02:21:26: The rate of arp packet is too fast,dynamic arp inspection shut down the tengigabitethernet0/1 !

#Quando os pacotes ARP recebidos pela porta tengigabitothernet0/1 são inconsistentes com a entrada de ligação, o dispositivo registra as informações ilegais no seguinte formato no log DAI e as envia regularmente.

Jan  1 07:19:49:  SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: tengigabitethernet0/1 record packet :32 packet(s) 

#Visualize o registro DAI.

Device#show ip arp inspection log-information 
LogCountInBuffer:1
                                    
 SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: tengigabitethernet0/1 record packet :0 packet(s)

DAI Combinando com DHCP Snooping

Requisitos de rede

• PC1 e PC2 estão conectados à rede IP via dispositivo; PC2 é o cliente DHCP; Device2 é o relé DHCP.
• O Device1 configura a função DHCP Snooping e porta DAI, percebendo que o PC2 pode acessar a rede IP normalmente e o PC1 não pode acessar a rede IP.

Topologia de rede

Figura 9 – 1 Rede de combinação de DAI com DHCP Snooping

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e porta no Device1.

#Criar VLAN3.

Device1#configure terminal 
Device1(config)#vlan 3
Device1(config-vlan3)#exit

#Configure o tipo de link de porta tengigabitethernet 0/1 e tengigabitethernet 0/2 como acesso, permitindo a passagem dos serviços da VLAN3.

Device1(config)#interface tengigabitethernet 0/1-0/2
Device1(config-if-range)#switchport access vlan 3
Device1(config-if-range)#exit

• Passo 2:Configure o tipo de link de VLAN e porta no Device2.

#Cria VLAN2 e VLAN3.

Device2#configure terminal
Device2(config)#vlan 2-3

#Configure o tipo de link da porta tengigabitethernet 0/1 e tengigabitethernet 0/2 como acesso; a porta tengigabitethernet 0/1 permite a passagem dos serviços da VLAN2; a porta tengigabitethernet 0/2 permite a passagem dos serviços da VLAN3.

Device2(config)#interface tengigabitethernet 0/1
Device2(config-if-tengigabitethernet0/1)#switchport mode access
Device2(config-if-tengigabitethernet0/1)#switchport access vlan 2
Device2(config-if-tengigabitethernet0/1)#exit
Device2(config)#interface tengigabitethernet 0/2
Device2(config-if-tengigabitethernet0/2)#switchport mode access 
Device2(config-if-tengigabitethernet0/2)#switchport access vlan 3
Device2(config-if-tengigabitethernet0/2)#exit

• Passo 3:Configure a interface VLAN e o endereço IP em Device1 e Device2. (Omitido)
• Passo 4:Configure a função DHCP Snooping no Device1.

#Ative a função DHCP Snooping e configure a porta tengigabitethernet0/2 como porta confiável.

Device1(config)#dhcp-snooping 
Device1(config)#interface tengigabitethernet 0/2
Device1(config-if-tengigabitethernet0/2)#dhcp-snooping trust
Device1(config-if-tengigabitethernet0/2)#exit

• Passo 5:Configure a função DAI da porta no Device1.

#Ative a função DAI da porta na porta tengigabitethernet0/1.

Device1(config)#interface tengigabitethernet 0/1
Device1(config-if-tengigabitethernet0/1)#ip arp inspection
Device1(config-if-tengigabitethernet0/1)#exit

• Passo 6:Configure o endereço IP do servidor de retransmissão DHCP no Device2.

#Configure o endereço IP do servidor de retransmissão DHCP como 198.168.2.1.

Device2(config-if-vlan3)ip dhcp relay
Device2(config-if-vlan3)ip dhcp relay server-address 192.168.2.1

• Passo 7:Confira o resultado.

#Depois que o PC2 obtiver o endereço com sucesso; veja as entradas dinâmicas do DHCP Snooping no Device1.

Device1#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:1
        database entries delete time :300
        ---------------------------------
                            macAddr          ipAddr     transtion-id     vlan   interface   leaseTime(s)     status
        0013.0100.0001   192.168.1.100    2                2      te0/1               107990           active    
                            ------

# O PC2 pode acessar a Rede IP normalmente e o PC1 não pode acessar a Rede IP.

Configurar a função de proteção do host

Condição de configuração

Nenhum

Configurar grupo de guarda de host

O grupo de guarda de host compreende uma série de regras de grupo de guarda de host. Podemos configurar os endereços IP do gateway e servidor importante na rede conforme as regras no grupo de guarda de host.

Tabela 10 -2 Configurar o grupo de guarda do host

Cada grupo de guarda de host suporta no máximo 128 regras de grupo de guarda de host.

Configurar aplicativo do grupo de guarda de host

Aplique o grupo de guarda do host à porta. Podemos monitorar os pacotes ARP recebidos, realizando a proteção para a tabela ARP.

Tabela 10 -3 Configurar o aplicativo do host guard group

Monitoramento e manutenção do Host Guard

Tabela 10 -4 Monitoramento e manutenção do Host Guard

Configurar o domínio AAA

Domínio : o gerenciamento de usuários NAS é baseado no domínio ISP (Internet Service Provider), e cada usuário pertence a um domínio ISP. Em geral, o domínio ISP ao qual o usuário pertence é determinado pelo nome de usuário fornecido quando o usuário efetua login. Há um domínio do sistema por padrão. No domínio, você pode configurar o método de autenticação, autorização e contabilidade de cada usuário de acesso.

A solução do usuário baseado em domínio e gerenciamento de AAA é descrita da seguinte forma:

O gerenciamento de dispositivos NAS para usuários é baseado no domínio ISP. Geralmente, o domínio ISP ao qual o usuário pertence é determinado pelo nome de usuário fornecido quando o usuário efetua login.

"Inserir nome de usuário "= "Nome de usuário entendido pelo dispositivo"+ "Nome de domínio"

Ao autenticar usuários, os dispositivos determinam seus domínios na seguinte ordem e, em seguida, executam políticas AAA nos domínios:

1. (Opcional) Faça login/acesse o módulo para configurar o domínio de autenticação designado;
2. Domínio ISP especificado no nome de usuário;
3. O domínio ISP padrão do sistema

Condição de configuração

Nenhum

Configurar o domínio ISP

Tabela 11 -2 Configurar o domínio AAA

Configure a função de autenticação no domínio AAA

AAA fornece uma série de métodos de autenticação para garantir a segurança de dispositivos e serviços de rede. Por exemplo, autenticar o login do usuário para evitar que usuários ilegais operem dispositivos; autenticar usuários no modo privilegiado para restringir as autoridades de uso dos usuários para o dispositivo; autenticar conexões de sessão PPP para restringir a configuração das conexões ilegais.

Condição de configuração

Nenhum

Configurar o método de autenticação no domínio ISP

O AAA pode autenticar um usuário quando ele tenta fazer login em um domínio ISP específico. Os usuários que falham na autenticação não podem fazer login no domínio ISP especificado.

Tabela 11 -3 Configurar a lista de métodos de autenticação no domínio ISP

Configure a função de autorização no domínio AAA

Após a autenticação bem-sucedida, a função de autorização do AAA pode controlar os direitos dos usuários administradores para recursos do dispositivo e acesso para recursos de rede, restringir administradores a executar comandos não autorizados e restringir o acesso de usuários a recursos de rede não autorizados.

Condição de configuração

Ao configurar a autorização de linha de comando no domínio, primeiro configure a autorização de habilitação da linha de comando para que a autorização de linha de comando configurada no domínio possa ter efeito.

Configurar o método de autorização no domínio ISP

Quando um usuário executa um item de autorização em um domínio ISP específico, o AAA pode autorizar o usuário, conceder ao usuário certas autoridades e proibir o usuário não autorizado de executar o item de autorização no domínio.

Tabela 11 -4 Configurar a lista de métodos de autorização no domínio ISP

Os comandos de autorização AAA e os comandos config-commands de autorização aaa são configurados em nenhuma sequência.

Configure a função de contabilidade no domínio AAA

Os métodos personalizados podem ser usados para medir o comando, a sessão de login, o serviço de rede e os eventos do sistema no dispositivo. Os resultados estatísticos podem ser usados como base para cobrança dos usuários.

Condição de configuração

Nenhum

Configurar o método de contabilidade no domínio ISP

Quando um usuário efetua login com sucesso em um domínio ISP, o AAA pode contar o usuário, incluindo a hora de início do login, a hora de término do login, os comandos inseridos e assim por diante.

Tabela 11 -5 Configurar o método de contabilidade no domínio ISP

Digite o Método de Autenticação do Modo Privilegiado

Depois que o usuário fizer login com sucesso no dispositivo, o AAA poderá autenticar o usuário que está entrando no modo privilegiado digitando o comando enable e proibir o usuário de entrar no modo privilegiado se a autenticação falhar.

Condição de configuração

Nenhum

Configurar o método de autenticação do modo privilegiado

Tabela 11 -6 Configure o método de autenticação do modo privilegiado

Ao usar o método de autenticação RADIUS, a senha do nome de usuário no formato $enabLEVEL$ é usada como senha de autenticação, onde LEVEL representa o nível de usuário inserido pelo usuário atual e o intervalo de valores é 0-15, e o o nível mais alto é 15.

Ativar autorização de comando

Condição de configuração

Nenhum

Ativar autorização de comando

O dispositivo possui comandos de 0 a 15 níveis. A autorização de comando é determinar o nível de comandos usados pelos usuários pelo método de autorização e restringir os usuários a usar os comandos acima do nível atual.

Tabela 11 -7 Habilitar a autorização do comando no modo global

Ativar autorização do console

Para executar a restrição de acesso para a porta do console, você pode habilitar a autorização da porta do console e precisa habilitar a função de autorização do comando. E então, o dispositivo autorizará os comandos executados pela porta do console.

Tabela 11 -8 Habilitar a autorização do console

Configurar a função de estatísticas de eventos do sistema

Os usuários podem enviar eventos, como inicialização e reinicialização do sistema, ao servidor para obter estatísticas, configurando o método de estatísticas de eventos do sistema.

Condição de configuração

Nenhum

Configurar o método de estatísticas de eventos do sistema

Tabela 11 -9 Configurar a lista de métodos de estatísticas de eventos do sistema

As estatísticas de eventos do sistema suportam apenas o protocolo TACACS, mas não suportam o protocolo RADIUS.

Configurar os atributos de contabilidade

Condição de configuração

Nenhum

Desativar contabilidade de nome de usuário nulo

O usuário pode desabilitar a contabilidade de nome de usuário nulo AAA configurando o comando aaa contabilidade suprimir nome de usuário nulo . Por padrão, habilite a contabilidade de nome de usuário nulo AAA.

Tabela 11 -10 Desabilitar a contabilidade de nome de usuário nulo

Enviar pacote de atualização de contabilidade

O usuário pode configurar o modo de envio do pacote de atualização contábil, incluindo principalmente envio em tempo real e envio periódico.

Tabela 11 -11 Envie o pacote de atualização de contabilidade

Configurar o modo de processamento de envio de falha de contabilidade

Tabela 11 -12 Enviar o modo de processamento de envio de falha de contabilidade

Configurar o esquema RADIUS

Para configurar o esquema RADIUS, você precisa configurar os principais parâmetros do servidor.

Condição de configuração

Nenhum

Configurar o servidor RADIUS

Quando o AAA precisa usar o método RADIUS para autenticação, autorização e contabilidade, é necessário configurar os parâmetros do servidor RADIUS, incluindo endereço IP do servidor, porta de autenticação/autorização, porta de contabilidade e informações de chave compartilhada.

Antes de entrar no servidor RADIUS, precisamos configurar o grupo de servidores RADIUS. Referencie o nome do grupo de servidores ao configurar a lista de métodos, e podemos usar o grupo de servidores RADIUS para autenticar, autorizar e contar os usuários.

Tabela 11 -13 Configurar o servidor RADIUS

Os dispositivos selecionam a ordem em que os servidores RADIUS são usados de acordo com o valor de prioridade configurado. O tempo morto significa que o dispositivo marca os servidores RADIUS que não respondem às solicitações de autenticação como indisponíveis e nenhuma solicitação é enviada a esses servidores durante o tempo morto. As chaves de compartilhamento configuradas no dispositivo e no servidor RADIUS devem ser consistentes.

Configurar os atributos RADIUS

Tabela 11 -14 Configurar os atributos RADIUS

Configure o endereço de origem do envio do pacote RADIUS

Tabela 11 -15 Configure o endereço de origem de envio do pacote RADIUS

Configurar a função de contabilidade do RADIUS

A função account-on é usada principalmente para designar todos os usuários online no servidor RADIUS quando o processo AAA é ativado pela primeira vez. Por padrão, a função de contabilização está desabilitada; quando a função account-on está habilitada, o intervalo de retransmissão padrão é de 6 segundos e o tempo máximo de retransmissão é de 50 vezes; devido ao tempo de inicialização lento do cartão de serviço do dispositivo de última geração, é recomendável que os usuários definam os tempos de retransmissão e o tempo de intervalo não inferiores aos valores padrão, tanto quanto possível.

Tabela 11 -16 Configurar a função de contabilização do RADIUS

Configurar o esquema TACACS

Para configurar o esquema TACACS, é necessário configurar os parâmetros chave do servidor.

Condição de configuração

Nenhum

Configurar o servidor TACACS

Se o AAA precisar usar o método TACACS para autenticação, autorização e contabilidade após configurar o servidor TACACS, ele precisará configurar os parâmetros do servidor TACACS, incluindo endereço IP do servidor, chave compartilhada, número da porta do servidor e outras informações de configuração.

O grupo de servidores TACACS pode ser usado para autenticar, autorizar e contabilizar usuários consultando o nome do grupo de servidores ao configurar o método.

Tabela 11 -17 Configurar o servidor TACACS

servidor de comando { endereço IP | endereço IP ipv6 } [ porta port-num ] [ prioridade prioridade ] { chave [ 0 | 7 ] tecla } várias vezes para configurar vários servidores TACAS no grupo de servidores Tacas. O dispositivo seleciona o servidor para autenticação de acordo com a ordem de configuração. Quando um servidor falha, o dispositivo seleciona automaticamente o próximo servidor. As chaves de compartilhamento configuradas no dispositivo e no servidor TACAS devem ser consistentes.

