08 Segurança

ARP Check

Visão geral

ARP Check é uma função de verificar a validade do pacote ARP, evitando que o pacote ARP inválido passe e melhorando a segurança da rede.

A verificação de validade do pacote ARP é baseada na entrada de ligação de porta. A entrada de ligação inclui dois tipos:

Entrada de ligação estática: entrada de ligação estática configurada manualmente;

Entrada de ligação dinâmica: gerada dinamicamente pela entrada válida da função DHCP Snooping e função 802.1X.

O princípio de verificação do ARP Check é o seguinte:

No pacote ARP recebido pela porta, verifique o endereço IP de envio, o endereço MAC de origem para corresponder à entrada de ligação ARP Check da porta. Se corresponder, o pacote ARP é um pacote válido e é encaminhado diretamente. Caso contrário, o pacote ARP é um pacote inválido e é descartado.

Configuração da função de verificação ARP

Tabela 1 -1 Lista de configuração da função ARP Check

Tarefa de configuração
Habilite a função de verificação de porta ARP Habilite a função de verificação de porta ARP
Vincule a entrada estática ARP Check Vincule a entrada estática ARP Check
Reinstale a entrada que não consegue gravar o hardware Reinstale a entrada que não consegue gravar o hardware

Ativar função de verificação de porta ARP

Condição de configuração

Nenhum

Ativar função de verificação de porta ARP

Depois de habilitar a função ARP Check da porta, o ARP Check obtém dinamicamente a entrada no banco de dados DHCP Snooping e grava no hardware ACL.

Tabela 1 -2 Habilite a função de verificação ARP da porta

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual; depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função ARP Check da porta arp-check enable Obrigatório Por padrão, a função Port ARP Check não está habilitada.

Vincular entrada estática de verificação ARP

Condição de configuração

Nenhum

Vincular entrada estática de verificação ARP

Tabela 1 -3 Bind ARP Verifique a entrada estática

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual; depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Vincule a entrada estática ARP Check arp-check binding mac-address ip-address [ rate limit-value ] Obrigatório Por padrão, não configure a entrada de ligação estática ARP Check

Reinstale a entrada de verificação ARP não bem-sucedida na gravação do hardware

Condição de configuração

Nenhum

Reinstale a entrada de verificação ARP não bem-sucedida na gravação do hardware

Tabela 1 -4 Reinstalar a entrada de verificação ARP não bem-sucedida na gravação do hardware

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual; depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Reinstale a entrada de verificação ARP não bem-sucedida na gravação do hardware arp-check install Obrigatório Por padrão, não instale ARP Check Entry Not Succeeded in Writing Hardware

Monitoramento e Manutenção de ARP Check

Tabela 1 -5 Monitoramento e manutenção do ARP Check

Comando Descrição
show arp-check [ active | brief | inactive | interface interface-name | interface link-aggregation link-aggregation-id ] Exibir as informações na entrada ARP Check

Exemplo de configuração típica de verificação ARP

Configurar funções básicas da verificação ARP

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo.
  • Configure a função básica ARP Check, percebendo que o PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

Topologia de rede

Figura 1 – 1 Rede de configuração das funções básicas do ARP Check

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e da porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configure o tipo de link da porta gigabitethernet0/1 como Access e permita a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access 
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:Configure a função ARP Check no dispositivo.

#Ative a função ARP Check na porta gigabitethernet0/1 e configure a entrada de ligação ARP Check com o endereço MAC 0012.0100.0002 e o endereço IP 192.168.1.2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#arp-check enable
Device(config-if-gigabitethernet0/1)#arp-check binding 0012.0100.0002 192.168.1.2 rate 10
Device(config-if-gigabitethernet0/1)#exit
  • Passo 3:Confira o resultado.

#Visualize as informações de configuração do ARP Check.

Device#show arp-check brief 
-------------------------------------------------------
Interface Name       Status     Binding Table 
-------------------------------------------------------
gi0/1              Enable      Yes        
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função ARP Check, e há a entrada ARP Check.

#Exibe a entrada de ligação de verificação ARP da porta.

Device#show arp-check interface gigabitethernet0/1
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/1           enable  0012.0100.0002  192.168.1.2  10  STATIC        active
total number: 1  

#PC1 pode acessar a rede IP normalmente, mas o PC2 não pode acessar a rede IP.

Combine ARP Check com DHCP Snooping

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo; O PC1 usa o endereço IP estático e o PC2 obtém o endereço IP via DHCP.
  • O dispositivo configura a função DHCP Snooping e ARP Check, percebendo que o PC2 pode acessar a rede IP normalmente e o PC1 não pode acessar a rede IP.

Topologia de rede

Figura 1 -2 Rede de combinar ARP Check com DHCP Snooping

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e da porta no dispositivo.

#Cria VLAN2.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1, gigabitethernet0/2 e gigabitethernet0/3 como acesso, todos permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/3
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2: Configure a função DHCP Snooping no dispositivo.

#Habilite a função DHCP Snooping e configure a porta gigabitethernet0/2 como porta de confiança.

Device(config)#dhcp-snooping 
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dhcp-snooping trust
Device(config-if-gigabitethernet0/2)#exit
  • Passo 3: Configure a função ARP Check no dispositivo.

#Habilite a função ARP Check na porta gigabitethernet0/1.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#arp-check enable
Device(config-if-gigabitethernet0/1)#exit
  • Passo 4: Confira o resultado.

#Depois que o PC2 obtiver o endereço IP com sucesso, visualize a entrada dinâmica do DHCP Snooping no dispositivo.

Device#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:1
        database entries delete time :300
        ---------------------------------
        macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status     
        0013.0100.0001   192.168.1.100    2                2      gi0/1               107990           active    
        ------

#Visualize a entrada de ligação ARP Check da porta gigabitethernet0/1.

Device#show arp-check interface gigabitethernet0/1
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/1           enable  0013.0100.0001 192.168.1.100  15   DHCPSP        active
total number: 1  

Combine ARP Check com 802.1X

Requisitos de rede

  • O PC1 está conectado à rede IP via dispositivo e o dispositivo adota o controle de acesso 802.1X.
  • O modo de autenticação adota a autenticação RADIUS.
  • PC1 não pode acessar a rede se não for autenticado com sucesso. Depois de passar a autenticação, o PC1 tem permissão para acessar a rede IP.
  • O usuário autenticado pode gerar a entrada arp-check para realizar a detecção de validade do pacote arp do usuário autenticado.

Topologia de rede

Figura 1 -3 Rede de combinar ARP Check com 802.1X

Etapas de configuração

  • Passo 1:No dispositivo, configure o tipo de link da VLAN e da porta.

#No dispositivo, crie VLAN2~VLAN4.

Device#configure terminal
Device(config)#vlan 2-4
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet 0/2 como acesso, permitindo a passagem dos serviços da VLAN2. Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#switchport access vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet 0/3-gigabitethernet 0/4 do Dispositivo, configure o tipo de link da porta como Acesso, permitindo que os serviços de VLAN3-VLAN4 passem respectivamente (omitido).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#interface vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit
  • Passo 3: Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário, a senha e o valor da chave como admin (omitido).

  • Passo 5:Configure a autenticação 802.1X.

#Ative a autenticação 802.1X na porta e configure o modo de autenticação como Macbased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#authentication port-method macbased
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:No Dispositivo, configure a função ARP Check.

#Ative a função ARP Check na porta gigabitethernet0/2.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#arp-check enable
Device(config-if-gigabitethernet0/2)#exit
  • Passo 7:Autentique com sucesso.

#Antes de passar a autenticação, o PC1 não pode acessar a rede.

#Após iniciar a autenticação e ser autenticado com sucesso, o PC1 pode acessar a rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized         USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2              USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.1
         IPV6_ADDRESS= Unknown
                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0
  • Passo 8:Confira o resultado.
Device#show arp-check interface gigabitethernet0/2
--------------------------ARP Check Table------------------------------------
 FLAG Codes:
-----------------------------------------------------------------------------------------------
Interface-Name  Status  MAC-Address  IP-Address  Rate  PolicySource    SetHardware
----------------------------------------------------------------------------
gi0/2           enable   3883.45ef.7984 199.0.0.1  15   DOT1X       active
                    
total number: 1  

#Se o pacote arp enviado pelo PC1 corresponder completamente à entrada, encaminhe-o e limite a velocidade normalmente. Se não corresponder, solte-o diretamente.

CPU Protection

Visão geral

Existem muitos pacotes de protocolo no dispositivo que precisam ser enviados à CPU para processamento e precisamos especificar a fila para cada tipo de pacote de protocolo. A função de CPU Protection classifica os pacotes de protocolo enviados à CPU e os pacotes entram em diferentes filas da CPU de acordo com as diferentes prioridades de protocolo. Podemos definir a limitação de taxa de cada fila.

O dispositivo possui totalmente oito filas, numeradas de 0 a 7. Elas adotam as prioridades estritas. Quanto menor o número, menor a prioridade. Ou seja, a prioridade da fila 0 é a mais baixa e a prioridade da fila 7 é a mais alta. Os pacotes na fila c Descrição om prioridade alta são enviados mais cedo à CPU para processamento que os pacotes na fila com prioridade baixa. Podemos especificá-los para diferentes prioridades de filas de acordo com a importância de cada tipo de pacote, garantindo que os pacotes importantes sejam enviados primeiro à CPU para processamento.

Enquanto isso, o dispositivo pode executar a limitação de taxa para os pacotes que entram em cada fila da CPU, evitando que o ataque de pacote de protocolo vicioso na rede cause uma utilização muito alta da CPU do dispositivo e resulte no funcionamento anormal do dispositivo.

Configuração da função de CPU Protection

Tabela 2 -1 A lista de configuração da função de CPU Protection

Tarefa de configuração
Configure a fila de CPU do pacote de protocolo Configure a fila de CPU do pacote de protocolo
Configure a limitação de taxa da fila da CPU Configure a limitação de taxa total de todas as filas de CPU
Configure a limitação de taxa de cada fila de CPU
Configure o pacote de protocolo personalizado para ser processado pela CPU Configure a regra de correspondência do pacote de protocolo personalizado a ser processado pela CPU
Configure o modo do pacote de protocolo personalizado a ser processado pela CPU

Configurar fila de CPU de pacotes de protocolo

Condição de configuração

Nenhum

Configurar fila de CPU de pacotes de protocolo

O dispositivo possui totalmente oito filas e o usuário pode configurar diferentes pacotes de protocolo para entrar em diferentes filas. O dispositivo envia os pacotes de protocolo para a CPU para processamento em ordem de fila de alta prioridade para fila de baixa prioridade de acordo com a configuração do usuário. Se os pacotes de protocolo estiverem na fila com alta prioridade, eles primeiro obterão o processamento da CPU. Além disso, o usuário também pode especificar o pacote importante para entrar na fila de alta prioridade, garantindo que os pacotes importantes sejam enviados primeiro à CPU para processamento. Por padrão, diferentes pacotes de protocolo entram na fila padrão da CPU. Além disso, também podemos usar o comando para modificar o pacote para entrar na fila de CPU especificada.

Tabela 2 -2 Configure a fila da CPU do pacote de protocolo

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a fila de CPU que os pacotes de protocolo inserem cpu-packet protocol cos cos-value Obrigatório Por padrão, diferentes pacotes de protocolo entram na fila padrão da CPU.

Configurar a limitação de taxa total de todas as filas de CPU

Condição de configuração

Nenhum

Configurar a limitação de taxa total de todas as filas de CPU

Para evitar que o ataque vicioso na rede cause uma utilização muito alta da CPU e o dispositivo não possa ser executado, o usuário pode configurar a limitação de taxa total de todas as filas da CPU. Se houver ataque e a taxa total de pacotes em todas as filas exceder a taxa total limitada, os pacotes serão descartados, evitando causar uma utilização muito alta da CPU.