Configurar o endereço de origem do envio do pacote TACAS

Tabela 11 -18 Configure o endereço de origem do envio do pacote TACAS

Monitoramento e Manutenção AAA

Tabela 11 -19 Monitoramento e manutenção de AAA

Configurar o login do usuário Telnet para usar a autenticação local

Requisito de rede

Configure o dispositivo para usar a autenticação local para login de usuário Telnet

Topologia de rede

Figura 11 - 1 Rede de configuração de login de usuário Telnet para usar autenticação local

Etapas de configuração

• Passo 1: Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
• Passo 2: Configure o endereço IP da interface. (Omitido)
• Passo 3: Configurar dispositivo.

# Configure o nome de usuário como admin1 e a senha como admin1.

Device#configure terminal 
Device(config)#local-user admin1 class manager 
Device(config-user-manager-admin1)#service-type telnet
Device(config-user-manager-admin1)#password 0 admin1
Device(config-user-manager-admin1)#exit

#Configure o modo de autenticação AAA como a autenticação local.

Device(config)#domain system
Device(config-isp-system)#aaa authentication login local
Device(config-isp-system)#exit

#Configure a sessão Telnet e habilite a autenticação local AAA.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit

• Passo 4:Confira o resultado.

Quando o cliente efetuar login no dispositivo via Telnet, insira o nome de usuário admin1 e a senha admin1 de acordo com o prompt e, em seguida, efetue login na interface de usuário do Shell do dispositivo com êxito.

Configure o login do usuário Telnet para usar autenticação, autorização e estatísticas RADIUS

Requisitos de rede

1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de autenticação/autorização é 1812, a porta de estatísticas é 1813 e a chave de compartilhamento é admin.
3. Quando o usuário Telnet faz login no dispositivo, é necessário autenticar/autorizar e medir através do servidor RADIUS.
4. Quando o servidor RADIUS falhar, use a autenticação e autorização locais.

Topologia de rede

Figura 11 - 2 Rede de configuração de login de usuário Telnet para usar autenticação/autorização RADIUS e contabilidade

Etapas de configuração

• Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
• Passo 2:Configure o endereço IP da interface. (Omitido)
• Passo 3:Configurar dispositivo.

# Configure o AAA e use a autenticação/autorização RADIUS e a contabilidade.

A autenticação e a autorização primeiro usam o primeiro método na lista de métodos. Use o segundo método para autenticar e autorizar quando o servidor falhar.

Device#configure terminal
Device(config)#domain system
Device(config-isp-system)#aaa authentication login radius-group radius-group local
Device(config-isp-system)#aaa authorization login radius-group radius-group local
Device(config-isp-system)#aaa accounting login start-stop radius-group radius-group
Device(config-isp-system)#exit

#Configure o servidor RADIUS, a porta de autenticação é 1812, a porta de estatísticas é 1813 e a chave de compartilhamento é admin.

Device(config)#aaa server group radius radius-group
Device(config-sg-radius-radius-group)#server 2.0.0.2 auth-port 1812 acct-port 1813 key admin
Device(config-sg-radius-radius-group)#exit

#Configure a sessão Telnet e habilite a autenticação/autorização RADIUS e estatísticas.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit

• Passo 4:Configure o servidor RADIUS.

Para a configuração da interface do servidor RADIUS, consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o usuário admin no servidor RADIUS, defina a senha como admin e configure o rótulo do usuário como 15.

#Defina o endereço IP do servidor como 2.0.0.2, compartilhe a chave como admin, a porta de autenticação como 1812 e a porta de estatísticas como 1813.

#Defina o endereço IP do cliente como 2.0.0.1 e a chave de compartilhamento como admin.

• Passo 5:Verifique o resultado e verifique a autenticação/autorização e estatísticas.

# Depois que o usuário Telnet fizer login no dispositivo, autorize com sucesso e use o show comando de privilégio para visualizar a prioridade do usuário 15.

#Podemos visualizar as informações de estatísticas de login e desconexão no servidor RADIUS.

Configurar a comutação de nível de usuário Telnet para usar a autenticação RADIUS

Requisitos de rede

1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de autenticação/autorização é 1812 e a chave de compartilhamento é admin.
3. Quando o nível de usuário muda de 1 para 3 depois que o usuário Telnet faz login no dispositivo, é necessário autenticar via servidor RADIUS.

Topologia de rede

Figura 3 - 5 Rede de configuração de comutação de nível de usuário Telnet para usar autenticação RADIUS

Etapas de configuração

• Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
• Passo 2:Configure o endereço IP da interface. (Omitido)
• Passo 3:Configurar dispositivo.

#Configure a comutação de nível de usuário para usar a autenticação RADIUS.

Device#configure terminal
Device(config)#aaa authentication enable-method radius-group radius-group
Device(config)#domain system
Device(config-isp-system)#aaa authentication login radius-group radius-group local
Device(config-isp-system)#exit

#Configure o servidor RADIUS, a porta de autenticação é 1812 e a chave de compartilhamento é admin.

Device(config)#aaa server group radius radius-group
Device(config-sg-radius-radius-group)#server 2.0.0.2 auth-port 1812 acct-port 1813 key admin
Device(config-sg-radius-radius-group)#exit
Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit

• Passo 4:Configure o servidor RADIUS.

Para a configuração da interface do servidor RADIUS, consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o nome de usuário $enab3$ com o nível de usuário 3 e defina a senha como admin.

A alternância de nível de usuário é corrigida para usar o nome de usuário no formato $enabLEVEL$ para autenticação. LEVEL é o nível para o qual o usuário deseja alternar. Quando o nível de usuário é reduzido, não precisa de autenticação.

• Passo 5:Confira o resultado.

Após o usuário Telnet inserir o nome de usuário e a senha para efetuar login de acordo com o prompt, o nível de usuário é 1 por padrão. Após executar o comando enable 3, insira a senha admin. Após ser autenticado pelo servidor RADIUS com sucesso, o nível de usuário é alterado para 3.

Configurar autorização TACACS e estatísticas do comando Shell

Requisitos de rede

1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de serviço é 49 e a chave de compartilhamento é admin.
3. Após o cliente Telnet efetuar login no dispositivo, o comando shell operado com nível de usuário 15 deve ser autorizado através do servidor TACACS e registrar o comando shell no servidor TACACS.

Topologia de rede

Figura 11 – 3 Rede de configuração da autorização TACACS e contabilidade do comando Shell

Etapas de configuração

• Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
• Passo 2:Configure o endereço IP da interface. (Omitido)
• Passo 3:Configurar dispositivo.

#Configure a autorização e a contabilidade do comando TACACS.

A autenticação deve ser bem-sucedida antes da autorização e contabilização.

Device#configure terminal
Device(config)#domain system
Device(config-isp-system)#aaa authentication login tacacs-group tacacs-group local
Device(config-isp-system)#aaa authorization commands 15 tacacs-group tacacs-group
Device(config-isp-system)#aaa accounting commands 15 tacacs-group tacacs-group
Device(config-isp-system)#exit
Device(config)#aaa authorization config-commands

# Configure o servidor TACACS, a porta de serviço é 49 e a chave de compartilhamento é admin.

Device(config)#aaa server group tacacs tacacs-group
Device(config-sg-tacacs-tacacs-group)#server 2.0.0.2 port 49  key admin
Device(config-sg-tacacs-tacacs-group)#exit

#Configure a sessão Telnet e habilite a autorização e a contabilidade TACACS.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit

• Passo 4:Configure o servidor TACACS.

Para a configuração da interface do servidor TACACS , consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o cliente 2.0.0.1 no servidor, a chave de compartilhamento é admin e selecione a autenticação “TACACS+(Cisco IOS)”.

#Defina a autorização do comando Shell para o administrador do usuário Telnet. Permitir os comandos configure terminal , roteador ospf e router rip e recuse os outros comandos.

• Passo 5:Confira o resultado.

#Depois que o usuário Telnet fizer login no dispositivo, execute o comando Shell. O comando autorizado pode ser executado com sucesso e a autorização do comando não autorizado falhou.

Device#configure terminal
% Enter configuration commands, one per line.  End with CNTL+Z.
Device(config)#router ospf 100
Device(config-ospf)#exit
Device(config)#router rip
Device(config-rip)#exit
Device(config)#interface fastethernet 0/1
Command authorization failed 
Device(config)#router bgp 100
Command authorization failed

#Visualize as informações de estatísticas do comando Shell.

No servidor TACACS, podemos ver as informações estatísticas do comando Shell.

802.1X

O 802.1X é uma solução de autenticação de acesso de banda larga apresentada pelo IEEE em junho de 2001. Ele define o controle de acesso à rede baseado em porta. Ao utilizar os recursos de acesso físico da LAN do IEEE 802 LAN, o 802.1X fornece um conjunto de métodos para autenticar e autorizar o acesso de dispositivos conectados às portas LAN via ponto a ponto.

O sistema 802.1X é a estrutura cliente/servidor típica, conforme mostrado na figura a seguir, incluindo três entidades: sistema suplicante (cliente), sistema de autenticação (dispositivo de autenticação) e sistema de servidor de autenticação (servidor de autenticação).

Figura 12 - 1 Arquitetura do sistema 802.1X

• A instalação do cliente suporta o software cliente da autenticação 802.1X, enviando a solicitação de autenticação para o dispositivo de autenticação. Se autenticar com sucesso, conecte-se à rede normalmente.
• O dispositivo de autenticação está entre o cliente e o servidor de autenticação, controlando o acesso à rede do cliente interagindo com o servidor.
• Normalmente, o servidor de autenticação é o servidor RADIUS (Remote Authentication Dial-In User Service), utilizado para verificar a validade do cliente e informar o resultado da autenticação ao dispositivo de autenticação. O dispositivo de autenticação controla o acesso à rede do cliente de acordo com o resultado da autenticação.

EAP (Extensible Authentication Protocol) usado pela autenticação 802.1X é um protocolo geral de autenticação PPP, usado para interagir as informações de autenticação entre o cliente, dispositivo de autenticação e servidor de autenticação. O protocolo 802.1X utiliza o formato de encapsulamento de quadro EAPOL (EAP Over LAN) para encapsular o pacote EAP, realizando a interação entre o cliente e o dispositivo de autenticação. De acordo com os diferentes cenários de aplicação, o protocolo 802.1X encapsula o pacote EAP nos diferentes formatos de quadro, realizando a interação entre o dispositivo de autenticação e o servidor de autenticação. No modo de autenticação de retransmissão, o pacote EAP é encapsulado no formato de quadro EAPOR (EAP Over RADIUS); no modo de autenticação de terminação, o pacote EAP é encapsulado no formato de quadro RADIUS padrão.

O modo de autenticação 802.1X inclui o modo de autenticação de retransmissão e o modo de autenticação final.

O fluxo de autenticação de retransmissão é o seguinte:

Figura 12 – 2 fluxo de autenticação de retransmissão 802.1X

O fluxo de autenticação de retransmissão é o seguinte:

• Quando o usuário tiver o requisito de acesso à rede, habilite o programa cliente 802.1X, insira o nome de usuário e a senha válidos registrados no servidor de autenticação e inicie a solicitação de autenticação (pacote EAPOL-Start). Aqui, o programa cliente envia o pacote de autenticação de solicitação para o dispositivo de autenticação e inicia um processo de autenticação.
• Após o dispositivo de autenticação receber o quadro de dados de solicitação de autenticação, envie um quadro de solicitação (pacote de solicitação/identidade EAP) para solicitar que o programa cliente do usuário envie o nome de usuário de entrada.
• O programa cliente responde à solicitação enviada pelo dispositivo de autenticação, enviando as informações do nome de usuário para o dispositivo de autenticação através do quadro de dados (EAP-Response/Pacote de identidade). O dispositivo de autenticação encapsula o quadro de dados enviado pelo cliente no pacote (pacote de solicitação de acesso RADIUS) e envia para o servidor de autenticação para processamento.
• Depois que o servidor RADIUS recebe as informações de nome de usuário encaminhadas pelo dispositivo de autenticação, compare as informações com a tabela de nomes de usuário no banco de dados, encontre as informações correspondentes do nome de usuário e use uma palavra de criptografia gerada aleatoriamente para criptografá-la. Enquanto isso, envie a palavra criptografada para o dispositivo de autenticação por meio do pacote RADIUS Access-Challenge; o dispositivo de autenticação o encaminha para o programa cliente.
• Após o programa cliente receber a palavra criptografada encaminhada pelo dispositivo de autenticação (pacote EAP-Request/MD5 Challenge), use a palavra criptografada para criptografar a senha (o algoritmo de criptografia é irreversível, gerando o pacote EAP-Response/MD5 Challenge) e encaminhar para o servidor de autenticação através do dispositivo de autenticação.
• O servidor de autenticação RADIUS compara as informações de senha criptografada recebidas (pacote de solicitação de acesso RADIUS) com as informações de senha criptografada local. Se forem iguais, considere o usuário como usuário válido e realimenta a mensagem de passagem da autenticação (pacote RADIUS Access-Accept e pacote EAP-Success);
• Após o dispositivo de autenticação receber a mensagem de aprovação da autenticação, altere a porta para o estado autorizado, permitindo que o usuário acesse a rede através da porta.
• O cliente também pode enviar o pacote EAPOL-Logoff para o dispositivo de autenticação, solicitando ativamente offline. O dispositivo de autenticação altera o status da porta de autorizada para não autorizada e envia o pacote EAP-Failure ao cliente.

A autenticação precisa do dispositivo de autenticação e do servidor de autenticação para suportar o protocolo EAP.

O fluxo de autenticação de encerramento é o seguinte:

Figura 12 - 3 802.1X terminando o fluxo de autenticação

• A diferença entre o modo de autenticação final e o modo de autenticação de retransmissão é: A palavra de criptografia aleatória usada para criptografar as informações de senha do usuário é gerada pelo dispositivo de autenticação. E o dispositivo de autenticação envia o nome de usuário, palavra de criptografia aleatória e informações de senha criptografadas pelo cliente para o servidor RADIUS para autenticação.

O modo de autenticação final é usado pelo servidor de autenticação implantado anteriormente e não oferece suporte ao protocolo EAP.

O dispositivo de autenticação suporta dois modos de controle de acesso:

• Modo de controle de acesso baseado em porta (Portbased): Depois que o primeiro usuário na porta é autenticado com sucesso, os outros usuários de acesso podem acessar a rede sem autenticação, mas depois que o primeiro usuário fica offline, os outros usuários também são recusados a acessar a rede .
• Modo de controle de acesso baseado em usuário (baseado em Mac): Todos os usuários de acesso na porta precisam ser autenticados separadamente. Depois que um usuário fica offline, apenas o usuário não pode acessar a rede e os outros usuários ainda podem acessar a rede.