Tabela 2 -3 Configure a limitação de taxa total de todas as filas de CPU

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a limitação de taxa total de todas as filas de CPU cpu-packet cos global pps pps-value Obrigatório Por padrão, a taxa limitada total de todas as filas é 2000PPS.

Configurar a limitação de taxa de cada fila de CPU

Condição de configuração

Nenhum

Configurar a limitação de taxa de cada fila de CPU

Para evitar que o ataque vicioso na rede cause uma utilização muito alta da CPU e o dispositivo não possa ser executado, o usuário pode configurar a limitação de taxa de cada fila da CPU. Se houver ataque e a taxa de pacotes na fila exceder a taxa limitada da fila, o pacote será descartado, evitando causar uma utilização muito alta da CPU. Por padrão, diferentes filas de CPU definem diferentes taxas limitadas. O usuário pode modificar a taxa limitada da fila da CPU conforme desejado.

Tabela 2 -4 Configure a limitação de taxa de cada fila de CPU

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a limitação de taxa de cada fila de CPU cpu-packet cos cos-value pps pps-value Obrigatório Por padrão, a limitação de taxa de cada fila é diferente.

Configure o pacote de protocolo personalizado para ser processado pela CPU

Condição de configuração

Nenhum

Configurar regra de correspondência de Pacote de protocolo personalizado a ser processado pela CPU

A regra de correspondência configurada do pacote de protocolo personalizado a ser processado pela CPU deve ser usada com o modo do pacote de protocolo personalizado a ser processado pela CPU. Ele executa o processamento da ação correspondente para o pacote que atende à regra de correspondência. A regra de correspondência inclui dst-mac (endereço MAC de destino), ingresso (interface), vlan-id (ID VLAN), tipo ether (tipo Ethernet), IP (IPV4), IPV6, 0x0000 (tipo Ethernet personalizado), ip- protocolo (protocolo IP, como IGMP e TCP), dst-ip (IP de destino), src-port (porta de origem) e dst-port. O usuário pode combinar as regras de correspondência acima para usar conforme desejado.

Tabela 2 -5 Configure a regra de correspondência do pacote de protocolo personalizado a ser processado pela CPU

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a regra de correspondência do protocolo personalizado cpu-packet user-define user-id match { dst-mac dst-mac | ether-type { ether-type-value | ip [ dst-ip dst-ip-address | dst-mac dst-mac | ingress ingress-interface | ip-protocol protocol-type | vlan-id vlan-id [ dst-ip dst-ip-address | ingress ingress-interface | ip-protocol protocol-type ] ] | arp [src-mac src-mac | dst-mac dst-mac | target-ip target-ip | request | reply ] | ipv6 [ dst-ip6 dst-ipv6-address | dst-mac dst-mac | ingress ingress-interface | ip-protocol protocol-type | vlan-id vlan-id [ dst-ip dst-ip-address | ingress ingress-interface | ip-protocol protocol-type ] ] } | ingress ingress-interface | vlan-id vlan-id [ ingress ingress-interface ] } Obrigatório Por padrão, não há nenhuma regra de correspondência.

O pedido não é suportado. resposta não é suportada.

Configurar o modo de pacote de protocolo personalizado a ser processado pela CPU

A regra de correspondência configurada do pacote de protocolo personalizado a ser processado pela CPU deve ser usada com o modo do pacote de protocolo personalizado a ser processado pela CPU. Ele executa o processamento da ação correspondente para o pacote que atende à regra de correspondência. Por exemplo, se o modo configurado for cópia, não altere o processo de encaminhamento original do pacote, mas copie o pacote para a CPU para processamento; se o modo configurado for drop, não permita enviar o pacote à CPU para processamento, mas descarte o pacote; se o modo configurado for remark, modifique a prioridade do pacote a ser processado pela CPU; se o modo configurado for trap, altere o processo de encaminhamento original do pacote enviando apenas o pacote para a CPU para processamento em vez de encaminhar o pacote.

Tabela 2 -6 Configure o modo de envio do pacote de protocolo personalizado para CPU

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ação do pacote de protocolo personalizado a ser processado pela CPU cpu-packet user-define user-id action { drop | { copy | remark | trap } cos cos-value } Obrigatório Por padrão, não execute nenhuma ação para o pacote que atende à regra de correspondência. Quando os modos de processamento do pacote de protocolo personalizado pela CPU são copy, remark e trap, você pode especificar o valor COS.

ação de observação não é suportada

Monitoramento e manutenção da CPU Protection

Tabela 2 -7 Monitoramento e manutenção da CPU Protection

Comando Descrição
show cpu-packet protocol-config-table Exibe as informações de configuração de todos os pacotes de protocolo enviados à CPU
show cpu-packet cos Exibe as informações de fila atuais e padrão dos pacotes de protocolo a serem processados pela CPU
show cpu-packet pps Exiba as informações de limitação de taxa de cada fila de CPU
show cpu-packet udf-table Exiba todas as informações de entrada de ACL personalizadas definidas por meio do módulo de CPU Protection

Exemplo de configuração típico de proteção de CPU

Configurar funções básicas de CPU Protection

Requisitos de rede

  • O PC está conectado à rede IP via dispositivo.
  • Configure o pacote DHCP para enfileirar 5 no dispositivo para que o pacote DHCP que chega ao dispositivo local possa primeiro obter o processamento da CPU.
  • Execute a limitação de taxa para a fila ARP no dispositivo para que quando a utilização da CPU do dispositivo for muito alta, o pacote com baixa prioridade possa ser processado normalmente.

Topologia de rede

Figura 2 – 1 Rede de configuração das funções básicas de CPU Protection

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configure a fila da CPU do pacote DHCP.

# Configure o pacote DHCP para enfileirar 5 no dispositivo.

Device#configure terminal 
Device(config)#cpu-packet dhcp cos 5
  • Passo 4:Configure a limitação de taxa da fila da CPU.

# Configure a taxa limitada da fila da CPU no dispositivo como 50pps.

Device(config)#cpu-packet cos 1 pps 100
  • Passo 5:Confira o resultado.

#Visualize a fila de CPU dos pacotes de protocolo no dispositivo.

Device#show cpu-packet cos 
Type                       Current-CoS    [Default-CoS]
-------------------------------------------------------
random                     0              [0]
ipv6-all                   0              [0]
pppoe                      0              [0]
udp-broadcast              0              [0]
icmp                       0              [0]
ip-e-packet                0              [0]
ipsec-esp                  0              [0]
ipsec-ah                   0              [0]
ip                         0              [0]
mpls-unicast               0              [0]
mpls-multicast             0              [0]
LBD_l2-src-miss            0              [0]
ipaddr-0                   0              [0]
ipaddr-127                 0              [0]
ipv4-all                   0              [0]
src-martian-addr           0              [0]
arp                        1              [1]
ip6-solicited-node         1              [1]
host-group                 1              [1]
router-group               1              [1]
ND                         1              [1]
trill-oam                  1              [1]
lldp                       2              [2]
dot1x                      2              [2]
dhcp                       5              [2]
dhcpv6                     2              [2]
http                       2              [2]
svi-ip                     2              [2]
pim                        3              [3]
pim6                       3              [3]
igmp-dvmrp                 3              [3]
ip6-interface-multicast    3              [3]
ike                        3              [3]
ntp                        3              [3]
mld                        3              [3]
rsvp                       4              [4]
ospf                       4              [4]
ospfv3                     4              [4]
irmp                       4              [4]
rip                        4              [4]
ripng                      4              [4]
is-is                      4              [4]
bgp                        4              [4]
ldp                        4              [4]
mlag-pts                   4              [4]
mlag-keep-alive            4              [4]
mvst                       5              [5]
l2-interface-unicast       5              [5]
gvrp                       5              [5]
mvst-inspection            5              [5]
ulfd                       5              [5]
l2pt                       5              [5]
svi-icmp                   5              [5]
ethernet-cfm               5              [5]
ethernet-lmi               5              [5]
bfd                        6              [6]
vbrp                       6              [6]
vrrp                       6              [6]
vrrp3                      6              [6]
telnet                     6              [6]
ssh                        6              [6]
loopback-detect            6              [6]
slow-protocols             6              [6]
stp-bpdu                   6              [6]
radius                     6              [6]
trill                      6              [6]
mlag                       6              [6]
eips                       7              [7]
ulpp                       7              [7]
mad-fast-hello             7              [7]
erps                       7              [7]
Device#

Você pode ver que a fila da CPU do DHCP no dispositivo é ajustada da fila padrão 2 para a fila 5.

# Visualize a limitação de taxa da fila no dispositivo.

Device#show cpu-packet pps
CoS   Current-PPS   [Default-PPS]
---------------------------------
0     250           [250]
1     100           [250]
2     500           [500]
3     500           [500]
4     1000          [1000]
5     400           [400]
6     400           [400]
7     100           [100]
TOTAL 2000          [2000]

Você pode ver que a taxa limitada da fila 1 de ARP no dispositivo é modificada do padrão 250pps para 100pps.

Configurar regra personalizada de proteção de CPU

Requisitos de rede

  • O dispositivo está conectado diretamente ao PC1 e ao PC2.
  • Configure a regra personalizada da CPU Protection no dispositivo e intercepte o pacote que corresponde à condição da CPU para processamento e insira a fila correspondente.

Topologia de rede

Figura 2 – 2 Networking de configuração da regra customizada de proteção da CPU

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configure a regra personalizada de CPU Protection.

#Configure a regra personalizada e intercepte o pacote IP com endereço de destino 121.5.0.2 para CPU para processamento e defina o valor de COS como 5.

Device#configure terminal 
Device(config)#cpu-packet user-define 1 match ether-type ip dst-ip host 121.5.0.2
Device(config)#cpu-packet user-define 1 action trap cos 5
  • Passo 4:Confira o resultado.

#Visualize a regra personalizada no dispositivo.

Device#show cpu-packet udf-table 
user-define 1
 ether-type: 0x0800(IPv4)
 dst-ip: host 121.5.0.2
 location: global
 valid: yes
 action: trap
 CoS: 5

# Quando o PC1 acessa o PC2, a regra personalizada da regra da CPU entra em vigor e intercepta o pacote IP com o endereço de destino 121.5.0.2 no dispositivo para a CPU para processamento e entra na fila 5.

Quando a regra personalizada corresponder a outra condição e executar outros modos, consulte a configuração.

Port Security

Visão geral

Visão geral da Port Security

A Port Security é o mecanismo de segurança de controle dos dispositivos conectados à rede. Ele é aplicado à camada de acesso e pode limitar os hosts de usar a porta do dispositivo, permitindo que alguns hosts especificados acessem a rede, enquanto os outros hosts não podem acessar a rede.

A função de Port Security pode vincular o endereço MAC do usuário, endereço IP, ID da VLAN e número da porta, impedindo que o usuário inválido acesse a rede, de modo a garantir a segurança dos dados da rede e o usuário válido pode obter largura de banda suficiente.

Regra de Port Security

A regra de Port Security é dividida em quatro tipos:

Regra MAC: Controle se o host pode se comunicar de acordo com o endereço MAC do host. O modo de ligação da regra MAC contém ligação MAC, ligação MAC+VLAN, ligação MAC+IP e ligação MAC+IPv6.

Regra de IP: Controle se o host pode se comunicar de acordo com o endereço IP do host. A regra de IP pode ser para a vinculação de um único endereço IP e também pode ser para a vinculação do segmento de endereço IP.