A VLAN automática também é chamada de VLAN atribuída. Quando o cliente passa a autenticação do servidor, o servidor entrega as informações de VLAN autorizadas ao dispositivo de autenticação. Se a VLAN fornecida existir no dispositivo de autenticação e for válida, a porta de autenticação será adicionada à VLAN fornecida . Depois que o cliente fica offline, a porta é restaurada para o estado não autenticado, a porta é excluída da Auto VLAN e o valor padrão da porta é restaurado para a VLAN configurada anteriormente.

Após habilitar a Guest VLAN, o usuário pode e somente pode acessar os recursos na VLAN sem autenticação. Depois que o usuário é autenticado com sucesso, a porta sai da Guest VLAN e o usuário pode acessar outros recursos da rede. Normalmente, o usuário pode obter o software cliente 802.1X no Guest VLAN para atualizar o cliente ou executar outro programa aplicativo (como software antivírus, patch do sistema operacional). Após habilitar a autenticação 802.1x e configurar corretamente a VLAN convidada, a porta será adicionada à VLAN convidada no modo sem etiqueta. Neste momento, o usuário sob a porta na VLAN convidada inicia a autenticação. Se a autenticação falhar, a porta ainda está na VLAN convidada. Se a autenticação for bem-sucedida, ela pode ser dividida nos dois casos a seguir:

• Se o servidor de autenticação entregar uma VLAN, a porta deixará a VLAN convidada e ingressará na VLAN distribuída. Depois que o usuário estiver offline, a porta retornará à VLAN convidada;
• Se o servidor de autenticação não entregar a VLAN, a porta deixa a VLAN convidada e se junta à VLAN de configuração configurada no dispositivo de autenticação. Depois que o usuário estiver offline, a porta retornará à VLAN convidada.

Autenticação de canal seguro

Com base na função de autenticação 802.1X, a função de autenticação de canal seguro pode alcançar a autenticação 802.1X e abrir um canal seguro para os usuários finais especificados. Assim, o usuário final pode visitar os recursos na rede especificada no modo de não autenticação ou especificar um usuário final para visitar os recursos da rede sem autenticação.

Autenticação de endereço MAC

Na rede real, além de muitos usuários finais, pode haver alguns terminais de rede (como impressora de rede). Os terminais não carregam ou não podem instalar o software de cliente de autenticação 802.1X e podem usar o modo de autenticação de cliente livre para acessar a rede. O método de autenticação não precisa que o usuário instale nenhum software cliente de autenticação 802.1X. Depois que o dispositivo de autenticação detecta o endereço MAC do usuário pela primeira vez, o dispositivo de autenticação usa o nome de usuário e a senha configurados ou o endereço MAC do usuário como nome de usuário e senha para enviar ao servidor de autenticação para autenticação.

O formato de nome de usuário e senha usado pela autenticação de endereço MAC tem dois casos:

O endereço MAC serve como nome de usuário e senha: Use o endereço MAC do usuário autenticado como nome de usuário e senha;

Nome de usuário e senha fixos: Use o nome de usuário e a senha configurados no dispositivo de autenticação.

Configurar função de autenticação 802.1X

A autenticação 802.1X e a autenticação de endereço MAC podem ser configuradas simultaneamente na mesma interface.

• Se a autenticação for bem-sucedida quando o usuário final realizar a autenticação de endereço MAC pela primeira vez, a autenticação 802.1X iniciada pelo usuário final não será processada. Caso contrário, a autenticação 802.1X iniciada pelo usuário final será processada normalmente.
• Quando o usuário final inicia a autenticação 802.1X pela primeira vez , não execute a autenticação de endereço MAC .

Condição de configuração

Nenhum

Ativar autenticação 802.1X

Para habilitar a função de autenticação 802.1X, o usuário final precisa instalar o software cliente com a função de autenticação 802.1X.

Tabela 12 – 2 Ativar 802.1X

Não ative a função de autenticação 802.1X e a função de autenticação de canal seguro simultaneamente em uma porta. Suporta habilitação da função de autenticação 802.1X e função de Port Security em uma porta ao mesmo tempo, mas há a seguinte limitação: Não permite configurar a regra de IP de Port Security ou regra MAX. Se a Port Security estiver configurada com a regra MAC relacionada quando a função de autenticação 802.1X for usada com a função de Port Security, o 802.1X não processará os pacotes enviados e solicitações de autenticação do terminal, que são processados pela segurança da porta.

Configure o pacote ARP/IP para acionar a geração do usuário 802.1X

Após habilitar a função de autenticação 802.1X na porta, se o usuário do terminal quiser visualizar as informações do usuário do terminal no dispositivo de autenticação sem iniciar a autenticação, ele precisa configurar o pacote ARP/IP para acionar a geração do usuário 802.1X.

Habilite a função de autenticação 802.1X e a função de disparo do pacote ARP/IP gerando o usuário 802.1X em uma porta. Quando o dispositivo de autenticação recebe o pacote ARP ou IP do usuário do terminal na porta, ele pode gerar o usuário 802.1X.

Tabela 12 - 3 Habilitar a função de acionamento do pacote ARP/IP gerando o usuário 802.1X

Configurar autenticação de canal seguro

Condição de configuração

Nenhum

Ativar autenticação de canal seguro

Com base na função de autenticação 802.1X, a função de autenticação de canal seguro pode alcançar a autenticação 802.1X e abrir um canal seguro para os usuários finais especificados. Assim, o usuário final pode visitar os recursos na rede especificada no modo de não autenticação ou especificar um usuário final para visitar os recursos da rede sem autenticação.

Tabela 12 – 4 Habilite a autenticação de canal seguro

Não ative a função de autenticação de canal seguro e a função de Port Security simultaneamente em uma porta. Não ative a função de autenticação 802.1X e a função de autenticação de canal seguro simultaneamente em uma interface. Não ative a função de autenticação de endereço MAC e a função de autenticação de canal seguro simultaneamente em uma interface. Quando a função de autenticação de canal seguro está habilitada na interface, mas a regra de canal seguro não é aplicada ou a regra de canal seguro não está configurada, a função de autenticação de canal seguro e a função de autenticação 802.1X são idênticas. Durante a autenticação do canal seguro, quando a autenticação do usuário for bem-sucedida, ela ocupará os recursos do chip. Se os recursos do chip forem insuficientes, causará falha na autenticação do usuário.

Configurar e aplicar canal seguro

Depois que a autenticação de canal seguro for habilitada na interface, espera-se que o usuário final possa visitar os recursos na rede especificada quando o usuário final não estiver autenticado ou especificar um usuário final para visitar os recursos da rede sem autenticação. Neste caso, configure e aplique o canal seguro.

As regras para configurar o canal seguro podem ser classificadas nos seguintes tipos:

• Configure para permitir que o usuário final visite os recursos de rede especificados.
• Configure o usuário final especificado para visitar os recursos de rede.

Tabela 12 -5 Aplicar canal seguro

O dispositivo pode ser configurado com vários canais seguros. Um canal seguro pode ser configurado com várias regras de canal seguro. O tipo de canal seguro só pode ser a ACL avançada híbrida . Apenas um canal seguro pode ser aplicado ao dispositivo.

Configurar função de URL de redirecionamento

Se a URL de redirecionamento estiver configurada no dispositivo de autenticação e quando o usuário acessar a rede de segmento não livre da autenticação sem passar a autenticação ou não ser autenticado, o dispositivo de autenticação redirecionará o endereço da URL acessada pelo usuário para o redirecionamento configurado. endereço URL direto. Na interface de URL especificada, o usuário pode baixar/atualizar o cliente de autenticação, atualizar o software e assim por diante.

Tabela 12 -6 Configurar a função de redirecionamento de URL

O segmento livre da autenticação precisa incluir o endereço IP do servidor DNS e o endereço IP do link de URL de redirecionamento. Quando o cliente precisa solicitar o endereço do servidor DHCP, e o dispositivo de autenticação não é o servidor DHCP, é necessário habilitar a função DHCP RELAY no dispositivo de autenticação, para garantir que o cliente possa obter o endereço IP normalmente .

Configurar autenticação 802.1X e propriedade de autenticação de canal seguro

Se a função de autenticação 802.1X ou a função de autenticação de canal seguro não estiver habilitada na interface, a propriedade relacionada configurada não terá efeito.

Configurar o modo de autenticação de porta

O modo de autenticação 802.1X inclui o modo de autenticação de retransmissão e o modo de autenticação final.

O sistema de autenticação 802.1X compreende cliente, dispositivo de autenticação e servidor de autenticação. O protocolo 802.1X padrão define que o cliente e o servidor de autenticação interagem por meio do pacote EAP. O dispositivo de autenticação desempenha o papel de “retransmissor” durante a interação. O dispositivo de autenticação encapsula os dados EAP enviados pelo cliente em outro protocolo, como o protocolo RADIUS, e envia para o servidor de autenticação. Da mesma forma, o dispositivo de autenticação encapsula os dados EAP enviados pelo servidor de autenticação no pacote EAPOL e encaminha para o cliente. O modo de interação é chamado de modo de autenticação de retransmissão. O modo de autenticação de retransmissão requer que o servidor de autenticação suporte o protocolo EAP. A configuração do mecanismo de autenticação suportado pelo modo de autenticação de retransmissão EAP depende do cliente e do servidor de autenticação.

O servidor de autenticação implantado anteriormente pode não oferecer suporte ao protocolo EAP e precisa ser configurado como o modo de autenticação final. O pacote EAP do cliente não é enviado diretamente ao servidor de autenticação, mas o dispositivo de autenticação completa o pacote EAP interagindo com o cliente. Depois de obter as informações de autenticação do usuário suficientes, o dispositivo de autenticação envia as informações de autenticação ao servidor de autenticação para autenticação.

O modo de autenticação de finalização EAP suporta autenticação PAP (Protocolo de autenticação de senha) e autenticação CHAP (Protocolo de autenticação de handshake de desafio).

Tabela 12 - 7 Configurar o modo de autenticação da porta

A configuração do modo de autenticação de encerramento suporta apenas a autenticação EAP baseada em MD5 (Message Digest Algorithm). A função de autenticação 802.1x e a função de autenticação de canal seguro suportam o modo de retransmissão e autenticação final. Quando o cliente adota a autenticação de certificado, a porta de autenticação precisa ser configurada como o modo de autenticação de retransmissão. A autenticação de endereço MAC só pode suportar o modo de autenticação de terminação.

Configurar a função de acionamento de multicast

Alguns terminais são instalados com o cliente de autenticação 802.1X, mas o cliente não inicia a autenticação ativamente. O processo de autenticação só pode depender do dispositivo de autenticação para ser acionado. O dispositivo de autenticação envia periodicamente o pacote multicast solicitando o nome de usuário para a porta configurada com o disparo multicast. Após receber o pacote, o cliente responde a solicitação de autenticação do dispositivo de autenticação e inicia a autenticação 802.1X.

Tabela 12 – 8 Configurar a função de disparo multicast

Se o cliente não suportar a função de disparo multicast, a exibição do adaptador do cliente pode estar anormal. Enquanto isso, pode causar a falha de reautenticação.

Configurar função de reautenticação

Para verificar se o cliente está online, evitar o travamento anormal do cliente afetando a exatidão da contabilidade do usuário e impedir que o cliente seja usado por outros, o dispositivo de autenticação inicia periodicamente a solicitação de reautenticação para o cliente. Durante o processo, o usuário não precisa inserir o nome de usuário ou a senha novamente.

Tabela 12 - 9 Configurar a função de reautenticação

Configurar tempos máximos de falha de autenticação

Depois que os tempos de falha de autenticação do cliente atingem o limite, o cliente entra no estado morto. Durante o tempo morto, o dispositivo de autenticação não responde mais à solicitação de autenticação iniciada pelo cliente.

Tabela 12 – 10 Configure os tempos máximos de falha de autenticação

Configurar função de transmissão transparente de pacote

No ambiente de aplicação real, o terminal de autenticação e o dispositivo de autenticação podem cruzar o dispositivo intermediário. Se o dispositivo intermediário não puder transmitir o pacote EAPOL de forma transparente, a autenticação não poderá ser realizada normalmente. Para que a autenticação seja feita normalmente, precisamos habilitar a função de transmitir o pacote EAPOL de forma transparente na porta do dispositivo intermediário que recebe o pacote EAPOL e configurar uma porta de uplink para a porta. Se a porta habilitada com a função de transmissão do pacote EAPOL receber o pacote EAPOL de forma transparente, envie o pacote da porta uplink configurada. Se o dispositivo conectado diretamente à porta de uplink for um dispositivo de autenticação, o dispositivo de autenticação processa após receber o pacote EAPOL.

Tabela 12 – 11 Configurar a função de transmissão transparente de pacote

Configurar função Keepalive

Para detectar se o cliente está online, o dispositivo de autenticação envia periodicamente o pacote EAP-Request/Identity ao cliente. Se estiver recebendo o pacote EAP-Response/Identity do cliente, envie o pacote EAP-Request/MD5 Challenge para o cliente. Se o sistema de autenticação receber o pacote EAP-Response/MD5 Challenge, confirme se o cliente está online normalmente e envie o pacote EAP-Success para informar o cliente sobre o sucesso do keepalive.

Tabela 12 – 12 Configurar a função keepalive

A função keepalive precisa ser suportada pelo software cliente de autenticação 802.1X (como o cliente Maipu TC). Se o cliente não oferecer suporte, isso pode resultar na falha do keepalive e o usuário ficar offline.

Configurar não aguardando resposta do servidor

No modo de autenticação de retransmissão, o cliente pode enviar alguns pacotes que o servidor não responde. Os pacotes fazem com que o canal de sessão entre o dispositivo de autenticação e o servidor de autenticação seja ocupado e, como resultado, a autenticação do cliente subsequente falha. Podemos habilitar a função de não aguardar a resposta do servidor na porta para evitar o problema.

Tabela 12 - 13 Configure a função de não aguardar a resposta do servidor

Configurar autenticação de endereço MAC

A autenticação 802.1X e a autenticação de endereço MAC podem ser configuradas simultaneamente na mesma interface.

• Se a autenticação for bem-sucedida quando o usuário final realizar a autenticação de endereço MAC pela primeira vez, a autenticação 802.1X iniciada pelo usuário final não será processada. Caso contrário, a autenticação 802.1X iniciada pelo usuário final será processada normalmente.
• Quando o usuário final inicia a autenticação 802.1X pela primeira vez , não execute a autenticação de endereço MAC .

Condição de configuração

Nenhum

Ativar função de autenticação de endereço MAC

A autenticação de endereço MAC também é chamada de autenticação de cliente livre. O modo de autenticação é aplicável ao terminal que não pode instalar o software cliente para autenticação e também ao usuário final que não instala o software cliente, mas pode autenticar sem inserir o nome de usuário e a senha.

Ao configurar os parâmetros de autenticação de endereço MAC na porta do dispositivo de autenticação e se a porta não habilitar a função de autenticação de endereço MAC, a função configurada não tem efeito.

Tabela 12 - 14 Habilite a função de autenticação de endereço MAC

Suporte habilitando a função de autenticação de endereço MAC e função de Port Security em uma porta ao mesmo tempo, mas há limitação: não permite configurar a regra de IP de segurança de porta ou regra MAX. Não ative a função de autenticação de endereço MAC e a função de autenticação de canal de segurança em uma porta ao mesmo tempo.

Configurar o formato de nome de usuário de autenticação de endereço MAC

O formato de nome de usuário e senha usado pela autenticação de endereço MAC inclui dois casos: formato fixo de nome de usuário e senha e formato de nome de usuário e senha de endereço MAC.

Formato fixo de nome de usuário e senha: Ao receber os pacotes do usuário final, o dispositivo de autenticação envia o nome de usuário e a senha configurados ao servidor de autenticação para autenticação.

Formato de nome de usuário e senha do endereço MAC: O dispositivo de autenticação usa o endereço MAC do usuário final como nome de usuário e senha. O formato do endereço MAC como nome de usuário e senha inclui dois casos: Um é com o hífen, como 00-01-7a-00-00-01; o outro não é com hífen, como 00017a000001.

Tabela 12 – 15 Configurar o formato de nome de usuário de autenticação de endereço MAC

Configurar delimitador de nome de domínio

O dispositivo de autenticação pode gerenciar o usuário com base no domínio. Se o nome de usuário de autenticação tiver o nome de domínio, o dispositivo usará o servidor no grupo de servidores AAA para autenticar, autorizar e contabilizar o usuário. Se o nome de usuário de autenticação não tiver o nome de domínio, use o servidor de autenticação configurado padrão no sistema para autenticar. Portanto, o dispositivo de autenticação precisa analisar corretamente o nome de usuário e o nome de domínio, desempenhando a função decisiva para que o usuário forneça o serviço de autenticação. Diferentes clientes suportam diferentes delimitadores de nome de usuário e nome de domínio. Para gerenciar e controlar melhor o acesso do usuário de diferentes formatos de nome de usuário, é necessário especificar o delimitador de nome de domínio suportado no dispositivo de autenticação.

Atualmente, os delimitadores de nome de domínio com suporte incluem @, / e \.

Quando o delimitador de nome de domínio é @, o formato de nome de usuário autenticado é username@domain .

Quando o delimitador de nome de domínio é /, o formato de nome de usuário autenticado é username/domain .

Quando o delimitador de nome de domínio é \, o formato de nome de usuário autenticado é domain\username .

Aqui, nome de usuário é o nome de usuário puro e domínio é o nome de domínio. Se o nome de usuário contiver vários delimitadores de nome de domínio, o dispositivo de autenticação identificará apenas o primeiro delimitador de nome de domínio como o delimitador de nome de domínio usado real e os outros caracteres como uma parte do nome de domínio.

Tabela 12 - 16 Configurar o delimitador de nome de domínio

Ao usar o nome de usuário com o nome de domínio para autenticação, é necessário configurar o grupo de servidores de autenticação correspondente no dispositivo de autenticação.

Configurar o formato de nome de usuário de autenticação

O usuário de autenticação é nomeado pelo formato username@domain. O nome de domínio está atrás do delimitador de nome de domínio @. O dispositivo de autenticação decide qual grupo de servidores de autenticação autentica o usuário analisando o nome de domínio. O servidor inicial não pode aceitar o nome de usuário com o nome de domínio, portanto, o dispositivo de autenticação precisa excluir o nome de domínio contido no nome de usuário e apenas enviar o nome de usuário de autenticação para o servidor. Você pode selecionar se o nome de usuário de autenticação enviado ao dispositivo de autenticação carrega o nome de domínio configurando o formato do nome de usuário de autenticação.

Atualmente, o delimitador de nome de domínio compatível inclui @, \, /.

Tabela 12 - 17 Configurar o formato do nome de usuário de autenticação

Configure a porta de envio do nome de usuário de autenticação sem nome de domínio para o servidor de autenticação para não dar suporte à autenticação de certificado.

Configurar o modo de interação do pacote de autenticação

No cenário de aplicação real, depois que a maioria dos clientes inicia a autenticação, o dispositivo de autenticação e o cliente suportam o modo de interação de autenticação unicast/multicast, mas ainda existem clientes de autenticação que podem identificar apenas o pacote de autenticação multicast, ou seja, o pacote de autenticação com o endereço MAC de destino 0180.C200.0003. Aqui, você pode configurar o modo de interação da autenticação multicast na porta.

Para a maioria dos clientes de autenticação, após o dispositivo de autenticação receber o pacote EAP respondido pelo servidor pela primeira vez e interagir com o cliente e o servidor de autenticação, fique sujeito ao identificador no pacote de serviço. Apenas alguns clientes de autenticação precisam estar sujeitos ao identificador gerado pelo dispositivo de autenticação. Para o caso, é necessário configurar a função referente ao identificador no pacote de autenticação EAP na porta.

Tabela 12 -18 Configurar o modo de interação do pacote de autenticação

Apenas alguns clientes precisam se preocupar com o identificador do pacote que interagiu com a autenticação. A menos que haja uma demanda clara, tente evitar configurar a função.

Configurar atributos públicos

Ao configurar os parâmetros de atributo público e se a função de autenticação 802.1X, autenticação de canal seguro ou função de autenticação de endereço MAC não estiver habilitada na porta, a função configurada não terá efeito.

Condição de configuração

Ao configurar a função de autorização IP na porta, você precisa configurar a função keepalive ARP ao mesmo tempo.

Configurar direção controlada

A direção controlada da porta inclui controle bidirecional e controle unidirecional.

• Controlado bidirecional: A porta proíbe receber e encaminhar pacotes.
• Controlado unidirecional: Proíbe o recebimento de pacotes do cliente, mas permite o encaminhamento de pacotes para o cliente.

A função é usada com a função WOL (Wake On Lan). Algum terminal está no estado inativo, mas sua placa de rede ainda pode processar alguns pacotes especiais, como pacotes WOL. Depois que a placa de rede receber os pacotes WOL, habilite o dispositivo terminal e entre no estado de funcionamento.

Quando a porta de acesso do terminal inativo habilita a função de autenticação, você pode configurar a porta como controlada unidirecional, garantindo que os pacotes WOL possam ser encaminhados ao terminal normalmente. Depois que o terminal for iniciado, ele poderá iniciar a autenticação. Após passar a autenticação, ele pode acessar os recursos da rede normalmente.

Ao enviar os pacotes WOL através do segmento, é necessário configurar a entrada de encaminhamento ARP no dispositivo de autenticação.

Tabela 12 -19 Configurar a direção controlada

Configurar lista de hosts autenticados

Depois de habilitar a função de lista de hosts autenticáveis, apenas permita que o usuário cujo endereço MAC esteja na lista de hosts autenticáveis se autentique e as autenticações iniciadas pelos outros usuários são recusadas.

Tabela 12 -20 Configurar a lista de hosts autenticáveis

Configurar função de autorização de IP

Ao habilitar a função de autorização de IP na porta e se descobrir que o endereço IP do usuário de autenticação muda, force o usuário offline, incluindo os seguintes modos:

Desabilitar: No modo, não detecta o endereço IP do usuário.

dhcp-server: Ao configurar o modo, é necessário configurar a função DHCP Snooping no dispositivo. Depois que o usuário de autenticação obtiver o endereço IP do servidor DHCP, registre a relação de ligação do usuário de autenticação e o endereço IP no dispositivo. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

servidor radius: o servidor RADIUS encapsula o endereço IP usado encapsulando o usuário de autenticação no campo Endereço IP do Quadro no pacote RADIUS e o dispositivo de autenticação registra a relação de ligação do usuário e o endereço IP. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

Suplicante: Depois que o usuário passa pela primeira autenticação, o dispositivo registra a relação de vinculação do usuário de autenticação e do endereço IP. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

bind-mac-ip: Modo de ligação MAC+IP, após o usuário de autenticação passar pela primeira autenticação, uma entrada de ligação MAC+IP será gerada e a configuração da entrada será salva. Mais tarde, apenas o endereço IP nas entradas de ligação geradas quando a primeira autenticação é passada pode ser usada para acessar a rede.

Tabela 12 -21 Configurar a função de autorização de IP

Configurar máx. Envio de pacotes de solicitação de tempos de autenticação

Após o dispositivo de autenticação receber os pacotes EAPOL-Start enviados pelo cliente, envie o pacote de solicitação de autenticação EAP-Request/Identity ao cliente. Se o dispositivo de autenticação não receber o pacote de resposta, retransmita o pacote. A função é utilizada para configurar os tempos máximos de envio do pacote EAP-Request/Identity. Se os tempos de envio excederem o valor máximo configurado, o dispositivo de autenticação julga que o cliente está desconectado e encerra a autenticação.

O processo de retransmissão do pacote EAP-Request/Identity é o seguinte:

Figura 12 -4 Retransmitir pacotes de solicitação/identidade EAP

Tabela 12 -22 Configure os tempos máximos de envio dos pacotes de solicitação de autenticação

Configurar máx. Envio do pacote de tempos de autenticação

Durante a autenticação, o dispositivo de autenticação envia os outros pacotes EAP-Request, exceto os pacotes EAP-Request/Identity para o cliente, como o pacote de desafio EAP-Request/MD5. Se o dispositivo de autenticação não receber o pacote de resposta, retransmita o pacote. A função é utilizada para configurar os tempos máximos de envio do pacote. Se os tempos de envio excederem o valor máximo configurado, o dispositivo de autenticação julga que a autenticação do cliente falhou.

O processo de retransmissão do pacote EAP-Request é o seguinte:

Figura 12 -5 Retransmitir o pacote EAP-Request

Tabela 12 -23 Configure os tempos máximos de envio do pacote de autenticação

Configurar a função de log de registro de falha de autenticação

Após habilitar a função de registro de falha de autenticação, o dispositivo de autenticação registrará as informações sobre a falha de autenticação, de modo a detectar o motivo da falha.

Tabela 12 - 24 Configurar a função de log de registro de falha de autenticação

Configurar a função ARP Keepalive

Para verificar se o usuário está online após o usuário do terminal passar pela autenticação, o dispositivo de autenticação envia os pacotes de solicitação ARP para o usuário autenticado. O dispositivo de autenticação confirma se o usuário está online ao receber o pacote de resposta ARP do usuário.

Tabela 12 -25 Configurar a função keepalive ARP

O dispositivo de autenticação pode acionar a função keepalive ARP normalmente somente após obter o endereço IP do usuário autenticado. Se não estiver recebendo o pacote de resposta ARP do dispositivo de autenticação durante o período de proteção, force o usuário a ficar offline.

Configurar o máximo de usuários de uma porta

Após o número de usuários autenticados na porta atingir o limite configurado, o sistema de autenticação não responde à nova solicitação de autenticação iniciada pelo usuário.

Tabela 12 – 26 Configurar o máximo de usuários da porta

A porta precisa ser configurada como o modo de controle de acesso baseado no usuário (baseado em Mac). Caso contrário, os usuários de acesso configurados não podem entrar em vigor.

Configurar o nome do prefixo IP ACL

Após a autenticação do usuário final ser bem-sucedida, quando o servidor envia o IP ACL com o número maior que 2000 , é necessário configurar o IP ACL com o nome " IP ACL prefix name + ACL number" no dispositivo . Por exemplo, o servidor envia a ACL com o número 2001 e então configura a ACL IP com o nome " assignacl-2001" no dispositivo.

Tabela 12 -27 Configurar o nome do prefixo IP ACL

Quando o modo de controle de acesso é configurado como modo multi-host baseado em porta (multi-hosts em modo host baseado em porta), a entrega da função ACL não tem efeito.

Configurar VLAN válida padrão

Quando o servidor não envia a VLAN (Auto VLAN), esta configuração pode ser usada para especificar a VLAN se espera -se que os usuários autenticados se comuniquem na VLAN especificada .

Tabela 12 -28 Configure a VLAN válida padrão

A prioridade do relacionamento de ligação após a autenticação do usuário é na seguinte ordem: servidor enviando a VLAN, VLAN válida padrão, VLAN na qual o PVID da interface se localiza. Quando a porta é configurada com base no modo de controle de acesso do usuário (macbased), a VLAN efetiva padrão entrará em vigor quando a porta atender ao modo VLAN do modo híbrido e a condição MAC VLAN estiver habilitada.

Configure para permitir que o usuário não autenticado se comunique na VLAN que o PVID localiza no

Quando várias interfaces acessam a interface, cada terminal precisa realizar o controle de acesso. Alguns terminais que não podem iniciar a autenticação 802.1X também esperam visitar os recursos da rede e você pode habilitar o comando. Depois que a função é habilitada, o usuário final não autenticado pode normalmente se comunicar na VLAN na qual o PVID está localizado.

Esta função deve atender às seguintes funções para garantir o funcionamento normal.

• Habilite a autenticação 802.1X ou a autenticação de endereço MAC na interface.
• O modo de controle de acesso da interface é o modo de controle de acesso baseado no usuário (Macbased).
• O modo VLAN da porta é o modo híbrido.
• A função de receber apenas o pacote Untag precisa ser habilitada na interface.

Tabela 12 -29 Configure para permitir que o usuário não autenticado se comunique na VLAN que o PVID localiza em

Depois que a função é habilitada na interface, a função de apenas receber o pacote untag precisa ser habilitada na interface configurando o comando switchport accept frame-type untag na interface para garantir que o pacote enviado pelo usuário não autenticado possa apenas ser encaminhado na VLAN em que o PVID se localiza. Recomenda-se que esta função seja usada em conjunto com a VLAN enviada pelo servidor ou a VLAN válida padrão. A função não suporta a autenticação de canal seguro.

Configurar o modo de controle de acesso à porta

Existem dois tipos de modos de controle de acesso à porta: modo de controle de acesso baseado em porta e modo de autenticação de controle de acesso baseado em usuário.

Modo de controle de acesso baseado em porta (Portbased): Na porta, apenas permita a passagem de uma autenticação de usuário;

Modo de controle de acesso baseado em usuário (baseado em Mac): Na porta, permita que a autenticação multiusuário seja aprovada. Os usuários na porta precisam passar a autenticação respectivamente para que possam acessar a rede.