Regras IPv6: controle se o host pode se comunicar de acordo com o endereço IPv6 do host. As regras IPv6 podem ser vinculadas a um único endereço IPv6 ou a segmentos de endereço IPv6;

Regra MAX: Limite o número de endereços MAC que podem ser aprendidos livremente pela porta para controlar a comunicação do host. O número das entradas de endereço MAC não contém as entradas de endereço MAC válidas geradas pela regra MAC, regra IP e ligação IPv6

Regra STICKY: Controla se o host pode se comunicar de acordo com o endereço MAC do host. O modo de ligação da regra STICKY contém a ligação MAC, ligação MAC+VLAN, ligação MAC+IP e ligação MAC + IPv6. A regra STICKY pode aprender automaticamente e também configurar manualmente, e é salva na configuração em execução. Se salvar a configuração em execução antes do dispositivo reiniciar, não é necessário configurar novamente após o dispositivo reiniciar e a regra STICKY entrar em vigor automaticamente. Ao habilitar a função STICKY na porta e o modo de aprendizado STICKY for o modo MAC, converta a entrada MAC dinâmica aprendida pela regra MAX para a regra STICKY e salve na configuração em execução.

Regras de VOICE VLAN: Controla principalmente a comunicação do host de acordo com se o endereço MAC do host pertence ao OUI configurado pelo VOICE-VLAN. Esses endereços MAC não incluem a lista de endereços MAC legítimos gerados por regras MAC, regras IP e vinculação IPv6.

Princípio de Trabalho de Port Security

Se apenas habilitar a Port Security, a Port Security descartará todos os pacotes recebidos na porta. As regras de Port Security dependem dos pacotes ARP e dos pacotes IP do dispositivo a serem acionados. Quando o dispositivo recebe o pacote ARP e o pacote IP, a Port Security extrai várias informações do pacote e combina com a regra configurada. A ordem de correspondência é primeiro corresponder à regra MAC, depois corresponder à regra STICKY, depois corresponder à regra IP e, por último, corresponder à regra MAX e controlar a tabela de encaminhamento L2 da porta de acordo com o resultado correspondente, de modo a controlar o encaminhamento ação da porta para o pacote. O pacote válido que corresponde à regra MAX ou à regra STICKY é encaminhado. Para o pacote que corresponde à regra MAC ou regra IP, se a ação da regra para o pacote for permitida, o pacote pertence ao pacote válido e é encaminhado. Caso contrário, o pacote é inválido e descartado.

A ação é a regra MAC permitida e a regra IP. Depois de entrar em vigor, grave o endereço MAC da regra na tabela de encaminhamento L2 para que o encaminhamento L2 possa ser executado para os pacotes que correspondem à regra. Se a ação for a regra Mac recusada e a regra IP, o MAC correspondente não é gravado na tabela de encaminhamento L2 e o pacote precisa ser descartado por meio da Port Security.

Após a regra MAC e a regra STICKY entrarem em vigor, escreva nas entradas do endereço MAC para formar as entradas efetivas, fazendo com que o pacote execute o encaminhamento L2. O processamento do pacote IPv6 é semelhante.

Configuração da função de Port Security

Tabela 3 -1 Lista de configuração de funções básicas da segurança da porta

Tarefa de configuração
Configure as funções básicas da Port Security Ative a função de Port Security
Configurar a regra de Port Security Configurar a regra MAC
Configurar a regra de IP
Configurar a regra IPv6
Configurar a regra MAX
Configurar a regra STICKY
Configurar a regra VOICE VLAN
Configure o modo de aprendizado da regra STICKY Configure o modo de aprendizado da regra STICKY
Configure a função de envelhecimento do endereço MAC estático Habilite a função de envelhecimento do endereço MAC estático
Configure o tempo de idade do endereço MAC estático
Configure o modo de processamento ao receber o pacote inválido Configure o modo de processamento ao receber o pacote inválido
Configure o intervalo de envio de log ao receber o pacote inválido Configure o intervalo de envio de log ao receber o pacote inválido
Configure a Port Security para usar a função ACL Configure a Port Security para usar a função ACL

Configurar funções básicas de Port Security

Nas tarefas de configuração da Port Security, deve-se primeiro habilitar a Port Security para que a configuração das demais funções tenha efeito.

Condição de configuração

Nenhum

Ativar função de Port Security

Depois de habilitar a Port Security e se não configurar nenhuma regra de Port Security, a porta não pode aprender o endereço MAC.

Tabela 3 -2 Configure as funções básicas da Port Security

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ative a função de Port Security port-security enable Obrigatório Por padrão, a função de Port Security não está habilitada.

A regra IP e a regra MAX da Port Security e 802.1x não podem ser usadas em uma porta ao mesmo tempo. A regra IP e a regra MAX da Port Security e a autenticação do endereço MAC não podem ser usadas em uma porta ao mesmo tempo. A função de Port Security e autenticação de canal seguro não pode ser usada em uma porta ao mesmo tempo. A Port Security e o DAI (Dynamic ARP Inspection) não podem ser usados em uma porta ao mesmo tempo.

Configurar o modo de aprendizado da regra STICKY

Condição de configuração

Antes de configurar o modo de aprendizagem da regra STICKY, primeiro complete a seguinte tarefa:

  • Ative a função de Port Security

Configurar o modo de aprendizado da regra STICKY

Se o usuário espera realizar o aprendizado STICKY por MAC ou MAC + VLAN, você pode configurar o modo de aprendizado da regra STICKY como modo MAC. Se o usuário espera realizar o aprendizado da regra STICKY por MAC+IP, você pode configurar o modo de aprendizado da regra STICKY como modo MAC+IP.

Tabela 3 -9 Configure o modo de aprendizado da regra STICKY

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o modo de aprendizado da regra STICKY port-security permit mac-address sticky mode { mac | mac-ip } Obrigatório Por padrão, o modo de aprendizado da regra STICKY é o modo MAC.

Configurar a função de envelhecimento do endereço MAC estático

Condição de configuração

Antes de configurar a função de envelhecimento do endereço MAC estático, primeiro conclua a seguinte tarefa:

  • Ative a função de Port Security

Ativar função de envelhecimento do endereço MAC estático

Para detectar se o terminal da entrada efetiva da regra MAC ou regra IP está online, o usuário pode habilitar a função de envelhecimento do endereço MAC estático. Após a função de envelhecimento do endereço MAC estático e se for detectado que o terminal está offline, a entrada efetiva do terminal é excluída para que os recursos do chip possam ser liberados.

Tabela 3 -10 Habilite a função de envelhecimento do endereço MAC estático

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação , a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função de envelhecimento do endereço MAC estático port-security aging static Obrigatório Por padrão, a função de envelhecimento do endereço MAC estático está desabilitada.

Configurar o tempo de idade do endereço MAC estático

O usuário pode configurar o tempo de idade razoável de acordo com a configuração real do ambiente de rede. Na aplicação geral, apenas mantenha o valor padrão.

Tabela 3 -11 Configure o tempo de idade do endereço MAC estático

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o tempo de idade do endereço MAC estático port-security aging time time-value Obrigatório Por padrão, o tempo de duração do endereço MAC estático é de 1 minuto.

Configurar o modo de processamento ao receber pacote inválido

Condição de configuração

Antes de configurar o modo de processamento ao receber o pacote inválido , primeiro complete a seguinte tarefa:

  • Ative a função de Port Security

Configurar o modo de processamento ao receber pacote inválido

A Port Security fornece três tipos de modos de processamento para o pacote inválido, ou seja, proteger, restringir e desligar. O usuário pode selecionar de acordo com o requisito de segurança. As funções específicas dos três modos de processamento são as seguintes:

  • protect : Após receber o pacote inválido, descarte o pacote.
  • restringir : Depois de receber o pacote inválido, descarte o pacote e intercepte as informações para o NMS.
  • shutdown : Após receber o pacote inválido, descarte o pacote, desabilite a porta que está recebendo o pacote e intercepte as informações para o NMS.

Tabela 3 -12 Configure o modo de processamento ao receber o pacote inválido

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o modo de processamento do pacote inválido port-security violation { protect | restrict | shutdown } Obrigatório Por padrão, o modo de processamento quando a Port Security recebe o pacote inválido é protegido .

Configurar intervalo de envio de log ao receber pacote inválido

Condição de configuração

Antes de configurar o intervalo de envio de log ao receber o pacote inválido, primeiro conclua a seguinte tarefa:

  • Ative a função de segurança da interface.

Configurar intervalo de envio de log ao receber pacote inválido

O usuário pode configurar o intervalo de envio de log com base no pacote inválido realmente recebido. Na aplicação geral, basta reservar o valor padrão.

Tabela 3 -13 Configure o intervalo de envio de log ao receber o pacote inválido

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o intervalo de envio de log ao receber o pacote inválido port-security violation log-interval log-interval-value Obrigatório Por padrão, o intervalo de envio de log quando a interface recebe o pacote inválido com segurança é de 5 s.

Configurar a Port Security para usar a função ACL

Condição de configuração

Antes de configurar a Port Security para usar a função ACL, primeiro conclua a seguinte tarefa:

  • Ative a função de Port Security

Configurar a Port Security para usar a ACL

Os usuários podem configurar se a Port Security usa ACL de acordo com as necessidades reais. Ao usar as regras ACL, MAC+IP, MAC+IPv6, STICKY MAC+IP e STICKY MAC+IPv6 podem corresponder com precisão o endereço MAC de origem e o endereço IP/IPv6 de origem do usuário, evitando o acesso ilegal do usuário com correspondência de endereço MAC de origem e incompatibilidade de endereço IP/IPv6 de origem.

Tabela 3 -14 Configurar regra MAC+IP para usar ACL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a Port Security para a ACL do usuário port-security use-acl Obrigatório Por padrão, a Port Security não usa ACL.

Monitoramento e Manutenção da Port Security

Tabela 3 -15 Monitoramento e manutenção da Port Security

Comando Descrição
clear port-security statistics Limpe as informações estatísticas dos pacotes enviados e recebidos
show port-security Exiba as informações de resumo da porta configurada com a Port Security
show port-security ip-address Exibir a regra de IP configurada
show port-security ipv6-address Exibir a regra IPv6 configurada
show port-security mac-address Exiba a regra MAC configurada e a regra STICKY
show port-security active-address Exibir as informações de todas as entradas efetivas
show port-security detect-mac Exibir a nova entrada MAC atualmente detectada
show port-security violation log-interval Exibe o período de impressão do log quando a entrada MAC inválida é detectada atualmente
show port-security violation-mac Exibir a entrada MAC inválida atualmente detectada
show port-security statistics Exibe as informações estatísticas dos pacotes enviados e recebidos

Exemplo de configuração típico de Port Security

Configurar regra MAC e IP de Port Security

Requisitos de rede

  • PC1, PC2 e a impressora de rede são conectados ao servidor via Device.
  • Configure a função de Port Security no dispositivo, permitindo a passagem de PC1 e recusando a passagem de PC2; permitir que a impressora de rede execute as tarefas de impressão entregues pelo servidor e pelo usuário do PC1.

Topologia de rede

Figura 3 – 1 Rede de configuração de Port Security MAC e regra de IP

Etapas de configuração

  • Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/3 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure a função de Port Security.

#Configure a regra MAC+IP no gigabitethernet0/1 do Device, permitindo a passagem do PC1; configurar a regra de IP, recusando a passagem de PC2.

Device#config terminal
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security permit mac-address 3883.45ef.7984 ip-address 199.0.0.1
Device(config-if-gigabitethernet0/1)#port-security deny ip-address 199.0.0.2
Device(config-if-gigabitethernet0/1)#exit

#Configure a regra MAC em gigabitethernet0/2 do dispositivo, permitindo que a impressora de rede acesse a rede.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security enable
Device(config-if-gigabitethernet0/2)#port-security permit mac-address 3883.45ef.f395
Device(config-if-gigabitethernet0/2)#exit
  • Passo 3:Confira o resultado.

#Visualize as entradas efetivas da Port Security no dispositivo. O usuário pode ver que os MACs do PC1 e da impressora de rede são gravados nas entradas efetivas da Port Security.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation      Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1       MAC+IP              0    
2     gi0/2                38:83:45:EF:F3:95 2    199.0.0.3         MAC               0  

#Com a detecção, podemos ver que o PC1 pode acessar o servidor e a impressora da rede pode executar a tarefa de impressão entregue pelo PC1 e o servidor.