O modo de controle de acesso baseado em porta inclui dois tipos: modo multi-host e modo de host único.

Modo multi-host (Multi-hosts): Depois que um usuário na porta passa pela autenticação, os outros usuários na porta podem acessar a rede sem autenticação.

Modo Single-host (Single-host): Na porta, permite apenas que um usuário passe a autenticação e acesse a rede; os outros usuários não podem acessar a rede e também não podem passar na autenticação.

Tabela 12 - 30 Configurar o modo de controle de acesso à porta

Ao configurar o modo de host do modo de controle de acesso baseado em porta, precisamos garantir que o modo de controle de acesso esteja configurado como o modo de controle de acesso baseado em porta ( Portbased).

Configurar VLAN de convidado

O usuário pode obter o software cliente 802.1X no Guest VLAN para atualizar o cliente ou executar outro programa aplicativo (como software antivírus e patch do sistema operacional).

Tabela 12 - 31 Configurar VLAN de convidado

A VLAN convidada da porta não pode ser aplicada à VLAN dinâmica. Se o ID de VLAN especificado pelo Guest VLAN for o VLAN criado automaticamente pelo GVRP, o Guest VLAN poderá ser configurado com sucesso, mas não terá efeito. Para garantir que as funções possam ser usadas normalmente, distribua diferentes IDs de VLAN para VLAN de Voz, VLAN Privada e VLAN de Convidado.

Configurar ACL de convidado

Se o usuário não passar na autenticação, podemos configurar a Guest ACL na porta para limitar os recursos acessados pelo usuário na Guest VLAN.

Tabela 12 - 32 Configurar ACL de convidado

Se o Guest VLAN não estiver configurado na porta, o Guest ACL configurado não terá efeito. A ACL de convidado pode ter efeito apenas no modo de controle de acesso baseado no usuário (baseado em Mac). A regra ACL é configurada no dispositivo de autenticação.

Configurar VLAN crítica

Quando o usuário adota a autenticação RADIUS, o servidor de autenticação não fica disponível e, como resultado, a autenticação falha. Permita que o usuário acesse os recursos na VLAN especificada e a VLAN é chamada de VLAN Crítica.

Quando a porta está configurada como o modo de controle de acesso baseado em porta e há usuário para autenticar na porta, mas todos os servidores de autenticação não estão disponíveis, a porta é adicionada à VLAN crítica e todos os usuários sob a porta podem acessar os recursos na VLAN crítica.

Quando a porta está configurada como modo de controle de acesso baseado em usuário e há usuário para autenticar na porta, mas todos os servidores de autenticação não estão disponíveis, o usuário só tem permissão para acessar os recursos na VLAN Crítica.

Se a porta estiver configurada como o modo de controle de acesso baseado no usuário, ela deverá atender às seguintes condições para funcionar normalmente:

• O modo VLAN da porta é o modo híbrido
• A porta habilita a função MAC VLAN. O usuário na VLAN crítica inicia a autenticação. Se o servidor de autenticação ainda não estiver disponível, o usuário ainda está na VLAN Crítica. Se o servidor de autenticação estiver disponível, o usuário sairá da VLAN crítica com o resultado da autenticação.

Após a porta ser adicionada à VLAN crítica e se o dispositivo de autenticação estiver configurado com a função de detecção AAA, é detectado que o servidor de autenticação está disponível. Se a reinicialização da recuperação de vlan crítica estiver configurada:

• Se a porta for o modo de controle de acesso baseado em mac, a porta adicionada à VLAN crítica enviará o pacote unicast a todos os usuários na VLAN crítica ativamente, acionando a reautenticação do usuário.
• Se a porta for o modo de controle de acesso baseado em porta, a porta adicionada à VLAN crítica enviará ativamente o pacote multicast, acionando o usuário para reautenticar.

Tabela 12 -33 Configurar VLAN Crítica

A função suporta apenas a autenticação RADIUS. Se a função radius e escape estiverem configuradas no dispositivo, ou seja, configure a autenticação aaa dot1x radius none e critical vlan , quando o usuário autenticar, o servidor de autenticação não estará disponível e o usuário não entrará na Critical VLAN, mas escapará diretamente. Se apenas a função escape estiver configurada, ou seja, configurar a autenticação aaa dot1x none e critical vlan , quando o usuário autenticar, a função escape entrará em vigor. Ao configurar apenas a função Guest VLAN na porta, o usuário não conseguiu autenticar está na Guest VLAN. Quando a função Guest VLAN e Critical VLAN são configuradas na porta ao mesmo tempo, o usuário não consegue autenticar porque o servidor de autenticação não está disponível e entra na Critical VLAN. Se o usuário falhar por outro motivo, ele entrará na Guest VLAN. Para a função de detecção AAA, consulte a configuração da seção AAA.

Configurar a função de transferência de autenticação do usuário

A função de transferência de autenticação de usuário se aplica ao cenário em que o mesmo usuário (distinguir com base no endereço MAC do terminal) transfere de uma porta de autenticação do mesmo dispositivo para outra. Quando a função de transferência de autenticação do usuário está desabilitada, o usuário não tem permissão para iniciar a autenticação em outra porta de autenticação do dispositivo após ser autenticado em uma porta do dispositivo; quando a função de transferência de autenticação do usuário está habilitada e depois que o usuário é autenticado em uma porta, o dispositivo primeiro exclui as informações de autenticação na porta original após detectar que o usuário transfere para outra porta de autenticação e, em seguida, permite que o usuário inicie a autenticação na nova porta de autenticação

Independentemente de a função de transferência de autenticação do usuário estar habilitada ou não, o dispositivo gravará o log ao detectar que o usuário transfere entre as portas de autenticação.

Tabela 12 -34 Configurar a função de transferência de autenticação do usuário

Configurar parâmetros do temporizador

Os parâmetros do temporizador na porta contêm: temporizador de reautenticação, temporizador silencioso, temporizador de tempo limite do servidor, temporizador de tempo limite do cliente, temporizador de verificação offline do usuário de autenticação de endereço MAC.

Temporizador de reautenticação ( re-authperiod): Após configurar a função de reautenticação na porta, o dispositivo de autenticação inicia regularmente a solicitação de reautenticação ao cliente, aplicável à autenticação 802.1X.

Temporizador de silêncio (período de silêncio): Quando o cliente atinge os tempos máximos de falha de autenticação, o dispositivo de autenticação pode responder à solicitação de autenticação do cliente novamente após o tempo de silêncio expirar, aplicável à autenticação 802.1X e à autenticação de endereço MAC.

Temporizador de timeout do servidor (server-timeout): Se o dispositivo de autenticação não receber o pacote de resposta do servidor dentro do tempo especificado, ele é considerado desconectado do servidor, aplicável à autenticação 802.1X e autenticação de endereço MAC.

Timer timeout do cliente (supp-timeout): Se o dispositivo de autenticação não receber o pacote de resposta do cliente 802.1X dentro do tempo especificado, considera-se desconectado do usuário, aplicável à autenticação 802.1X.

Temporizador de verificação offline do usuário de autenticação de endereço MAC (detecção offline): Depois de habilitar a autenticação de endereço MAC, a porta detecta periodicamente se o usuário está online, aplicável à autenticação de endereço MAC.

Tabela 12 - 35 Configurar os parâmetros do temporizador

Configurar função MAB

Quando o terminal passa pela autenticação de endereço MAC e precisa passar pela autenticação do cliente para usar direitos de acesso mais altos, esta função pode ser habilitada.

Tabela 12 - 36 Habilitar a função MAB

Restaurar a configuração padrão da porta

Restaure a configuração padrão da autenticação 802.1X e a autenticação de endereço MAC na porta.

Tabela 12 – 37 Restaurar a configuração padrão da porta

O comando show dot1x é usado para visualizar os parâmetros de configuração padrão de autenticação detalhada.

Configurar a função de domínio de autenticação forçada da porta

Você pode habilitar essa função quando precisar atribuir à força os usuários autenticados na porta a um domínio especificado para autenticação.

Por padrão, o domínio de autenticação obrigatória da porta não está configurado. O domínio usado para autenticação do usuário usa o domínio carregado pelo nome do usuário. Se o usuário não carrega o domínio, o domínio padrão do módulo aaa é usado.

Após a configuração na porta, a prioridade do domínio utilizado pelo usuário é: domínio configurado na porta > domínio transportado pelo usuário > domínio padrão do módulo aaa.

Tabela 12 – 38 Ativar a função de domínio de autenticação forçada

802.1X Monitoramento e Manutenção

Tabela 12 - 39 Monitoramento e manutenção do 802.1X

Configurar autenticação baseada em porta 802.1X

Requisitos de rede

1. O usuário PC1 e PC2 em uma VLAN estão conectados à rede IP via dispositivo. No Dispositivo, habilite o controle de acesso 802.1X;
2. O modo de autenticação adota a autenticação RADIUS;
3. Quando o usuário não passar na autenticação, apenas permita o acesso ao Update Server; após o usuário passar na autenticação, permitir o acesso à Rede IP;
4. Depois que um usuário na LAN passa pela autenticação, os outros usuários na VLAN podem acessar a rede IP sem autenticação.

Topologia de rede

Figura 12 – 6 Rede de configuração da autenticação baseada em porta 802.1X

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Create VLAN2–Vlan5 no dispositivo.

Device#configure terminal
Device(config)# vlan 2-5 
Device(config)#exit

# Configura o tipo de link da interface gigabitethernet 0/2 como Access , permitindo que os serviços da VLAN2 passem

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 2
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet0/3~gigabitethernet0/5 do dispositivo como acesso, permitindo que os serviços de VLAN3-VLAN5 passem respectivamente. (Omitido)

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#exit

• Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no dispositivo e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin 

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, senha e chave como admin no servidor AAA. (Omitido)

#No servidor AAA, configure o RADIUS para entregar os três atributos de Auto VLAN: 64 é VLAN, 65 é 802 e 81 é VLAN3. (Omitido)

• Passo 5:Configure a autenticação da porta 802.1X.

#Ative a autenticação 802.1X na porta e o modo de autenticação é baseado em porta.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)# authentication port-method portbased 
Device(config-if-gigabitethernet0/2)#exit

#Configure Guest VLAN da porta como VLAN4.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication guest-vlan 4
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:Confira o resultado.

#Antes de passar a autenticação, gigabitethernet0/2 é adicionado ao Guest VLAN. Aqui, os usuários PC1 e PC2 estão na VLAN4 e permitem acessar o Servidor de Atualização.

Device#show vlan 4
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Interface           
---- ---- -------------------------------- ------- --------- -----------------------------
1    4    VLAN0004                         static  Untagged  gi0/2  gi0/4

#Verifique se o PC1 pode passar na autenticação; o servidor de autenticação entrega VLAN3. Aqui, os usuários PC1 e PC2 estão na VLAN3 e podem acessar a rede IP.

Device#show dot1x user
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        3               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar autenticação baseada em Mac 802.1X

Requisitos de rede

1. O usuário PC1 e PC2 em uma VLAN estão conectados à rede IP via dispositivo. O dispositivo adota o controle de acesso 802.1X;
2. O modo de autenticação adota a autenticação RADIUS;
3. Quando o PC não passar na autenticação, apenas permita o acesso ao Servidor de Atualização; após passar a autenticação, só permitir o acesso à Rede IP;
4. Depois que um usuário na LAN passar pela autenticação, os outros usuários na VLAN ainda não poderão acessar a rede IP sem passar pela autenticação.

Topologia de rede

Figura 12 - 7 Rede de configuração da autenticação baseada em Mac 802.1X

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e interface no dispositivo .

#Create VLAN2–VLAN5 no dispositivo.

Device#configure terminal
Device(config)#vlan 2-5
Device(config)#exit

#Configure o tipo de link da interface gigabitethernet 0/2 como Híbrido , permitindo a passagem de serviços de VLAN2 . Configure PVID como 2 . Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet0/3-gigabitethernet0/5 do dispositivo como acesso, permitindo que os serviços de VLAN3-VLAN5 passem respectivamente. (Omitido)

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#exit

• Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key   admin

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, senha e chave como admin no servidor AAA. (Omitido)

#No servidor AAA, configure o RADIUS para entregar os três atributos de Auto VLAN: 64 é VLAN, 65 é 802 e 81 é VLAN3. (Omitido)

• Passo 5:Configure a autenticação 802.1X.

#Ative a autenticação 802.1X na porta e configure o modo de autenticação como Macbased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#authentication port-method macbased
Device(config-if-gigabitethernet0/2)#exit

#Enable MAC VLAN de gigabitethernet0/2.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac-vlan enable
Device(config-if-gigabitethernet0/2)exit

#Configure Guest VLAN da porta como VLAN4.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication guest-vlan 4
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:Confira o resultado.

#Antes de passar a autenticação, gigabitethernet0/2 é adicionado ao Guest VLAN. Aqui. PC1 e PC2 estão em VLAN4, e PC1 e PC2 podem acessar o servidor de atualização.

Device#show vlan 4
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Interface           
---- ---- -------------------------------- ------- --------- -----------------------------
1    4    VLAN0004                         static  Untagged  gi0/2  gi0/4

#Depois que o usuário PC1 inicia a autenticação e passa a autenticação, o usuário PC1 está em Auto VLAN3 e pode acessar a rede IP. Aqui, o PC2 ainda não pode acessar a rede IP sem autenticação.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        3               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

#Após o usuário do PC2 inserir o nome de usuário ou senha errados e falhar na autenticação, o usuário do PC2 está na VLAN4 do Convidado e pode acessar o Servidor de Atualização.

Device#show dot1x user 
--------------------
NO 1  : MAC_ADDRESS= 3883.45ef.f395  STATUS=      Unauth(guest)      USER_NAME=   admin
        VLAN=        4               INTERFACE=   gi0/2              USER_TYPE=   DOT1X
        AUTH_STATE=  GUEST_HELD      BACK_STATE=  IDLE               IP_ADDRESS=  Unknown
        IPV6_ADDRESS= Unknown
                                    
Total:1     Authorized: 0   Unauthorized/guest/critical: 0/1/0   Unknown: 0

Configurar o modo de transmissão transparente 802.1X

Requisitos de rede

1. O PC está conectado ao Device2 habilitado com o controle de acesso 802.1X via Device1 e conectado à rede IP.
2. Device1 habilita a função de transmissão transparente; Device2 usa o modo de autenticação RADIUS .
3. Depois de passar a autenticação, o PC pode acessar a rede IP.

Topologia de rede

Figura 12 - 8 Rede de configuração do modo de transmissão transparente 802.1X

Etapas de configuração

• Passo 1:Configure o tipo de link de VLAN e interface no Device2.

#Create VLAN2–VLAN3 no Device2.

Device2#configure terminal
Device2(config)#vlan 2-3
Device2(config)#exit

#Configure o tipo de link da interface gigabitethernet 0/1 como Access , permitindo a passagem de serviços da VLAN2 .

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#switchport mode access
Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
Device2(config-if-gigabitethernet0/1)#exit

#Configure o tipo de link de porta em gigabitethernet0/2–gigabitethernet0/3 do Device2 como Access, permitindo que os serviços de VLAN2–VLAN3 passem. (Omitido)

• Passo 2:Configure o endereço IP da interface do Device2.

#Configure o endereço IP da VLAN3 como 130.255.167.1/24.

Device2(config)#interface vlan 3
Device2(config-if-vlan3)#ip address 130.255.167.1 255.255.255.0
Device2(config-if-vlan3)#exit

• Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no Device2 e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e a chave como admin no servidor AAA. (Omitido)

• Passo 5:Configure a porta VLAN do Device1.

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do Device1 como Access, permitindo que os serviços da VLAN2 passem. (Omitido)

• Passo 6:Habilite a função de transmissão transparente 802.1X no Device1.

#Configure o modo de transmissão transparente 802.1X em gigabitethernet0/1 de Device1 e a porta de uplink é gigabitethernet0/2.

Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#dot1x eapol-relay enable
Device1(config-if-gigabitethernet0/1)#dot1x eapol-relay uplink interface gigabitethernet 0/2
Device1(config-if-gigabitethernet0/1)#exit

• Passo 7:Configure o modo de autenticação 802.1X no Device2.

#Ative a autenticação 802.1X de gigabitethernet0/1 e o modo de autenticação de porta é baseado em porta.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x port-control enable
Device2(config-if-gigabitethernet0/1)# authentication port-method portbased
Device2(config-if-gigabitethernet0/1)#exit

• Passo 8:Confira o resultado.

O usuário do #PC pode ser autenticado com sucesso e acessar a rede IP.

Device2#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/1             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar autenticação de cliente livre 802.1X

Requisitos de rede

1. A impressora de rede está conectada à rede IP via dispositivo; O dispositivo adota o controle de acesso 802.1X;
2. O dispositivo executa regularmente a detecção offline para a impressora de rede.
3. Use o modo de autenticação RADIUS.
4. Depois de passar a autenticação, a impressora de rede pode executar a tarefa de impressão da rede IP.

Topologia de rede

Figura 12 - 9 Rede de configuração da autenticação de cliente livre 802.1X

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e interface no dispositivo .

# Crie VLAN2–VLAN3 no dispositivo.

Device#configure terminal
Device(config)#vlan 2-3
Device(config)#exit

# Configure o tipo de link da interface gigabitethernet 0/1 como Access , permitindo a passagem de serviços de VLAN2 .

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

#Configure o tipo de link de porta em gigabitethernet0/2–gigabitethernet0/3 do dispositivo como acesso, permitindo que os serviços de VLAN2–VLAN3 passem. (Omitido)

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN3 como 130.255.167.1/24.

Device(config)#interface vlan 3
Device(config-if-vlan3)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan3)#exit

• Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no Device2 e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e a chave como admin no servidor AAA. (Omitido)

• Passo 5:Configure a autenticação 802.1X.

#Configure o modo de autenticação de cliente livre 802.1X e use o endereço MAC da impressora de rede como nome de usuário e senha.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#dot1x mac-authentication enable
Device(config-if-gigabitethernet0/1)#exit

#Configure Dispositivo para realizar a detecção offline da impressora a cada 120 segundos.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#dot1x timeout offline-detect 120
Device(config-if-gigabitethernet0/1)#exit

• Passo 6:Confira o resultado.

#A impressora de rede pode passar a autenticação e pode executar a tarefa de impressão da rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.f395  STATUS=  Authorized    USER_NAME=   38-83-45-ef-f3-95
         VLAN=        2                INTERFACE=   gi0/1              USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE             IP_ADDRESS=  199.0.0.3
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0  hours 1  minutes 6 seconds
Total: 1     Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar canal seguro

Requisitos de rede

• Os usuários PC1 e PC2 na mesma VLAN acessam a rede IP através do Device. Habilite o controle de acesso ao canal seguro no dispositivo.
• A autenticação adota a autenticação RADIUS.
• O PC1 tem permissão para visitar o Servidor de Atualização antes do sucesso da autenticação e tem permissão para visitar o Servidor de Atualização e a Rede IP após o sucesso da autenticação.
• O PC2 tem permissão para visitar o servidor de atualização e a rede IP sem autenticação.

Topologia de rede

Figura 8–8 Rede de configuração de canal seguro

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e da interface na interface.

#Crie VLAN2 e VLAN5 no dispositivo.

Device#configure terminal
Device(config)#vlan 2,5
Device(config)#exit

#Configure o tipo de link da interface gigabitethernet0/2 como Acesso, permitindo a passagem de serviços de VLAN2.

Device#configure terminal
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# switchport mode access
Device(config-if-gigabitethernet0/2)# switchport access vlan 2
Device(config-if-gigabitethernet0/2)#end

#Configura o tipo de link da interface gigabitethernet 0/3–gigabitethernet 0/4 como Access on Device, permitindo a passagem de serviços de VLAN2. Configure o tipo de link da interface gigabitethernet 0/5 como Acesso, permitindo a passagem de serviços de VLAN5. (Omitido)

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device#configure terminal
Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#end

• Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo e adote o modo de autenticação RADIUS. Configure a chave do servidor como admin, a prioridade como 1 e o endereço IP do servidor RADIUS como 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e o valor da chave no servidor AAA como administrador. (Omitido)

• Passo 5:Configure o canal seguro.

#Habilite o controle de acesso ao canal seguro na interface gigabitethernet 0/2 .

Device#configure terminal
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x free-ip
Device(config-if-gigabitethernet0/2)#exit

#Configure um canal seguro chamado channel e configure para permitir que o PC1 visite o Servidor de Atualização e configure para permitir que o PC2 visite o Servidor de Atualização e a Rede IP .

Device#configure terminal 
Device(config)#hybrid access-list advanced channel
Device (config-adv-hybrid-nacl)#permit ip any any host 199.0.0.10 any
Device(config-adv-hybrid-nacl)#permit ip host 199.0.0.2 any any any

#Aplica o canal seguro chamado channel .

Device#configure terminal
Device(config)#global security access-group channel
Device(config)#exit

• Passo 6:Confira o resultado.

#Visualize as informações de configuração do canal seguro.

Device#show dot1x free-ip 
802.1X free-ip Enable Interface (num:1): gi0/2
                                    
global security access-group channel
                                    
Total free-ip user number    : 0
                                    
                                    
Device#show hybrid access-list channel
hybrid access-list advanced channel
10 permit ip any any host 199.0.0.10 any 
20 permit ip host 199.0.0.2 any any any

Pode-se ver que o canal seguro está habilitado na interface gigabitethernet 0/2 e a interface está vinculada à regra de canal seguro do canal.

#PC1 pode visitar o servidor de atualização e não pode visitar outros recursos de rede antes do sucesso da autenticação.

#Visualize as informações de autenticação do usuário após o usuário PC1 iniciar a autenticação e a autenticação for bem-sucedida.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2           USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.1
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Pode ser visto que o usuário PC1 passou na autenticação e então o PC1 pode visitar o Servidor de Atualização e a Rede IP.

#PC2 pode visitar o servidor de atualização e a rede IP sem autenticação.

Configurar o modo de servidor DHCP de autorização de IP

Requisitos de rede

• O PC está conectado à Rede IP via Dispositivo; Dispositivo habilita o controle de acesso 802.1X;
• O modo de autenticação adota a autenticação RADIUS.
• O PC1 obtém o endereço IP por meio do servidor DHCP especificado e pode acessar a rede IP.
• Após ser configurado para realizar a autenticação de endereço IP estático, o PC2 não pode acessar a rede IP.

Topologia de rede

Figura 12 -10 Rede de configuração de autorização de IP 802.1X Modo de servidor DHCP

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2 e VLAN4 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/5 do dispositivo, configure o tipo de link da porta como acesso, permita a passagem dos serviços da VLAN2 (omitido).

#Configure o tipo de link de porta como Acesso em gigabitethernet0/4 do Dispositivo, permita que os serviços de VLAN4 passem (omitidos).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP das VLANs 4 a130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit

• Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

• Passo 5:Configure o servidor DHCP.

#No servidor DHCP, configure o segmento de endereço IP distribuído como 199.0.0.2-199.0.0.10 e a máscara de sub-rede como 255.255.255.0 (omitido).

• Passo 6:Habilite a função DHCP Snooping no dispositivo e configure a porta gigabitethernet0/5 do dispositivo como porta confiável.

Device(config)#dhcp-snooping
Device(config)#intergice gigabitethernet 0/5
Device(config-if-gigabitethernet0/5)#dhcp-snooping trust
Device(config-if-gigabitethernet0/5)#exit

• Passo 7:Configure a autenticação 802.1X no dispositivo.

#Ative a autenticação 802.1X de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit

#Configure a autorização de IP de gigabitethernet0/2 como modo de servidor DHCP.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x authorization ip-auth-mode dhcp-server 
Device(config-if-gigabitethernet0/2)#exit

#Ative o keepalive ARP de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x client-probe enable 
Device(config-if-gigabitethernet0/2)#exit

• Passo 8:Confira o resultado.

O usuário #PC1 pode autenticar com sucesso e pode obter o endereço IP do servidor DHCP e acessar a rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2           USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.3
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minutes 36 seconds
                                    
Total: 1   Authorized: 1   Unauthorized/guest/critical: 0/0/0 Unknown: 0

#Após a autenticação do usuário PC2, ele está no estado GET-IP e não pode obter o endereço IP.

NO 1   : MAC_ADDRESS= 3883.45ef.f381  STATUS=      Unauthorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  GET_IP          BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hour 0 minute 34 seconds
                                    
Total: 1   Authorized: 0   Unauthorized/guest/critical: 1/0/0 Unknown: 0

#Após a verificação, o PC2 não pode acessar a rede IP.

Configurar VLAN crítica 802.1X

Requisitos de rede

• O PC está conectado à Rede IP via Dispositivo; Dispositivo habilita o controle de acesso 802.1X;
• O modo de autenticação adota a autenticação RADIUS.
• Quando o PC falha ao autenticar porque o servidor não está disponível, permita apenas o acesso ao Update Server.

Topologia de rede

Figura 12 -11 Rede de configuração da VLAN crítica 802.1X

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2, VLAN4 e VLAN5 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4,5
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/5 do dispositivo, configure o tipo de link da porta como acesso, permita que os serviços da VLAN5 passem (omitido).

#Configure o tipo de link de porta como Acesso em gigabitethernet0/4 do Dispositivo, permita que os serviços de VLAN4 passem (omitidos).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit

• Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

• Passo 5:Configure a autenticação 802.1X no dispositivo.

#Ative a autenticação 802.1X de gigabitethernet 0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit

#Enable MAC VLAN de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac-vlan enable
Device(config-if-gigabitethernet0/2)exit

#Configure VLAN crítica da porta como VLAN5.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication critical-vlan 5
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:Confira o resultado.

#Como o servidor está anormal, o dispositivo não pode executar ping no servidor. Como resultado, a autenticação do usuário falha porque o servidor não está disponível. O usuário do PC está na VLAN Crítica e pode acessar o Servidor de Atualização.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Unauth(critical)  USER_NAME=   admin
         VLAN=        5               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  CRITICAL_HELD   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
                                    
                                    
 Total: 1   Authorized: 0   Unauthorized/guest/critical: 0/0/1 Unknown: 0

#A porta gigabitethernet0/2 é adicionada à VLAN crítica.

Device#show vlan 5
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Intergice           
---- ---- -------------------------------- ------- --------- -----------------------------
1    5 VLAN5                         static  Untagged  gi0/2  gi0/5

Configurar usando 802.1x com Port Security

Requisitos de rede

• O PC está conectado à Rede IP via Dispositivo; O dispositivo habilita o controle de acesso 802.1X e a Port Security;
• O modo de autenticação adota a autenticação RADIUS.
• Configure a regra de Port Security de não corresponder ao endereço MAC do PC1, e o PC1 pode passar a autenticação e acessar a rede IP.
• Configure a regra de negação de Port Security para corresponder ao endereço MAC do PC2, e o PC2 não pode passar na autenticação.

Topologia de rede

Figura 12 -12 Rede de configuração usando 802.1X com Port Security

Etapas de configuração

• Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2, VLAN4 e VLAN5 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/4 do dispositivo, configure o tipo de link da porta como acesso, permita que os serviços da VLAN4 passem (omitido).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit

• Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

• Passo 5:Configure a autenticação 802.1X no dispositivo.

#Habilite a autenticação 802.1X em gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:Configure a Port Security no dispositivo.

#Ative a Port Security na porta gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security enable
Device(config-if-gigabitethernet0/2)exit

#Configure a regra de Port Security na porta gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security deny mac-address 3883.45EF.7984
Device(config-if-gigabitethernet0/2)exit

• Passo 7:Confira o resultado.

O usuário #PC1 pode autenticar com sucesso e acessar a rede IP após passar a autenticação.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.f381  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hour 0 minute 1 second
                                    
 Total: 1   Authorized: 1   Unauthorized/guest/critical: 0/0/0 Unknown: 0

O usuário #PC2 não consegue autenticar com sucesso e não consegue acessar a rede.

Visão geral do portal

A autenticação do portal também é conhecida como autenticação da Web, ou seja, autentica o usuário aceitando o nome de usuário e a senha inseridos pelo usuário por meio da página da Web. A tecnologia de autenticação do Portal fornece um método de controle de acesso flexível. Sem instalar o cliente, o controle de acesso pode ser implementado na camada de acesso e na entrada de dados chave que precisa ser protegida. O site de autenticação do portal é geralmente chamado de site do portal.

Quando usuários não autenticados acessam a rede, o dispositivo força os usuários a acessar um site específico, ou seja, o servidor do Portal. Sem autenticação, os usuários podem acessar os serviços gratuitamente, como atualização de programas de aplicativos (como software antivírus e patches do sistema operacional). Quando os usuários precisam utilizar outros recursos na Internet, eles devem autenticar sua identidade na página de autenticação do Portal fornecida pelo servidor do Portal. Eles podem usar os recursos de rede somente depois de passar a autenticação.