#Com a detecção, podemos ver que o PC2 não consegue pingar o servidor ou a impressora da rede.

Configurar regra MAC de Port Security

Requisitos de rede

  • PC1, PC2 e PC3 são conectados ao servidor via Device; O PC e o servidor estão na mesma LAN.
  • Configure a regra de Port Security no dispositivo, permitindo que PC1 e PC2 acessem o servidor e recusando o acesso de PC3 ao servidor.

Topologia de rede

Figura 3 – 2 Networking de configuração da regra MAX da segurança da porta

Etapas de configuração

  • Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/2
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure a regra de Port Security no dispositivo.

#Configure a regra MAX em gigabitethernet0/1 do dispositivo. O número máximo de regras MAC é 3.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security maximum 3
Device(config-if-gigabitethernet0/1)exit

#Recusar PC3 para acessar o servidor em giabitethernet0/1 do dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security deny mac-address 3883.45ef.f395
Device(config-if-gigabitethernet0/1)exit
  • Passo 3:Confira o resultado.

#Os três PCs tentam se comunicar com o servidor respectivamente. Você pode ver que PC1 e PC2 podem acessar o servidor e PC3 não pode acessar o servidor. Visualize as entradas efetivas da Port Security em gigabitethernet0/1 do dispositivo e você poderá ver que os endereços MAC de PC1 e PC2 são gravados nas entradas efetivas da Port Security.

Device#show port-security active-address                
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation      Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                00:50:ba:0c:89:a3 2    ---             FREE                0    
2     gi0/1                38:83:45:EF:79:84 2    ---             FREE                0    
Total Mac Addresses for this criterion: 2

Configurar regra STICKY de Port Security

Requisitos de rede

  • PC1, PC2 e PC3 são conectados ao servidor via Device; eles estão na mesma LAN que o servidor.
  • Configure a regra de Port Security no Dispositivo, permitindo a passagem de dois PCs.
  • Depois de salvar a configuração e reiniciar o dispositivo, a regra STICKY pode entrar em vigor imediatamente.

Topologia de rede

Figura 3 – 3 Networking de configuração da regra STICKY da segurança da porta

Etapas de configuração

  • Passo 1:Configurar VLAN.

#Criar VLAN.

Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1-0/2
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure a regra MAX da Port Security no dispositivo.

#Configure a regra MAX em gigabitethernet0/1 do dispositivo. O número máximo de regras MAX é 2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security enable
Device(config-if-gigabitethernet0/1)#port-security maximum 2
Device(config-if-gigabitethernet0/1)exit
  • Passo 3:Configure a regra STICKY da Port Security no dispositivo.

#Ative a função STICKY no gigabitethernet0/1 do dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#port-security permit mac-address sticky
Device(config-if-gigabitethernet0/1)#exit
  • Passo 4:Confira o resultado.

#PC1, PC2 e PC3 tentam se comunicar com o servidor. Veja as entradas efetivas da Port Security em gigabitethernet0/1 do dispositivo e você pode ver que o tipo de regra em gigabitethernet0/1 é STICKY.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation        Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1         STICKY              0    
2     gi0/1                38:83:45:EF:F3:95 2    199.0.0.3         STICKY              0    
Total Mac Addresses for this criterion: 2

#Após salvar a configuração e reiniciar o dispositivo, a regra STICKY existe e entra em vigor.

Device#show port-security active-address 
-----------------------------------------------------------------------------------------
Entry Interface            MAC address       VID  IP/IPv6 Addr         Derivation        Age(Sec)
-----------------------------------------------------------------------------------------
1     gi0/1                38:83:45:EF:79:84 2    199.0.0.1         STICKY              0    
2     gi0/1                38:83:45:EF:F3:95 2    199.0.0.3         STICKY              0    
Total Mac Addresses for this criterion: 2

IP Source Guard

Visão geral

A função IP Source Guard é uma função de filtro de pacotes e pode filtrar e controlar os pacotes encaminhados pela porta, evitando que os pacotes inválidos passem pela porta e melhorando a Port Security. A função pode ser dividida em dois tipos:

  1. A função Port IP Source Guard filtra os pacotes IP recebidos pela porta especificada. O modo de filtro inclui IP, MAC e IP+MAC. Os modos de processamento específicos são os seguintes:
  2. Modo IP: Se o endereço IP de origem e o ID da VLAN no pacote forem os mesmos que o endereço IP e o ID da VLAN registrados nas entradas vinculadas, a porta encaminhará o pacote. Caso contrário, solte-o.
  3. Modo MAC: Se o MAC de origem no pacote for o mesmo que o endereço MAC, número de VLAN registrado na tabela de ligação, a porta encaminhará o pacote. Caso contrário, solte-o.
  4. Modo IP+MAC: Se o endereço IP de origem, o endereço MAC de origem e o ID da VLAN no pacote forem os mesmos que o endereço IP, o endereço MAC e o ID da VLAN registrados nas entradas vinculadas, a porta encaminhará o pacote. Caso contrário, descarte o pacote.
  5. A configuração do tipo de filtro tem efeito apenas para a entrada de associação dinâmica, não afetando a entrada de associação estática.

    As entradas vinculadas do IP Source Guard da porta incluem dois tipos:

    • Entradas vinculadas estáticas, entradas vinculadas estáticas do IP Source Guard de porta configurada manualmente
    • Entradas vinculadas dinâmicas, geradas dinamicamente pelas entradas válidas da função DHCP Snooping.
    • A função Global IP Source Guard filtra os pacotes recebidos por todas as portas, incluindo pacotes ARP e IP. Os modos de filtro específicos são os seguintes:
    • Se o endereço IP de origem no pacote IP for igual ao endereço IP nas entradas vinculadas do IP Source Guard global, mas o endereço MAC de origem for diferente ou o endereço MAC de origem no pacote IP for igual ao endereço MAC em as entradas globais vinculadas ao IP Source Guard, mas o ID do endereço IP de origem é diferente, descarte o pacote.
    • Se o endereço IP de envio no pacote ARP for o mesmo que o endereço IP nas entradas vinculadas, mas o endereço MAC de origem for diferente ou o endereço MAC de origem no pacote ARP for o mesmo que o endereço MAC nas entradas vinculadas, mas o endereço IP de envio é diferente, descarte o pacote.

Configuração da função de IP Source Guard

Tabela 4 -1 A lista de configuração da função IP Source Guard

Tarefa de configuração
Configure as entradas vinculadas estáticas da porta IP Source Guard Configure as entradas vinculadas estáticas da porta IP Source Guard
Configure a função IP Source Guard da porta Configure a função IP Source Guard da porta
Configure o tipo de pacote de filtro da porta IP Source Guard
Configurar a função global do IP Source Guard Configurar a função global do IP Source Guard

Configurar entradas de limite estático do IP Source Guard da porta

Condição de configuração

Antes de configurar as entradas de limite estático do IP Source Guard da porta, primeiro conclua a seguinte tarefa:

  • Habilite a função IP Source Guard da porta ou habilite a função Dynamic ARP Inspection da porta

Configurar entradas de limite estático do IP Source Guard da porta

As entradas vinculadas estáticas da porta IP Source Guard são a base da filtragem dos pacotes IP recebidos pela porta especificada.

Quando a função Inspeção ARP Dinâmica da porta está habilitada, somente as entradas estáticas configuradas com mac, ip e vlan podem servir como base para a detecção de validade dos pacotes ARP.

Tabela 4 -2 Configure as entradas vinculadas estáticas da porta IP Source Guard

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure as entradas vinculadas estáticas da porta IP Source Guard ip source binding { ip-address ip-address [ mac-address mac-address [ vlan vlan-id ] | vlan vlan-id ] | mac-address mac-address [ vlan vlan-id ] } Obrigatório Por padrão, não há entrada de limite estático da porta IP Source Guard.

Para a função de Inspeção de ARP Dinâmico da porta, consulte o capítulo Inspeção de ARP Dinâmico do manual de configuração.

Configurar a função de IP Source Guard da porta

Condição de configuração

Nenhum

função de IP Source Guard da porta

Depois de habilitar a função Port IP Source Guard, primeiro grave a entrada vinculada à porta no chip, incluindo a entrada vinculada estática e a entrada vinculada dinâmica. A entrada de limite estático é gravada primeiro. E então realizar o controle de segurança dos pacotes IP recebidos pela porta de acordo com as entradas escritas no chip, melhorando a segurança.

Tabela 4 -3 Configurar a função IP Source Guard da porta

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função IP Source Guard da porta ip verify source Obrigatório Por padrão, a função IP Source Guard da porta está desabilitada.

Após habilitar a função de IP Source Guard da porta, as entradas vinculadas da IP Source Guard da porta são gravadas no chip. O número de entradas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar entradas vinculadas ou habilitar a função IP Source Guard da porta na outra porta, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se algumas entradas vinculadas do IP Source Guard não puderem ser gravadas no chip porque os recursos de entrada do chip não são suficientes, o sistema tentará automaticamente gravar as entradas vinculadas no chip novamente a cada 60 segundos até que todas as entradas vinculadas sejam gravadas no chip ou excluídas. Se as funções do IP Source Guard da porta e do IP Source Guard global forem usadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas do IP Source Guard da porta e do IP Source Guard global para que possa ser encaminhado. Caso contrário, é descartado. Antes de habilitar a função IP Source Guard da porta e se o dispositivo terminal conectado à porta não for um cliente DHCP, ou o dispositivo terminal for o cliente DHCP, mas o dispositivo local não habilitar a função DHCP Snooping, precisamos configurar o MAC endereço, endereço IP e o ID de VLAN do dispositivo terminal como a entrada de ligação estática do IP Source Guard da porta, de modo a garantir que depois de habilitar a função, o dispositivo terminal se comunique normalmente. Para a função DHCP Snooping, consulte o capítulo DHCP Snooping do manual de configuração.

Configurar o tipo de pacote filtrado de IP Source Guard da porta

Condição de configuração

Antes de configurar o tipo de pacote filtrado da porta IP Source Guard, primeiro conclua a seguinte tarefa:

  • Habilite a função IP Source Guard da porta

Configurar o tipo de pacote filtrado de IP Source Guard da porta

Após habilitar a função Port IP Source Guard, o pacote IP é filtrado por meio de ip. Quando o endereço IP de origem e o número da VLAN do pacote IPv4 recebido pela porta são os mesmos que o endereço IP de origem e o número da VLAN na entrada de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Após habilitar a função Port IP Source Guard, os pacotes IP são filtrados por meio do ip-mac. Quando o endereço MAC de origem, o endereço IP de origem e o número da VLAN do pacote IP recebido pela porta são os mesmos que o endereço MAC, o endereço IP e o número da VLAN nas entradas de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Após habilitar a função Port IP Source Guard, os pacotes IP são filtrados por meio do mac. Quando o endereço MAC de origem e o número da VLAN do pacote IP recebido pela porta são os mesmos que o endereço MAC, o endereço IP e o número da VLAN nas entradas de ligação do IP Source Guard da porta, a porta encaminha o pacote; se algum for diferente, descarte o pacote.

Tabela 4 -4 Configure o tipo de pacote filtrado da porta IP Source Guard

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite o tipo de pacote de filtro do IP Source Guard da porta ip verify source type {ip | ip-mac | mac} Obrigatório Por padrão, o modo de filtro é do tipo filtro IP, tendo efeito apenas para a entrada dinâmica.

Configurar a função de ligação de entrada estática da porta MAC

Condição de configuração

Antes de configurar a função de ligação de entrada estática do MAC da porta, primeiro conclua a seguinte tarefa:

  • Habilite a função IP Source Guard da porta

Configurar a função de ligação de entrada estática da porta MAC

Depois de configurar a função de ligação de entrada estática MAC da porta, obtenha o endereço mac correspondente, o número da vlan e o número da porta das entradas estáticas do IP Source Guard configuradas e as entradas dinâmicas na porta, e entregue a entrada MAC estática correspondente.

Tabela 4 -5 Configurar a função de ligação de entrada estática MAC

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de ligação de entrada estática MAC ip source sticky-mac Obrigatório Por padrão, a função de ligação de entrada estática do MAC da porta está desabilitada.

Configurar a função de IP Source Guard global

Condição de configuração

Nenhum

Configurar a função de IP Source Guard global

Para proteger a segurança do endereço IP do usuário e impedir que outro usuário use seu próprio endereço IP, podemos configurar a função IP Source Guard global para vincular o endereço IP do usuário e o endereço MAC. As entradas vinculadas ao IP Source Guard globais do endereço IP do usuário configurado e do endereço MAC são gravadas diretamente no chip, de modo a filtrar os pacotes IP e ARP inválidos.

Ao habilitar a função Global Dynamic ARP Inspection, as entradas vinculadas do IP Source Guard globais configuradas servem como base para a detecção de validade da função global Dynamic ARP Inspection para os pacotes ARP.

Tabela 4 -6 Configurar a função global do IP Source Guard

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Configurar a função global do IP Source Guard source binding mac-address ip-address Obrigatório Por padrão, não há entrada vinculada ao IP Source Guard global e a função está desabilitada. O comando habilita a função global do IP Source Guard. Enquanto isso, uma entrada vinculada ao IP Source Guard global é configurada.

Se a ACL estendida híbrida for aplicada à entrada global (todas as portas), precisamos cancelar o aplicativo para que a função IP Source Guard global possa ser configurada. Caso contrário, a configuração falha. Consulte o capítulo ACL do manual de configuração. As entradas globais vinculadas ao IP Source Guard suportam no máximo 40. Após exceder 40, a configuração falha. As entradas vinculadas do IP Source Guard globais configuradas são gravadas diretamente no chip. O número de entradas vinculadas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar as entradas vinculadas do IP Source Guard global, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se as funções do IP Source Guard da porta e do IP Source Guard global forem usadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas do IP Source Guard da porta e do IP Source Guard global para que possa ser encaminhado. Caso contrário, é descartado.

Para a função de Inspeção de ARP Dinâmico da porta, consulte o capítulo Inspeção de ARP Dinâmico do manual de configuração.

Monitoramento e manutenção do IP Source Guard

Tabela 4 -7 Monitoramento e manutenção do IP Source Guard

Comando Descrição
show ip binding table [ interface interface-name | link-aggregation link-aggregation-id | slot | summary ] Exiba as informações estatísticas das entradas vinculadas do IP Source Guard da porta e a quantidade de entrada vinculada
show ip source guard [ interface interface-name | link-aggregation link-aggregation-id ] Exibe as informações de configuração da função IP Source Guard da porta
show source binding Exiba as informações estáticas das entradas vinculadas do IP Source Guard global e a quantidade de entrada

Exemplo de configuração típico do IP Source Guard

Configurar a função de IP Source Guard de porta efetiva com base em entradas dinâmicas de DHCP snooping

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo.
  • Configure a função global de espionagem de IP.
  • Configure a função IP Source Guard da porta, para que o PC2 possa acessar a rede IP normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 4 – 1 Rede de configuração da função IP Source Guard da porta efetiva com base nas entradas dinâmicas do DHCP Snooping

Etapas de configuração

  • Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:No dispositivo, habilite a função DHCP Snooping global e configure giga bitthernet0/2 conectado ao servidor DHCP como a porta confiável.
Device(config)#dhcp snooping enable
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dhcp snooping trust
Device(config-if-gigabitethernet0/2)#exit
  • Passo 3:Configure o pool de endereços do servidor DHCP como 1.0.0.0/24. (omitido)
  • Passo 4:No dispositivo, configure a função IP Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função IP Source Guard baseada em porta.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip verify source 
Device(config-if-gigabitethernet0/1)#exit
  • Passo 5:Confira o resultado.

# Visualize as informações de configuração do DHCP Snooping.

Device#show dhcp-snooping 
        dhcp-snooping configuration information:
        dhcp-snooping status:enable
        dhcp-snooping option82 information status:disable
        dhcp-snooping option82 information policy:replace
        dhcp-snooping option82 information format:default
        dhcp-snooping option82 information remote id:default(mac address)
        dhcp-snooping information relay-address :None
        dhcp-snooping binding agent save mode :auto-flash
        dhcp-snooping binding agent save delay :1800
        dhcp-snooping binding agent save pool :30
        dhcp-snooping interface information :
        ------------------------------------------------------------- 
        interface            trust-status     rate-limit(pps)  circuit-Id 
        gi0/0/1              untrust          40               default(vlan-mod-interface) 
        gi0/0/2              trust            ----             default(vlan-mod-interface) 
        gi0/0/3              untrust          40               default(vlan-mod-interface) 
        gi0/0/4              untrust          40               default(vlan-mod-interface) 
        gi0/0/5              untrust          40               default(vlan-mod-interface)
        ……

#Visualize as informações de configuração do IP Source Guard.

Device#show ip source guard
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    
-------------------------------------------------------
gi0/1                    Enabled     	ip           Disabled     
gi0/2                    Disabled     	ip           Disabled     
gi0/3                    Disabled     	ip           Disabled     
gi0/4                    Disabled     	ip           Disabled     
gi0/5                    Disabled     	ip           Disabled     
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função IP Source Guard e o tipo de verificação é ip. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em ip+vlan.

#Visualize as entradas vinculadas ao IP Source Guard da porta.

Device#show ip binding table 
---------------------------------------------
IP Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 0
     Dynamic binding entries   : 1
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address     IP-Address    VLAN-ID   Type-Flag   Writing-Flag    L2-Flag  
-----------------------------------------------------------------------------------------
gi0/1          0001.0001.0001   1.0.0.2       2         dynamic      Write         Not Write    

#PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

Configurar a função de IP Source Guard da porta com base em entradas estáticas

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo.
  • Configure a função IP Source Guard da porta efetiva com base em entradas estáticas, para que o PC2 possa acessar a rede IP normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 4 – 2 Rede de configuração da função IP Source Guard da porta efetiva com base em entradas estáticas

Etapas de configuração

  • Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

# Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:No dispositivo, configure a função IP Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função IP Source Guard com base no modo de filtragem MAC+VLAN e configure o endereço IP como 1.0.0.1 e as entradas de ligação do IP Source Guard da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip verify source 
Device(config-if-gigabitethernet0/1)#ip source binding ip-address 1.0.0.1 vlan 2  
Device(config-if-gigabitethernet0/1)#exit
  • Passo 3:Confira o resultado.

#Visualize as informações de configuração do IP Source Guard.

Device#show ip source guard 
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------------
Interface Name           Status       Verify Type    L2 Status    
-------------------------------------------------------------
gi0/1                    Enabled      	IP           Disabled     
gi0/2                    Disabled     	IP           Disabled     
gi0/3                    Disabled     	IP           Disabled     
gi0/4                    Disabled     	IP           Disabled
……

Você pode ver que a porta gigabitethernet0/1 está habilitada com a função IP Source Guard. As entradas estáticas do IP Source Guard entram em vigor de acordo com as entradas IP+VLAN configuradas, não relacionadas com o valor Verify Type. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em ip+vlan.

#Visualize as entradas vinculadas ao IP Source Guard da porta.

Device #show ip binding table
-----------------------------------------
IP Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 1
     Dynamic binding entries   : 0
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   IP-Address   VLAN-ID    Type-Flag   Writing-Flag    L2-Flag        
-----------------------------------------------------------------------------------------
gi0/1              ---        1.0.0.1      2          Static       Write         Not Write       

# PC1 pode acessar a rede IP normalmente e o PC2 não pode acessar a rede IP.

IPv6 Source Guard

Visão geral

A função IPv6 Source Guard é uma função de filtro de pacotes e pode filtrar e controlar os pacotes encaminhados pela porta, evitando que os pacotes inválidos passem pela porta e melhorando a Port Security. A função pode ser dividida em dois tipos:

  1. A função Port IPv6 Source Guard filtra os pacotes IPv6 recebidos pela porta especificada. O modo de filtro inclui IP, IP+MAC e MAC. Os modos de processamento específicos são os seguintes:
  2. Modo IP: Se o endereço IPv6 de origem e o ID de VLAN no pacote forem os mesmos que o endereço IPv6 e o ID de VLAN registrados nas entradas vinculadas, a porta encaminhará o pacote. Caso contrário, solte-o.
  3. Modo IP+MAC+VLAN: Se o endereço IPv6 de origem, o endereço MAC de origem e o ID da VLAN no pacote forem os mesmos que o endereço IPv6, o endereço MAC e o ID da VLAN registrados nas entradas vinculadas, a porta encaminhará o pacote. Caso contrário, descarte o pacote.
  4. Modo MAC+VLAN: Se o endereço MAC de origem e o ID de VLAN no pacote forem os mesmos que o endereço MAC e o ID de VLAN registrados nas entradas vinculadas, a porta encaminhará o pacote. Caso contrário, descarte o pacote.
  5. A configuração do tipo de filtro tem efeito apenas para a entrada de associação dinâmica, não afetando a entrada de associação estática.

    As entradas vinculadas da porta IPv6 Source Guard incluem dois tipos:

    • Entradas estáticas vinculadas, portas configuradas manualmente IPv6 Source Guard entradas estáticas vinculadas
    • Entradas vinculadas dinâmicas, geradas dinamicamente pelas entradas válidas da função DHCPv6 Snooping.
    1. A função Global IPv6 Source Guard filtra os pacotes recebidos por todas as portas. Os modos de filtro específicos são os seguintes:
    2. Se o endereço IPv6 de origem ou o endereço MAC no pacote IPv6 for diferente do endereço IPv6 ou do endereço MAC de origem nas entradas vinculadas do IPv6 Source Guard global, mas o endereço MAC de origem for diferente, descarte o pacote.

Configuração da função de IPv6 Source Guard

Tabela 5 -1 A lista de configuração da função IPv6 Source Guard

Tarefas de configuração
Configure as funções básicas da porta IPv6 Source Guard Habilite a função de proteção de fonte IPv6 da porta
Configure as entradas vinculadas da porta IPv6 Source Guard
Configure o tipo de pacote filtrado da porta IPv6 Source Guard Configure o tipo de pacote filtrado da porta IPv6 Source Guard
Configure as entradas vinculadas estáticas da porta IPv6 Source Guard Configure as entradas vinculadas estáticas da porta IPv6 Source Guard
Configure a função de ligação de entrada estática MAC da porta Configure a função de ligação de entrada estática MAC da porta
Configurar a função global de IPv6 Source Guard Configurar a função global de IPv6 Source Guard

Ativar função de proteção de fonte IPv6 da porta

Condição de configuração

Nenhum

Ativar função de proteção de fonte IPv6 da porta

Depois de habilitar a função de proteção de fonte IPv6 da porta, grave as entradas vinculadas na porta (incluindo entradas estáticas e entradas dinâmicas) no chip e os pacotes que correspondem completamente aos recursos de entrada vinculada podem ser encaminhados. Caso contrário, solte-o. Depois de habilitar o IPv6 Source Guard, permita que os pacotes DHCPv6 e os pacotes ND na porta passem por padrão.

Tabela 5 -2 Habilite a função de IPv6 Source Guard da porta

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função de proteção de fonte IPv6 da porta ipv6 verify source Obrigatório Por padrão, a função de IPv6 Source Guard da porta está desabilitada.

Configurar máx. Entradas vinculadas do IPv6 Source Guard da porta

Condição de configuração

Antes de configurar o número máximo de entradas vinculadas ao Source Guard IPv6 da porta, primeiro conclua a seguinte tarefa:

  • Habilite a função de proteção de fonte IPv6 da porta

Configurar máx. Número de entradas de IPv6 Source Guard da porta

O número máximo de entradas vinculadas (incluindo entradas vinculadas estáticas e dinâmicas) suportadas pela porta impede que uma porta seja atacada e ocupe os recursos do dispositivo.