Além da flexibilidade de autenticação, o Portal também pode fornecer funções de gerenciamento convenientes. Na página de autenticação do Portal, você pode realizar serviços personalizados como publicidade e notificação.

Composição do Sistema Portal

O método de rede típico do Portal é mostrado na figura a seguir. Ele consiste em quatro elementos: Portal Client, Authentication Device, Portal Server (servidor Portal) e AAA Server (autenticação/autorização/servidor de estatísticas, referido como servidor AAA).

Figura 13 -1 Composição do sistema do portal

• Cliente Autenticado: Normalmente, é o navegador que executa o protocolo HTTP, e também pode ser o software proprietário do Portal.
• Dispositivo de autenticação: O dispositivo de autenticação está localizado entre o cliente e o servidor de autenticação. Ele controla o acesso à rede do cliente interagindo com o servidor Portal e o servidor AAA.
• Servidor do Portal: O sistema do lado do servidor que recebe solicitações de autenticação de clientes de autenticação, fornece serviços de portal gratuitos e interface de autenticação baseada na Web. O Portal Server aceita solicitações de autenticação de clientes de autenticação, extrai as informações de autenticação, interage com dispositivos de autenticação por meio do protocolo do Portal e notifica os clientes de autenticação sobre os resultados da autenticação.
• Servidor AAA: Normalmente, é o servidor RADIUS (Remote Authentication Dial-In User Service), utilizado para verificar a validade do cliente e notificar o resultado da autenticação ao dispositivo de autenticação. O dispositivo de autenticação controla o acesso à rede do cliente de acordo com o resultado da autenticação.

Modos de autenticação do portal

Em diferentes modos de rede, os modos de autenticação do Portal disponíveis são diferentes, diferenciados pelas camadas de rede que implementam a autenticação do Portal na rede. Os modos de autenticação do Portal são divididos em dois tipos: modo de autenticação L2 e modo de autenticação L3.

1. Modo de autenticação L2

Suporte a ativação da função de autenticação do Portal na interface L2 do dispositivo de autenticação que conecta o usuário. Os usuários só podem acessar o servidor do Portal configurando manualmente ou DHCP para obter diretamente um endereço IP antes da autenticação; após a autenticação, eles podem acessar os recursos da rede. O modo de autenticação L2 é baseado no controle MAC de origem, que permite que os pacotes com o endereço MAC de origem válido passem após a autenticação.

1. Modo de autenticação L3

Suporte para habilitar a função de autenticação do Portal na interface L3 do dispositivo de autenticação que conecta o usuário. O modo de autenticação L3 pode ser dividido em modo de autenticação L3 comum e modo de autenticação de atribuição de endereço secundário.

1. Modo de autenticação L3 comum

Os usuários só podem acessar o servidor Portal e o endereço de acesso livre configurando manualmente ou DHCP para obter diretamente um endereço IP antes da autenticação; após a autenticação, eles podem acessar os recursos da rede. O modo de autenticação L3 comum tem dois modos de controle:

• Controle baseado no IP de origem: Permitir que o pacote com o IP de origem válido passe após passar a autenticação
• Controle baseado no IP de origem + MAC de origem: permite que o pacote com o IP de origem válido e o MAC de origem passem após passar a autenticação

Processo de autenticação do portal

Existem dois modos de interação de autenticação entre o servidor do Portal e o dispositivo de autenticação:

• Interação de autenticação CHAP (Challenge Handshake Authentication Protocol): O nome de usuário e a senha são criptografados para transmitir, com alta segurança
• Interação de autenticação PAP (Password Authentication Protocol): O nome de usuário e a senha são transmitidos em texto simples, com baixa segurança

Para adotar a interação de autenticação CHAP, o servidor do Portal executará a verificação de handshake de consulta. O desafio é gerado aleatoriamente quando o dispositivo de autenticação recebe o pacote de desafio de solicitação, o comprimento é de 16 bytes e é entregue ao servidor do Portal com o pacote de resposta de desafio.

O processo de autenticação do L2 Portal é o mesmo que o processo normal de autenticação do L3 Portal. O processo de autenticação do Portal da atribuição de endereço secundário possui dois processos de atribuição de endereço, portanto, seu processo de autenticação é diferente dos outros dois modos de autenticação.

1. O fluxo de autenticação L2 Portal e autenticação L3 Portal comum

O fluxograma é o seguinte:

Figura 13 -2 fluxograma CHAP de autenticação L2/L3 comum Portal

Figura 13 -3 O fluxograma PAP de autenticação do Portal L2/L3 comum

O fluxo da autenticação do Portal L2 e da autenticação do Portal L3 comum:

1. Os usuários do portal iniciam solicitações de autenticação por meio do protocolo HTTP quando precisam acessar a rede. Quando o pacote HTTP passa pelo dispositivo de autenticação, o dispositivo autenticado permite que o pacote HTTP acesse o servidor do Portal ou com o endereço de acesso livre definido para passar; para o pacote HTTP que acessa outros endereços, o dispositivo de autenticação o intercepta e o redireciona para o servidor do Portal. O servidor Portal fornece a página da Web para que os usuários insiram os nomes de usuário e senhas válidos registrados no servidor de autenticação para iniciar um processo de autenticação.
2. O servidor do Portal adota a interação de autenticação CHAP para verificar o handshake de consulta e o servidor do Portal solicita o Desafio do dispositivo de autenticação. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
3. O dispositivo de autenticação gera aleatoriamente o desafio ao receber o pacote de desafio de solicitação , envia o pacote de sucesso de desafio de solicitação e entrega o desafio ao servidor do Portal. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
4. O servidor do Portal monta o nome de usuário e a senha inseridos pelo usuário em um pacote de autenticação de solicitação e o envia ao dispositivo de autenticação para solicitar a autenticação. Ao mesmo tempo, ative o temporizador para aguardar a resposta de autenticação.
5. Interaja com o pacote de protocolo RADIUS entre o dispositivo de autenticação e o servidor RADIUS.
6. O dispositivo de autenticação envia o pacote de sucesso de autenticação para o servidor do Portal.
7. O servidor do Portal envia o pacote de passagem de autenticação para o cliente de autenticação, informando ao usuário sobre o sucesso da autenticação.
8. O servidor do Portal envia o pacote de confirmação de sucesso da autenticação para o dispositivo de autenticação.

1. O fluxo de autenticação do Portal da atribuição de endereço secundário

O fluxograma é o seguinte:

Figura 13 -4 O fluxograma CHAP de atribuição de endereço secundário Autenticação do portal

Figura 13 -5 O fluxograma PAP de atribuição de endereço secundário Autenticação do portal

O fluxograma de autenticação do Portal da atribuição de endereço secundário:

1. Os usuários do portal iniciam solicitações de autenticação por meio do protocolo HTTP quando precisam acessar a rede. Quando o pacote HTTP passa pelo dispositivo de autenticação, o dispositivo autenticado permite que o pacote HTTP acesse o servidor do Portal ou com o endereço de acesso livre definido para passar; para o pacote HTTP que acessa outros endereços, o dispositivo de autenticação o intercepta e o redireciona para o servidor do Portal. O servidor Portal fornece a página da Web para que os usuários insiram os nomes de usuário e senhas válidos registrados no servidor de autenticação para iniciar um processo de autenticação.
2. O servidor do Portal adota a interação de autenticação CHAP para verificar o handshake de consulta e o servidor do Portal solicita o Desafio do dispositivo de autenticação. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
3. O dispositivo de autenticação gera o desafio aleatoriamente ao receber o pacote de desafio de solicitação, envia o pacote de sucesso do desafio de solicitação e entrega o desafio ao servidor do Portal. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
4. O servidor do Portal monta o nome de usuário e a senha inseridos pelo usuário em um pacote de autenticação de solicitação e o envia ao dispositivo de autenticação para solicitar a autenticação. Ao mesmo tempo, ative o temporizador para aguardar a resposta de autenticação.
5. Interaja com o pacote de protocolo RADIUS entre o dispositivo de autenticação e o servidor RADIUS.
6. O dispositivo de autenticação envia o pacote de sucesso de autenticação para o servidor do Portal.
7. O servidor do Portal envia o pacote de passagem de autenticação para o cliente de autenticação, informando ao usuário sobre o sucesso da autenticação.
8. Após receber o pacote de senha de autenticação, o cliente obtém o novo endereço IP público via DHCP e informa ao servidor do Portal que o usuário obteve o novo endereço IP.
9. O dispositivo de autenticação descobre a alteração do endereço IP do usuário detectando a entrada DHCP Snooping, modifica o endereço IP do usuário e envia o pacote de alteração do endereço IP do usuário para informar que o servidor do Portal detectou a alteração do IP do usuário.
10. O servidor do Portal informa ao cliente que ficou online com sucesso.
11. O servidor do Portal envia o pacote de confirmação de alteração de endereço IP do usuário para o dispositivo de autenticação.

Suporte para entrega de ACL

ACL (Access Control List) fornece a função de controlar o acesso do usuário aos recursos da rede e restringir a autoridade de acesso dos usuários. Quando o usuário estiver online, e se a ACL autorizada estiver configurada no servidor, o dispositivo controlará o fluxo de dados da porta do usuário de acordo com a ACL autorizada emitida pelo servidor. Antes de configurar a ACL autorizada no servidor, é necessário configurar as regras correspondentes no dispositivo. A autenticação L2 Portal suporta a entrega da ACL padrão IP e ACL estendida IP, e a autenticação L3 Portal suporta a entrega da ACL estendida IP, mas os itens correspondentes das regras ACL configuradas suportam a adição de “IP de origem + MAC de origem”.

Configurar o Portal Server e os Atributos

Condição de configuração

Nenhum

Criar um servidor de portal

Crie um servidor do Portal e especifique os parâmetros relacionados do servidor do Portal, incluindo o endereço IP do servidor, chave criptografada compartilhada, número da porta do servidor e URL do servidor (o endereço da página de autenticação do servidor).

Tabela 13 – 2 Criar um servidor de Portal

O protocolo do Portal suporta apenas o protocolo IPv4. Até 5 servidores do Portal são criados no dispositivo de autenticação. Os parâmetros do servidor Portal configurados podem ser excluídos ou modificados somente quando o servidor Portal não é referenciado pela interface. As chaves de compartilhamento configuradas no dispositivo de autenticação e no servidor do Portal devem ser consistentes.

Configurar o tipo de servidor do portal

A configuração do tipo de servidor do Portal tem dois aspectos de funções:

• Diferentes servidores do Portal fazem algumas expansões nas especificações do protocolo padrão do Portal.
• Quando o servidor do Portal não está configurado com a URL do servidor, o servidor do Portal usa a URL do servidor padrão do tipo correspondente para redirecionar.

Os seguintes tipos de servidor podem ser especificados:

aas: O servidor AAS, URL do servidor padrão: http://IP-ADDRESS/portal/Login.do

imc: O servidor IMC, URL do servidor padrão: http://IP-ADDRES:8080/porta

definido pelo usuário: servidor definido pelo usuário. O formato de URL do servidor padrão segue a especificação de protocolo <especificação de protocolo PORTAL para o serviço China Mobile WLAN v2.0.2>.

Tabela 13 – 3 Configurar o tipo de servidor do Portal

Configurar a função de detecção do servidor do portal

No processo de autenticação do Portal, se a comunicação entre o dispositivo de autenticação e o servidor do Portal for interrompida, os novos usuários não poderão ficar online e os usuários do Portal online existentes não poderão ficar offline normalmente. Para resolver esses problemas, é necessário que o dispositivo de autenticação possa detectar a tempo a mudança do estado alcançável do servidor do Portal e acionar as operações correspondentes para lidar com o impacto da mudança. Por exemplo, quando um servidor do Portal especificado não estiver acessível, todos os usuários que se autenticarem usando o servidor do Portal serão forçados a passar a autenticação para acessar os recursos da rede, que é comumente chamada de função de escape do Portal.

Com a função de detecção, o dispositivo de autenticação pode detectar o status alcançável do servidor do Portal. A configuração específica é a seguinte:

1. O intervalo para detectar se o servidor está acessível
2. A ação quando o status alcançável do servidor muda
3. Gravar o log: Grave as informações de log quando o status alcançável do servidor do Portal for alterado
4. Limitação do usuário aberto: Quando o status alcançável do servidor do Portal for alterado, registre as informações de log. Quando o servidor do Portal especificado estiver inacessível, todos os usuários que utilizam o servidor do Portal para autenticação são forçados a passar a autenticação. Quando o servidor do Portal estiver acessível novamente, force o usuário que é forçado a passar na autenticação usando o servidor do Portal a ficar offline.

Tabela 13 – 4 Configurar a função de detecção do servidor do Portal

Etapa	Comando	Descrição
Entre no modo de configuração global	configure terminal	-
Configure o intervalo de detecção do servidor do Portal	portal server server-name detect-interval detect-interval-value	Opcional Por padrão, o intervalo de detecção do servidor do Portal é de 60 segundos e o intervalo de valores é de 20 a 600 segundos ou 0. Quando configurado como 0, não detecta o servidor do Portal.
Configure a ação quando o status alcançável do servidor do Portal for alterado	portal server server-name failover { log | permit }	Opcional Por padrão, registre as informações de log quando o status alcançável do servidor do Portal for alterado.

Configurar a interface de origem usada enviando o pacote do portal

Especifique a interface de origem usada enviando o pacote do Portal. O endereço IP mestre configurado na interface de origem é o endereço de origem usado pelo dispositivo de autenticação para enviar o pacote do Portal ao servidor do Portal. Se não houver endereço IP mestre na interface de origem, a comunicação falhará.

Tabela 13 – 5 Configure a interface de origem usada enviando o pacote do Portal

Etapa	Comando	Descrição
Entre no modo de configuração global	configure terminal	-
Configure a interface de origem usada enviando o pacote do Portal	portal server server-name source-interface interface-name	Opcional Por padrão, não especifique a interface de origem usada ao enviar o pacote do Portal, ou seja, considere a interface de conexão do usuário como a interface de origem do envio do pacote do Portal.

Configurar o número da porta UDP de destino do pacote offline forçado pelo usuário

O número da porta de algum servidor para receber o pacote offline forçado pelo usuário é o número da porta UDP especificado, portanto, é necessário configurar o número da porta UDP de destino do pacote offline forçado pelo usuário.