Tabela 5 -3 Configure o número máximo de entradas vinculadas ao Source Guard IPv6 da porta

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o número máximo de entradas vinculadas ao Source Guard IPv6 da porta ipv6 verify source max-entries number Obrigatório Por padrão, cada porta pode ser configurada com 536 entradas vinculadas.

Configurar o tipo de pacote filtrado de IPv6 Source Guard da porta

Condição de configuração

Antes de configurar o tipo de pacote filtrado da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

  • Habilite a função de proteção de fonte IPv6 da porta

Configurar o tipo de pacote filtrado de IPv6 Source Guard da porta

Após habilitar a função de proteção de fonte IPv6 da porta, filtre os pacotes IPv6 pelo modo ip. Quando o endereço IPv6 de origem e o número de VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço IPv6 de origem e o número de VLAN nas entradas vinculadas do Source Guard IPv6 da porta, a porta encaminha o pacote. Se algum for diferente, solte-o.

Após habilitar a função de proteção de fonte IPv6 da porta, filtre o pacote IPv6 pelo modo ip-mac. Quando o endereço MAC de origem, o endereço IPv6 de origem e o número VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço MAC, o endereço IPv6 e o número VLAN na entrada vinculada do Source Guard da porta IPv6, a porta encaminha o pacote. Se algum for diferente, solte-o.

Após habilitar a função de proteção de fonte IPv6 da porta, filtre o pacote IPv6 pelo modo mac. Quando o endereço MAC de origem e o número da VLAN no pacote IPv6 recebido pela porta são os mesmos que o endereço MAC, o endereço IPv6 e o número da VLAN na entrada vinculada do Source Guard da porta IPv6, a porta encaminha o pacote. Se algum for diferente, solte-o.

Tabela 5 -4 Configure o tipo de pacote filtrado da porta IPv6 Source Guard

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o tipo de pacote filtrado da porta IPv6 Source Guard ipv6 verify source type {ip | ip-mac | mac} Obrigatório Por padrão, a porta filtra os pacotes pelo modo ip.

Depois de habilitar a função de proteção de fonte IPv6 da porta, as entradas vinculadas da proteção de fonte IPv6 da porta são gravadas no chip. O número de entradas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar entradas vinculadas ou habilitar a função de IPv6 Source Guard da porta na outra porta, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se algumas entradas vinculadas do Source Guard IPv6 não puderem ser gravadas no chip porque os recursos de entrada do chip não são suficientes, o sistema tentará automaticamente gravar as entradas vinculadas no chip novamente a cada 60 segundos até que todas as entradas vinculadas sejam gravadas no chip ou excluídas. Configure o tipo de pacote de filtro de IPv6 Source Guard da porta válido apenas para entrada dinâmica gerada pela espionagem DHCPv6

Configurar entradas vinculadas estáticas do IPv6 Source Guard da porta

Condição de configuração

Antes de configurar as entradas de limite estático da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

  • Habilite a função de proteção de fonte IPv6 da porta

Configurar entradas vinculadas estáticas do IPv6 Source Guard da porta

As entradas vinculadas estáticas da porta IPv6 Source Guard são a base da filtragem dos pacotes IPv6 recebidos pela porta especificada.

Tabela 5 -5 Configure as entradas vinculadas estáticas da porta IPv6 Source Guard

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure as entradas vinculadas estáticas da porta IPv6 Source Guard ipv6 source binding { ipv6-address ipv6-address [ mac-address mac-address [ vlan vlan-id ] | vlan vlan-id ] | mac-address mac-address [ vlan vlan-id ] } Obrigatório Por padrão, não há entrada de limite estático da porta IPv6 Source Guard.

Configurar a função de ligação de entrada estática da porta MAC

Condição de configuração

Antes de configurar a função de ligação de entrada estática da porta IPv6 Source Guard, primeiro conclua a seguinte tarefa:

  • Habilite a função de proteção de fonte IPv6 da porta

Configurar a função de ligação de entrada estática da porta MAC

Depois de configurar a função de ligação de entrada estática MAC da porta, obtenha o endereço mac correspondente, o número da vlan e o número da porta das entradas estáticas do IP Source Guard configuradas e as entradas dinâmicas na porta, e entregue a entrada MAC estática correspondente.

Tabela 5 -6 Configurar a função de ligação de entrada estática MAC

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de ligação de entrada estática MAC Ipv6 source sticky-mac Obrigatório função de ligação de entrada estática do MAC da porta está desabilitada.

Configurar a função de proteção de origem do IPv6 global

Condição de configuração

Nenhum

Configurar a função de IPv6 Source Guard global

Para proteger a segurança do endereço IPv6 do usuário e impedir que outro usuário use seu próprio endereço IPv6, podemos configurar a função IPv6 Source Guard global para vincular o endereço IPv6 do usuário e o endereço MAC. As entradas vinculadas ao IP Source Guard globais do endereço IPv6 do usuário configurado e do endereço MAC são gravadas diretamente no chip, de modo a filtrar os pacotes IPv6 inválidos.

Tabela 5 -7 Configurar a função global de proteção de origem IPv6

Etapa Comando Descrição
Entre no modo de configuração global config terminal -
Configurar a função global de IPv6 Source Guard ipv6 source binding mac-address mac-address ipv6-address ipv6_address Obrigatório Por padrão, não há entrada vinculada ao IPv6 Source Guard global e a função está desabilitada.

As entradas vinculadas ao IPv6 Source Guard globais suportam no máximo 40. Após exceder 40, a configuração falha. As entradas vinculadas do IPv6 Source Guard globais configuradas são gravadas diretamente no chip. O número de entradas vinculadas gravadas no chip depende dos recursos de entrada de chip disponíveis. Se os recursos de entrada do chip estiverem esgotados e for necessário adicionar as entradas vinculadas do IPv6 Source Guard globais, precisamos excluir as entradas vinculadas relacionadas de alguns recursos de entrada do chip. Se as funções IPv6 Source Guard da porta e IPv6 Source Guard global estiverem habilitadas ao mesmo tempo, o pacote IP recebido pela porta precisa corresponder às entradas vinculadas da porta IPv6 Source Guard e IPv6 Source Guard global ao mesmo tempo para que pode ser encaminhado. Caso contrário, é descartado.

Monitoramento e manutenção do IPv6 Source Guard

Tabela 5 -8 Monitoramento e manutenção do IPv6 Source Guard

Comando Descrição
show ipv6 binding table [ dynamic | static | interface interface-name | slot | summary ] Exiba as informações estatísticas das entradas vinculadas do IPv6 Source Guard e a quantidade de entrada vinculada
show ipv6 source guard [ interface interface-name] Exibe as informações de configuração da função de proteção de origem IPv6 da porta

Exemplo de configuração típico do IPv6 Source Guard

Configurar a função de IPv6 Source Guard da porta com base em entradas dinâmicas de DHCPv6 snooping

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IPv6 via dispositivo.
  • Configure a função global de DHCPv6 snooping.
  • Configure a função de IPv6 Source Guard da porta para que o PC1 possa acessar a rede IPv6 normalmente e o PC2 não possa acessar a rede IPv6.

Topologia de rede

Figura 5 – 1 Rede de configuração da função de proteção de origem IPv6 da porta efetiva com base em entradas dinâmicas de espionagem DHCPv6

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configura o tipo de link da porta gigabitethernet 0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:No dispositivo, habilite a função de DHCPv6 snooping global e configure giga bitthernet0/2 conectado ao servidor DHCP como a porta confiável.
Device(config)#ipv6 dhcp snooping enable
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#ipv6 dhcp snooping trust
Device(config-if-gigabitethernet0/2)#exit
  • Passo 3:Configure o pool de endereços do servidor DHCPv6 como 2000::2/64. (omitido)
  • Passo 4:No dispositivo, configure a função IPv6 Source Guard da porta.

#Na porta gigabitethernet0/1, habilite a função de IPv6 Source Guard baseada em porta.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ipv6 verify source 
Device(config-if-gigabitethernet0/1)#exit
  • Passo 5:Confira o resultado.

#Visualize as informações de configuração do DHCPv6 Snooping.

Device#show ipv6 dhcp snooping 
        dhcpv6-snooping configuration information:
        dhcpv6-snooping status:enable
        dhcpv6-snooping entry aged time:300
        dhcpv6-snooping binding agent save delay time:1800
        dhcpv6-snooping binding agent save type :FLASH
        dhcpv6-snooping binding agent save file :dhcpv6sp_binding.db
        dhcpv6-snooping binding agent save pool time:30
        dhcpv6-snooping interface information :
        ------------------------------------------------------------- 
        interface            trust-status     max-learning-num option-policy    option18-status  option37-status  
        gi0/1                untrust          1024             keep             disable          disable
gi0/2                trust            1024             keep             disable          disable          
        gi0/3                untrust          1024             keep             disable          disable          
        gi0/4                untrust          1024             keep             disable          disable          
        gi0/5                untrust          1024             keep             disable          disable          
        ……

# Visualize as informações de configuração do IPv6 Source Guard.

Device#show ipv6 source guard
-----------------------------------------
IPv6 source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    Max Entry    
-------------------------------------------------------
gi0/1                    Enabled     	ip           Disabled     536          
gi0/2                    Disabled     	ip           Disabled     536          
gi0/3                    Disabled     	ip           Disabled     536          
gi0/4                    Disabled     	ip           Disabled     536          
gi0/5                    Disabled     	ip           Disabled     536          
……

Podemos ver que a função IPv6 Source Guard está habilitada na porta gigabitethernet0/1. Verifique se o tipo é ip. Portanto, no exemplo acima, as entradas dinâmicas são efetivadas com base em IP+VLAN.

# Exibe a entrada vinculada ao IPv6 Source Guard da porta.

Device#show ipv6 binding table 
----------------------------global Ipv6 and mac binding entry -----------------------------
 total :0
-----------------------------------------------------------------------------------------
------------------------------------------
IPv6 Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 0
     Static not write entries  : 0
     Dynamic binding entries   : 1
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   VLAN-ID   Type-Flag   Writing-Flag    L2-Flag    IP-Address             
-----------------------------------------------------------------------------------------
gi0/1          0001.0001.0001    2         dynamic      Write         Not Write    2000::2

#PC1 pode acessar a rede IPv6 normalmente e o PC2 não pode acessar a rede IPv6.

Configurar a função de IPv6 Source Guard da porta efetiva com base em entradas estáticas

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IPv6 via dispositivo.
  • Configure a função de IPv6 Source Guard da porta com base em entradas estáticas, para que o PC1 possa acessar a rede IPv6 normalmente e o PC2 não possa acessar a rede IP.

Topologia de rede

Figura 5 – 2 Rede de configuração da função de proteção de origem IPv6 da porta efetiva com base em entradas estáticas

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configure o tipo de link da porta gigabitethernet0/1 como Access, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:Configure a função de IPv6 Source Guard da porta no dispositivo.

# Habilite a função de proteção de fonte IPv6 da porta com base no modo de filtragem MAC+VLAN na porta gigabitethernet0/1 e configure o endereço IP como 1000::1 e a entrada vinculada da proteção de fonte IPv6 da porta da VLAN 2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ipv6 verify source 
Device(config-if-gigabitethernet0/1)#ipv6 source binding ip-address 1000::1 vlan 2  
Device(config-if-gigabitethernet0/1)#exit
  • Passo 3:Confira o resultado.

# Visualize as informações de configuração do IPv6 Source Guard.

Device#show ipv6 source guard 
-----------------------------------------
IP source guard interfaces on slot 0 :
    Total number of enabled interfaces : 1
-------------------------------------------------------------
Interface Name           Status       Verify Type  L2 Status    
-------------------------------------------------------------
gi0/1                    Enabled      	IP           Disabled     
gi0/2                    Disabled     	IP           Disabled     
gi0/3                    Disabled     	IP           Disabled     
gi0/4                    Disabled     	IP           Disabled
……

Podemos ver que a função IPv6 Source Guard está habilitada na porta gigabitethernet0/1. A entrada estática do IPv6 Source Guard entra em vigor de acordo com a entrada MAC+VLAN configurada, não relacionada com o valor Verify Type. Portanto, o exemplo acima tem efeito com base em MAC+VLAN.

# Exibe a entrada vinculada ao IPv6 Source Guard da porta.

Device #show ipv6 binding table
----------------------------global Ipv6 and mac binding entry -----------------------------
 total :0
-----------------------------------------------------------------------------------------
------------------------------------------
IPv6 Source Guard binding table on slot 0
     Total binding entries     : 1
     Static binding entries    : 1
     Static not write entries  : 0
     Dynamic binding entries   : 0
     Dynamic not write entries : 0
     PCE writing entries       : 1
-----------------------------------------------------------------------------------------
Interface-Name  MAC-Address   VLAN-ID   Type-Flag   Writing-Flag    L2-Flag    IP-Address                          
-----------------------------------------------------------------------------------------
gi0/1              ---         2         Static      Write         Not Write   1000::1

#PC1 pode acessar a rede IPv6 normalmente e o PC2 não pode acessar a rede IPv6.

ND Snooping

Visão geral

ND Snooping

ND snooping é um recurso de segurança do IPv6 ND (descoberta de vizinhos), que é usado no ambiente de rede de comutação L2. A tabela de vinculação dinâmica do ND snooping é estabelecida ouvindo o pacote de solicitação de vizinho NS (solicitação de vizinho) no processo de detecção de DAD (detecção de endereço duplicado) de usuários, de modo a registrar o endereço IPv6 de origem, endereço MAC de origem, VLAN, ingresso porta e outras informações do pacote, de modo a evitar o subsequente ataque de pacotes ND de usuários falsificados e gateway.

Interface confiável/não confiável do ND Snooping

Interface de confiança do ND Snooping: Este tipo de interface é usado para conectar nós IPv6 confiáveis. Para os pacotes ND recebidos desse tipo de interface, o dispositivo encaminha normalmente.

Interface não confiável do ND Snooping: Este tipo de interface é usado para conectar nós IPv6 não confiáveis. Para pacotes RA e pacotes de redirecionamento recebidos desse tipo de interface, o dispositivo os considera como pacotes ilegais e os descarta diretamente. Para pacotes NA/NS/RS recebidos, se a VLAN onde esta interface ou interface está localizada habilitar a função de verificação de validade do pacote ND, o dispositivo usará a tabela de ligação dinâmica ND Snooping para realizar a verificação de correspondência da tabela de ligação para NA/NS/ pacotes RS. Quando o pacote não está de acordo com o relacionamento da tabela de vinculação, o pacote é considerado o pacote de usuário ilegal e descartado diretamente; para outros tipos de pacotes ND recebidos, o dispositivo encaminha normalmente.

Tabela de ligação ND Snooping

Depois que a função ND snooping é configurada, o dispositivo estabelece a tabela de vinculação dinâmica ND Snooping ouvindo o pacote NS usado pelo usuário para detecção de endereço repetido. As entradas incluem o endereço IPv6 de solicitação, endereço MAC de origem, VLAN, interface de entrada e outras informações no pacote DAD. A tabela de ligação dinâmica ND snooping pode ser usada para realizar a verificação de correspondência da tabela de ligação para pacotes NA/NS/RS recebidos de interfaces não confiáveis, de modo a filtrar pacotes NA/NS/RS ilegais.

Configuração da função ND Snooping

Tabela 6 -1 Lista de configuração da função ND Snooping

Tarefa de configuração
Ative a função ND Snooping Ative a função ND Snooping
Especifique a interface de confiança do ND Snooping Especifique a interface de confiança do ND Snooping
Configurar entrada de ligação estática do ND Snooping Configurar entrada de ligação estática do ND Snooping
Configurar a função de detecção da tabela de vinculação dinâmica do ND Snooping Configurar a função de detecção da tabela de vinculação dinâmica do ND Snooping
Ativar a função de log de detecção de ataque ND Snooping Ativar a função de log de detecção de ataque ND Snooping

Ativar função ND Snooping

Condição de configuração

Nenhum

Ativar função ND Snooping

Tabela 6 -2 Ativar a função ND Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar a função global ND Snooping nd snooping enable Obrigatório Por padrão, a função global ND Snooping está desabilitada.
Entre no modo de configuração L2 VLAN vlan vlan-id Obrigatório Depois de entrar no modo de configuração L2 VLAN, a configuração subsequente entra em vigor apenas na VLAN atual.
Habilite a função ND Snooping na VLAN nd snooping enable Obrigatório Por padrão, a função ND Snooping não está habilitada na VLAN.

Especificar a interface de confiança do ND Snooping

Condição de configuração

Nenhum

Especificar a interface de confiança do ND Snooping

Tabela 6 -3 Especificar a interface de confiança do ND Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar a função global ND Snooping nd snooping enable Obrigatório Por padrão, a função global ND Snooping está desabilitada.
Entre no modo de configuração da interface Ethernet L2 interface interface-name Obrigatório Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente entra em vigor apenas para a porta atual.
Especifique a interface de confiança do ND Snooping nd snooping trusted Obrigatório Por padrão, a interface é a interface não confiável.

Configurar entrada de ligação estática do ND Snooping

Condição de configuração

Nenhum

Configurar entrada de ligação estática do ND Snooping

Tabela 6 -4 Configurar entrada de ligação estática do ND Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar a função global ND Snooping nd snooping enable Obrigatório Por padrão, a função global ND Snooping está desabilitada.
Configurar entrada de ligação estática do ND Snooping nd snooping user-bind ipv6-address mac-address vlan vlan-id interface interface-name Opcional Por padrão, não configure a entrada de ligação estática do ND snooping. Quando a entrada de associação estática estiver configurada, primeiro corresponda à entrada de associação estática. Quando a entrada de ligação estática não estiver configurada, use diretamente a entrada de ligação dinâmica.

Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Condição de configuração

Nenhum

Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Tabela 6 -5 Configurar a função de detecção da tabela de ligação dinâmica ND Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar a função global ND Snooping nd snooping enable Obrigatório Por padrão, a função global ND Snooping está desabilitada.
Configurar a função de detecção da tabela de vinculação dinâmica do ND Snooping nd snooping detect retransmit retransmits-times interval time Obrigatório Por padrão, a função de detecção da tabela de ligação dinâmica do ND Snooping não está habilitada.

Ativar a função de registro de detecção de ataque ND Snooping

Condição de configuração

Nenhum

Ativar a função de registro de detecção de ataque ND Snooping

Tabela 6 -6 Ativar a função de registro de detecção de ataque ND Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar a função global ND Snooping nd snooping enable Obrigatório Por padrão, a função global ND Snooping está desabilitada.
Ative a função de registro de detecção de ataque do ND Snooping nd snooping attack-log enable Obrigatório Por padrão, a função de registro de detecção de ataque do ND Snooping está desabilitada.

Monitoramento e Manutenção de ND

Tabela 6 -7 Monitoramento e Manutenção de ND

Comando Descrição
clear nd fast-response statistics Limpe as estatísticas de resposta rápida do ND
clear nd snooping dynamic-user-bind Excluir entradas de vinculação dinâmica do ND snooping
clear nd snooping prefix Excluir entrada de prefixo de espionagem ND
clear nd snooping statistics Limpar informações estatísticas de espionagem ND
show nd fast-response statistics Exibir as estatísticas de resposta rápida do ND
show nd proxy address Exibe o endereço com ND como resposta do módulo externo
show nd snooping prefix Exibir a entrada do prefixo de espionagem ND
show nd snooping user-bind Exibir a entrada de ligação do ND snooping
show nd snooping statistics Exibir as informações de estatísticas de espionagem do ND

Exemplo de configuração típica do ND Snooping

Configurar a função básica do ND Snooping

Requisitos de rede

  • O dispositivo 1 está conectado ao dispositivo de gateway 2 por meio de gigabitothernet0/3.
  • O dispositivo 2 habilita o serviço RA (habilita a função de envio de pacotes RA).
  • O dispositivo 1 habilita a função de espionagem ND. Quando um invasor envia pacotes NS/NA/RS/RA ilegais na rede, o Device1 descarta esses pacotes ND inválidos para garantir a comunicação entre o usuário válido e o gateway.

Topologia de rede

Figura 6 - 1 Rede de configuração das funções básicas do ND Snooping

Etapas de configuração

  • Passo 1:Em Device1, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device1#configure terminal 
Device1(config)#vlan 2
Device1(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1-gigabitethernet0/3 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device1(config)#interface gigabitethernet 0/1-0/3
Device1(config-if-range)#switchport mode access   
Device1(config-if-range)#switchport access vlan 2
Device1(config-if-range)#exit
  • Passo 2:Na interface L3 gigabitethernet0/2/1 do dispositivo de gateway Device2, configure o endereço IPv6.
Device2(config)#interface gigabitethernet 0/2/1
Device2 (config-if-gigabitethernet0/2/1)#ipv6 address 10::1/64
Device2 (config-if-gigabitethernet0/2/1)#exit
  • Passo 3:No dispositivo de gateway Device2, habilite o serviço RA (habilite a função de envio de pacotes RA).
Device2(config)#interface gigabitethernet 0/2/1
Device2 (config-if-gigabitethernet0/2/1)#no ipv6 nd suppress-ra period
Device2 (config-if-gigabitethernet0/2/1)#no ipv6 nd suppress-ra response
Device2 (config-if-gigabitethernet0/2/1)#exit
  • Passo 4:Em Device1, configure a função ND Snooping.

#Ative globalmente a função ND Snooping.

Device1(config)#nd snooping enable

#VLAN2 habilita a função ND Snooping.

Device1(config)#vlan 2
Device1(config-vlan2)#nd snooping enable
Device1(config-vlan2)#exit

#Configure a porta gigabitethernet0/3 como interface de confiança.

Device1(config)#interface gigabitethernet 0/3
Device1(config-if-gigabitethernet0/3)#nd snooping trusted
Device1(config-if-gigabitethernet0/3)#exit
  • Passo 5:Confira o resultado.

#Veja que Device1 obtém as informações de prefixo enviadas pelo dispositivo de gateway Device2.

Device1#show nd snooping prefix 
      prefix                                  length     valid-time          preferred-time      
      -------------------------------------------------------------------------------------
      10::                                   64         2592000             604800              
                                    
      Total number: 1

#Após PC1 configurar o endereço IPv6 10::3 no intervalo de gerenciamento do prefixo 10::/64, visualize a entrada ND Snooping no dispositivo.

Device1#show nd snooping user-bind dynamic
ipv6-address       mac-address          vlan       interface              type        
10::3             0857.00da.4715         2          gi0/1                 dynamic     

No Device1, gere a entrada ND Snooping do IP, MAC, VLAN, acesse as informações da porta do PC1.

#Attacker simula o IP do PC1 para enviar pacotes NS, NA e RS ao gateway. O dispositivo recebe os pacotes NS, NA, RS do invasor, julga que é inconsistente com a entrada de espionagem de ND gravada, descarta-a e faz registros relevantes nas informações estatísticas de espionagem de ND.

Device1#show nd snooping statistics 
                                    
      Statistics for lpu 0 nd snooping:
                                    
      lladdrInvalid:              0
      dadPacketDeal:              0
      nsPacketPass:               0
                                          nsPacketDrop:               1
      naPacketPass:               0
                                          naPacketDrop:               1
                                          rsPacketDrop:               1
      rsPacketPass:               0
      raPacketPass:               0
      raPacketDrop:               0
      rdPacketDrop:               0
      rdPacketPass:               0
      sendDtPktFail:              0
      sendDtPktOk:                0

#Attacker simula o gateway para enviar o pacote RA para PC1. O dispositivo recebe o pacote RA do invasor, julga que o pacote RA é recebido do pacote não confiável, descarta-o e faz os registros relacionados nas informações estatísticas do ND Snooping.