Tabela 13 – 6 Configure o número da porta UDP de destino do pacote offline forçado pelo usuário

Etapa	Comando	Descrição
Entre no modo de configuração global	configure terminal	-
Configure o número da porta UDP de destino do pacote offline forçado pelo usuário	portal server server-name ntf-logout-port udp-port-num	Opcional Por padrão, não especifique o número da porta UDP de destino do pacote offline forçado pelo usuário, mas adote o número da porta do servidor como o número da porta UDP de destino do pacote offline forçado pelo usuário.

Configurar a função de autenticação do portal L2

Condição de configuração

Para habilitar a função de autenticação L2 Portal, é necessário atender às seguintes condições:

• O servidor do Portal é criado no dispositivo de autenticação

Ativar a função de autenticação do portal L2

Habilite a autenticação do Portal L2 na porta de conexão do usuário no dispositivo de autenticação. A autenticação do Portal L2 controla com base no MAC de origem, permitindo a passagem do pacote autenticado com o endereço MAC de origem válido.

Tabela 13 – 7 Habilite a função de autenticação do Portal L2

O modo de autenticação L2 Portal não suporta a entrega de VLAN. Em uma porta, você não pode configurar a autenticação L2 Portal ou a função 802.1X Free-IP ao mesmo tempo. Quando a autenticação L2 Portal está habilitada em uma porta, a interface VLAN correspondente não pode habilitar a autenticação L3 Portal. Caso contrário, a configuração falha. Quando a porta habilitada com a autenticação L2 Portal for adicionada à interface VLAN habilitada com a autenticação L3 Portal, limpe a configuração de autenticação L2 Portal da porta automaticamente e registre o log de autolimpeza da configuração ao mesmo tempo.

Configurar atributos de autenticação do portal L2

Condição de configuração

Nenhum

Configurar o modo de controle de acesso à porta

Existem dois modos de controle de acesso à porta: modo de controle de acesso baseado em porta e modo de controle de acesso baseado em usuário.

Modo de controle de acesso baseado em porta (Portbased): Permitir apenas que um usuário passe a autenticação na porta

Modo de controle de acesso baseado em usuário (Macbased): Na porta, permite que vários usuários passem pela autenticação; os usuários na porta podem acessar a rede somente após passar a autenticação.

O modo de controle de acesso baseado em porta é dividido em dois tipos: modo multi-host e modo de host único.

Modo multi-host (Multi-hosts): Depois que um usuário na porta passa pela autenticação, os outros usuários na porta podem acessar a rede sem autenticação.

Modo de host único (Single-host): Na porta, permite apenas que um usuário passe a autenticação e acesse a rede, e os outros usuários não podem acessar a rede e não podem passar a autenticação.

Tabela 13 – 8 Configurar o modo de controle de acesso à porta

Ao configurar o modo de host no modo de controle de acesso baseado em porta, é necessário garantir que o modo de controle de acesso tenha sido configurado como modo de controle de acesso baseado em porta (Portbased).

Configurar a função de autenticação do portal L3

Condição de configuração

Para habilitar a função de autenticação do Portal L3, é necessário atender à seguinte condição:

• O servidor do Portal é criado no dispositivo de autenticação

Ativar a função de autenticação do portal L3 comum

Na interface L3 do dispositivo de autenticação que conecta o usuário, ative a função de autenticação do Portal L3 comum. O modo de autenticação L3 comum tem dois modos de controle:

• Controle baseado no IP de origem: Permitir que o pacote autenticado com o IP de origem válido passe
• Controle baseado no IP de origem + MAC de origem: permite a passagem do pacote autenticado com o IP de origem válido e o endereço MAC de origem

Tabela 13 – 9 Habilitar a função de autenticação do Portal L3 comum

Você não pode habilitar a autenticação 802.1X e a função de autenticação MAC na porta que está habilitada com a autenticação L3 Portal comum. Você não pode habilitar a função de autenticação L2 Portal na porta que está habilitada com a autenticação L3 Portal comum. Quando a porta habilitada com a autenticação L2 Portal é adicionada à interface VLAN habilitada com a autenticação L3 Portal comum, a autenticação L2 Portal será desabilitada.

Habilite a função de autenticação do portal de atribuição de endereço secundário

Habilite a função de autenticação do Portal da atribuição de endereço secundário na interface L3 do usuário de autenticação que conecta o usuário. A função de autenticação do Portal da atribuição de endereço secundário controla com base no IP de origem + MAC de origem, permitindo a passagem do pacote autenticado com o IP de origem válido e o endereço MAC de origem.

Para configurar a função de autenticação do Portal de atribuição de endereço secundário, é necessário atender às seguintes condições:

• Configure os endereços IP ativos e em espera na interface
• As funções DHCP Relay e DHCP Snooping precisam ser configuradas no dispositivo de autenticação.

Tabela 13 – 10 Habilite a função de autenticação do Portal da atribuição de endereço secundário

Você não pode habilitar a autenticação 802.1X e a função de autenticação MAC na porta que está habilitada com a interface de autenticação do Portal da atribuição de endereço secundário. Você não pode ativar a função de autenticação do Portal L2 na porta que está ativada com a interface de autenticação do Portal da atribuição de endereço secundário. Quando a porta habilitada com a autenticação L2 Portal é adicionada à interface VLAN habilitada com a autenticação Portal da atribuição de endereço secundário, a autenticação L2 Portal será desabilitada. O modo de autenticação do Portal da atribuição de endereço secundário precisa ser suportado pelo cliente do Portal e pelo servidor do Portal ao mesmo tempo. Caso contrário, a autenticação não pode ser feita.

Configurar e aplicar canal seguro

Depois de habilitar a função de autenticação L3 na interface L3, é necessário configurar e aplicar o canal seguro se espera permitir que os usuários do terminal acessem os recursos na rede especificada sem autenticação ou especificar os usuários do terminal específico para acessar os recursos da rede sem autenticação.

A configuração das regras de canal seguro pode ser dividida nos seguintes tipos:

• Configure o usuário do terminal para permitir o acesso aos recursos de rede especificados
• Configure o usuário do terminal especificado para permitir o acesso aos recursos da rede

Tabela 13 – 11 Aplicar o canal seguro

O dispositivo pode configurar vários canais seguros e um canal seguro pode ser configurado com várias regras de canal seguro. O tipo de canal seguro só pode ser a ACL avançada mista. No dispositivo, permita apenas a aplicação de um canal seguro.

Configurar atributos públicos

Condição de configuração

Nenhum

Configurar máx. Usuários da interface

Se os usuários autenticados na interface atingirem o limite configurado, o sistema de autenticação não responderá às solicitações de autenticação dos novos usuários. O intervalo de valores do máximo de usuários da interface L2 é 1-4096. O intervalo de valores do máximo de usuários da interface L3 é de 1 a 500.

Tabela 13 – 12 Configurar o máximo de usuários da interface

Na interface L2, é necessário configurar como o modo de controle de acesso baseado no usuário (Macbased). Caso contrário, o número configurado de usuários que podem se conectar não terá efeito.

Configurar a função de transferência de autenticação do usuário

A função de transferência de autenticação do usuário se aplica ao cenário em que o mesmo usuário transfere de uma porta de autenticação do mesmo dispositivo para outra. Quando a função de transferência de autenticação do usuário está desabilitada, o usuário não tem permissão para iniciar a autenticação em outra porta de autenticação do dispositivo após ser autenticado em uma porta do dispositivo; quando a função de transferência de autenticação do usuário está habilitada e depois que o usuário é autenticado em uma porta, o dispositivo primeiro exclui as informações de autenticação na porta original após detectar que o usuário transfere para outra porta de autenticação e, em seguida, permite que o usuário inicie a autenticação na nova porta de autenticação

Independentemente de a função de transferência de autenticação do usuário estar habilitada ou não, o dispositivo gravará o log ao detectar que o usuário transfere entre as portas de autenticação.

Tabela 13 -13 Configurar a função de transferência de autenticação do usuário

Configurar se deve levar o nome de domínio

Em alguns cenários, quando o cliente inicia a autenticação, o nome de usuário carrega automaticamente o nome de domínio e o usuário que carrega o nome de domínio não consegue se autenticar no servidor de autenticação. Para evitar esse caso, o dispositivo de autenticação pode configurar se o formato de nome de usuário de autenticação enviado ao servidor de autenticação carrega o nome de domínio.

Tabela 13 – 14 Configure se deve levar o nome de domínio

Configurar parâmetros do temporizador

Na interface, os parâmetros do temporizador contêm temporizador de tempo limite de autenticação, temporizador de tempo limite autenticado, temporizador de detecção de inatividade e temporizador de silêncio.

Temporizador de tempo limite de autenticação (período de autenticação): Ao detectar que existe o pacote do cliente, habilite o temporizador de tempo limite de autenticação. Após o timer expirar e se não houver resultado de autenticação, o cliente será excluído.

Temporizador de tempo limite autenticado (autenticado-período): quando o cliente for autenticado com sucesso, habilite o temporizador de tempo limite autenticado. Após o tempo limite do temporizador, force a exclusão das informações do cliente autenticado.

Temporizador de detecção de inatividade (período de inatividade): Quando o cliente for autenticado com sucesso, habilite o temporizador de detecção de inatividade. Após detectar que o cliente está offline, force a exclusão das informações do cliente autenticado.

Temporizador de silêncio (período de silêncio): após a falha na autenticação do cliente, habilite o temporizador de silêncio. Após o tempo limite do temporizador de silêncio, o dispositivo de autenticação responde à solicitação de autenticação do cliente novamente.

Os novos horários só podem ser válidos para o usuário de autenticação online subsequente, não são válidos para o usuário de autenticação online.

Tabela 13 - 15 Configurar os parâmetros do temporizador

Configurar lista de métodos de autenticação

Configure a lista de métodos de autenticação usada pelo usuário do Portal. Quando o nome de usuário do usuário do Portal carrega o nome de domínio, use a lista de métodos de autenticação especificada pelo nome de domínio. Quando o nome de usuário do usuário do Portal não possuir o nome de domínio, use a lista de métodos de autenticação configurados.

Tabela 13 - 16 Configurar a lista de métodos de autenticação

Configurar lista de métodos de estatísticas

Configure a lista de métodos de estatísticas usada pelo usuário do Portal. Quando o nome de usuário do usuário do Portal carrega o nome de domínio, use a lista de métodos de estatísticas especificada pelo nome de domínio; quando o nome de usuário do usuário do Portal não possuir o nome de domínio, use a lista de métodos de estatísticas configuradas.

Tabela 13 - 17 Configurar a lista de métodos de estatísticas

Monitoramento e manutenção do portal

Tabela 13 - 18 Monitoramento e manutenção do portal

Configurar a autenticação baseada em porta da autenticação do portal L2

Requisitos de rede

• PC1 e PC2 em uma LAN são conectados à rede IP via Device, habilitam a função de autenticação L2 Portal no Device e configuram o modo de autenticação como Portabased.
• O modo de autenticação adota a autenticação RADIUS.
• O usuário não autenticado pode acessar apenas o Portal Server e o usuário autenticado pode acessar a Rede IP.
• Depois que um usuário na LAN passa pela autenticação, os outros usuários na LAN podem acessar a rede IP sem autenticação.

Topologia de rede

Figura 13 -6 Rede de configuração da autenticação baseada em porta da autenticação L2 Portal

Etapas de configuração

• Passo 1:Configure a VLAN e o tipo de link de porta no dispositivo.

#Criar VLAN129 no dispositivo.

Device#configure terminal
Device(config)#vlan 129
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN129.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 129
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet 0/3-gigabitethernet 0/5 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN129 (omitido).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN129 como 129.255.43.10/24.

Device(config)#interface vlan 129
Device(config-if-vlan129)#ip address 129.255.43.10 255.255.255.0
Device(config-if-vlan129)#exit

• Passo 3:Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, o endereço do servidor RADIUS é 129.255.43.90/24, o valor da chave é admin e a prioridade é 1.

Device#configure terminal
Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 129.255.43.90 priority 1 key admin

• Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e o valor da chave como admin no servidor AAA (omitido).

• Passo 5:Configure a autenticação do Portal L2.

#No Dispositivo, configure o servidor do Portal denominado server1.

 Device(config)# portal server server1 ip 129.255.43.99 key admin url http://129.255.43.99:8080/portal

#No dispositivo, habilite a autenticação do portal L2 e o modo de autenticação é Portased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#portal server server1 method layer2
Device(config-if-gigabitethernet0/2)#authentication port-method portbased 
Device(config-if-gigabitethernet0/2)#exit

• Passo 6:Configure o servidor do Portal.

#No servidor do Portal, configure o endereço IP, o endereço do dispositivo e a chave do PC1 como admin (omitido).

• Passo 7:Confira o resultado.

#Antes de passar a autenticação, tanto o PC1 quanto o PC2 podem acessar apenas o Portal Server.

#PC1 pode passar a autenticação. Tanto o PC1 quanto o PC2 podem acessar a rede IP.

Device#show portal user 
--------------------
NO 1   : IP_ADDRESS= 129.255.43.1   STATUS= Authorized    USER_NAME=   admin            
         INTERFACE=  gi0/2          CTRL_METHOD= L2_MAC   AUTH_STATE=  AUTHENTICATED
         BACK_STATE= AAA_SM_IDLE    VLAN= 129             MAC_ADDRESS= 00E0.4C47.01DB
                                    
  Total: 1    Authorized: 1    Unauthorized/Guest/Critical: 0/0/0

Configurar autenticação baseada em Mac da autenticação do portal L2

Requisitos de rede

• PC1 e PC2 em uma LAN estão conectados à rede IP via dispositivo, habilitam a função de autenticação L2 Portal no dispositivo e configuram o modo de autenticação como baseado em Mac.
• O modo de autenticação adota a autenticação RADIUS.
• O usuário não autenticado pode acessar apenas o Portal Server e o usuário autenticado pode acessar a Rede IP.
• Depois que um usuário na LAN passa a autenticação, o usuário pode acessar a rede IP e os outros usuários na LAN podem acessar a rede IP depois de passar a autenticação.

Topologia de rede

Figura 13 -7 Rede de configuração da autenticação baseada em Mac da autenticação L2 Portal

Etapas de configuração

• Passo 1:Configure a VLAN e o tipo de link de porta no dispositivo.

#Criar VLAN129 no dispositivo.

Device#configure terminal

Device(config)#vlan 129 
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN129.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 129
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet 0/3-gigabitethernet 0/5 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN129 (omitido).

• Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN129 como 129.255.43.10/24.

Device(config)#interface vlan 129
Device(config-if-vlan129)#ip address 129.255.43.10 255.255.255.0
Device(config-if-vlan129)#exit

• Passo 3:Configure a autenticação AAA.