Device1#show nd snooping statistics 
                                    
      Statistics for lpu 0 nd snooping:
                                    
      lladdrInvalid:              0
      dadPacketDeal:              0
      nsPacketPass:               0
      nsPacketDrop:               0
      naPacketPass:               0
      naPacketDrop:               0
      rsPacketDrop:               0
      rsPacketPass:               0
      raPacketPass:               0
                                          raPacketDrop:               1
      rdPacketDrop:               0
      rdPacketPass:               0
      sendDtPktFail:              0
      sendDtPktOk:                0

DHCP Snooping

Visão geral

Visão geral das funções básicas do DHCP Snooping

O DHCP Snooping é um recurso de segurança do DHCP (Dynamic Host Configuration Protocol) e tem as duas funções a seguir:

  1. Registre a relação correspondente do endereço MAC e endereço IP do cliente DHCP:

Considerando a segurança, o administrador da rede pode precisar registrar o endereço IP utilizado quando o usuário acessa a rede, confirmando a relação correspondente do endereço IP do host do usuário e o endereço IP obtido do servidor DHCP.

O DHCP Snooping escuta o pacote de solicitação DHCP e o pacote de resposta DHCP recebido pela porta confiável e registra o endereço MAC do cliente DHCP e o endereço IP obtido. O administrador pode visualizar as informações de endereço IP obtidas pelo cliente DHCP por meio da entrada vinculada registrada pelo DHCP Snooping.

  1. Certifique-se de que o cliente obtenha o endereço IP do servidor válido

Se houver um servidor DHCP não autorizado na rede, o cliente DHCP pode obter o endereço IP errado, resultando em anormalidade de comunicação ou riscos de segurança. Para garantir que o cliente DHCP possa obter o endereço IP do servidor DHCP válido, a função DHCP Snooping permite configurar a porta como porta confiável ou porta não confiável:

  • Porta de confiança é a porta conectada direta ou indiretamente ao servidor DHCP válido. A porta de confiança encaminha o pacote de resposta DHCP recebido normalmente, para garantir que o cliente DHCP possa obter o endereço IP correto.
  • Porta não confiável é a porta não conectada direta ou indiretamente ao servidor DHCP válido. Se a porta não confiável receber o pacote de resposta DHCP enviado pelo servidor DHCP, descarte-o para evitar que o cliente DHCP obtenha o endereço IP errado.

Breve introdução da opção de DHCP snooping 82

O DHCP Snooping suporta a adição, encaminhamento e gerenciamento para o Option82. Option82 é uma opção de pacote DHCP. A opção é utilizada para registrar as informações de localização do cliente DHCP e o administrador pode localizar o cliente DHCP de acordo com a opção, de modo a realizar algum controle de segurança. Por exemplo, controle o número de endereços IP que podem ser distribuídos para uma porta ou VLAN. O modo de processamento de Option82 varia com o tipo de pacote DHCP:

  1. Após o dispositivo receber o pacote de solicitação DHCP, processe o pacote de acordo com se o pacote contém a Option82, a política de processamento configurada pelo usuário e o formato de preenchimento e, em seguida, encaminhe o pacote processado para o servidor DHCP.

Figura 7 -1 Fluxo de processamento da Opção 82

  1. Quando o dispositivo receber o pacote de resposta do servidor DHCP e se o pacote contiver a Option82, exclua a Option82 e encaminhe para o cliente DHCP; se o pacote não contiver o Option82, encaminhe diretamente para o cliente DHCP.

Configuração da função de DHCP snooping

Tabela 7 -1 Lista de configuração da função DHCP Snooping

Tarefa de configuração
Configurar as funções básicas do DHCP Snooping Configurar a função DHCP Snooping
Configurar o status de confiança da porta
Configurar a função de limitação de taxa de DHCP snooping
Configurar a opção de DHCP snooping 82 Configure a política de processamento de Option82
Configurar o conteúdo do ID remoto
Configurar o conteúdo do Circuit ID
Configure o formato de preenchimento do Option82
Configure a política de processamento do pacote Option82
Configure o armazenamento das entradas vinculadas do DHCP Snooping Configure o armazenamento automático da entrada vinculada do DHCP Snooping
Configure o armazenamento manual da entrada vinculada do DHCP Snooping

Configurar funções básicas de DHCP snooping

As funções básicas do DHCP Snooping incluem habilitar a função DHCP Snooping, configurar o status de confiança da porta e limitar a taxa dos pacotes DHCP.

Condição de configuração

Nenhum

Configurar função de DHCP snooping

Após habilitar a função DHCP Snooping, monitore os pacotes DHCP recebidos por todas as portas do dispositivo:

  1. Para o pacote de solicitação recebido, gere a entrada vinculada correspondente de acordo com as informações no pacote
  2. Para o pacote de resposta recebido do pacote de confiança, atualize o status e o tempo de concessão da entrada vinculada
  3. Para o pacote de resposta recebido da porta não confiável, descarte-o diretamente

Tabela 7 -2 Configurar a função DHCP Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilite a função DHCP Snooping dhcp-snooping Obrigatório Por padrão, a função DHCP Snooping está desabilitada.

Configurar o status de confiança da porta

Para evitar que o cliente DHCP obtenha o endereço do servidor DHCP inválido, podemos configurar a porta conectada direta ou indiretamente ao servidor válido como a porta confiável.

Depois que a porta for configurada como a porta confiável, permita o encaminhamento normal do pacote de resposta DHCP. Caso contrário, descarte o pacote de resposta DHCP.

Tabela 7 -3 Configurar o status de confiança da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o status de confiança da porta dhcp-snooping trust Obrigatório Por padrão, todas as portas são portas não confiáveis.

A porta conectada ao servidor DHCP precisa ser configurada como a porta confiável. Caso contrário, o cliente DHCP não poderá obter o endereço. Depois que a porta for configurada como a porta confiável, não limite a taxa dos pacotes DHCP que passam pela porta. Depois de alterar o status da porta confiável para a porta não confiável, o limite superior da taxa de porta é o padrão 40.

Configurar limitação de taxa de DHCP snooping

A configuração da função de limitação de taxa DHCP Snooping pode limitar o número de pacotes DHCP processados a cada segundo, evitando que outros pacotes de protocolo não possam ser processados a tempo porque o sistema processa os pacotes DHCP por um longo tempo.

Quando o número de pacotes DHCP recebidos em um segundo excede a limitação de taxa, os pacotes DHCP subsequentes são descartados. Se os pacotes DHCP recebidos pela porta por 20 segundos sucessivos excederem a limitação de taxa, desative a porta para isolar a fonte de impacto do pacote.

Tabela 7 -4 Configurar a função de limitação de taxa de DHCP snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de limitação de taxa de DHCP snooping dhcp-snooping rate-limit limit-value Obrigatório Por padrão, o limite de taxa superior dos pacotes DHCP é 40pps.

Depois de configurar o limite de taxa dos pacotes DHCP no modo de configuração do grupo de agregação, o limite de taxa de pacote DHCP de cada porta membro do grupo de agregação é o valor. A função de limitação de taxa de pacote DHCP só tem efeito para a porta não confiável e não tem efeito para a porta confiável. Depois que a porta for desabilitada automaticamente, podemos configurar Error-Disable para habilitar a porta automaticamente. Por padrão, a função de desativação automática da porta está habilitada; se os pacotes DHCP recebidos pela porta por 20s sucessivos excederem a limitação de taxa, mas não puderem desabilitar a porta automaticamente, precisamos visualizar a configuração de Error-Disable. Para a função Error-Disable, consulte o capítulo Error-Disable do manual de configuração.

Configurar a opção de DHCP snooping 82

A função DHCP Snooping suporta Option82. Option82 pode conter no máximo 255 subopções. O dispositivo Maipu suporta duas subopções, ou seja, Circuit ID e Remote ID.

Condição de configuração

Antes de configurar DHCP Snooping Option82, primeiro complete a seguinte tarefa:

  • Habilite a função DHCP Snooping

Configurar a política de processamento de Option82

Depois que a porta é configurada com as informações de desabilitação, qualquer que seja o pacote de opções que a porta receba, ele será encaminhado como está.

Tabela 6 -5 Configurar a política de processamento de Option82

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilite a Option82 da função DHCP Snooping dhcp-snooping information enable Obrigatório Por padrão, a Option82 da função DHCP Snooping está desabilitada.
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a política de processamento de Option82 dhcp-snooping information disable Opcional Por padrão, a política de processamento para o pacote de solicitação DHCP com Option82 é substituir, ou seja, encaminhar após a substituição.

Configurar ID remoto

O conteúdo do Remote ID inclui conteúdo padrão e conteúdo não padrão. O formato de preenchimento do conteúdo padrão do Remote ID é o seguinte:

Figura 7 -2 O formato de preenchimento do conteúdo padrão do Remote ID

O conteúdo não padrão inclui cadeia de caracteres e nome de dispositivo personalizados e precisa ser configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento do conteúdo não padrão do Remote ID é o seguinte:

Figura 7 -3 O formato de preenchimento do conteúdo não padrão do Remote ID

Tabela 7 -5 Configurar o conteúdo do Remote ID

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o conteúdo do Remote ID dhcp-snooping information format remote-id { string | default | hostname } Obrigatório Por padrão, o conteúdo do Remote ID é o conteúdo padrão, ou seja, o endereço MAC da porta do dispositivo.

Configurar ID do Circuito

O conteúdo do Circuit ID inclui conteúdo padrão e conteúdo não padrão. O formato de preenchimento do conteúdo padrão do Circuit ID é o seguinte:

Figura 7 -4 O formato de preenchimento do conteúdo padrão do Circuit ID

O conteúdo não padrão precisa ser configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento do conteúdo não padrão do Circuit ID é o seguinte:

Figura 7 -5 O formato de preenchimento do conteúdo não padrão do Circuit ID

Tabela 7 -6 Configure o conteúdo do Circuit ID

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o conteúdo do Circuit ID dhcp-snooping information format circuit-id { string | default } Obrigatório Por padrão, o conteúdo do Circuit ID é o conteúdo padrão.

Configurar Formato de Preenchimento da Opção 82

O formato de preenchimento do Option82 inclui o formato padrão e o formato de configuração do usuário.

Quando o formato de preenchimento é o formato padrão, o conteúdo de Remote ID e Circuit ID são ambos o conteúdo padrão; somente após o formato de preenchimento ser configurado como o formato de configuração do usuário, o conteúdo não padrão de Remote ID e Circuit ID pode entrar em vigor.

Tabela 7 -7 Configure o formato de preenchimento da Opção 82

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o formato de preenchimento de Option82 dhcp-snooping information format { default | user-config } Obrigatório Por padrão, o formato de preenchimento é o formato padrão.

Configurar a Política de Processamento de Pacotes da Opção 82

Configure a política de processamento de pacotes de Option82. Podemos adotar diferentes políticas de encaminhamento para o pacote de solicitação DHCP contendo Option82.

Tabela 7 -8 Configurar a política de processamento de pacotes de Option82

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a política de processamento de pacotes de Option82 dhcp-snooping information policy { drop | keep | replace } Obrigatório Por padrão, a política de processamento é substituir.

Configurar o armazenamento de entradas vinculadas de espionagem de DHCP

A função DHCP Snooping suporta o armazenamento automático ou manual no caminho especificado das entradas vinculadas. Se o dispositivo reiniciar, as entradas vinculadas armazenadas podem ser restauradas, evitando afetar a comunicação porque as entradas vinculadas são perdidas.

O caminho especificado pode ser dispositivo FLASH, servidor FTP ou servidor TFTP.

Condição de configuração

Antes de configurar o caminho de armazenamento das entradas vinculadas como o servidor FTP/TFTP, primeiro conclua a seguinte tarefa:

  1. Servidor FTP/TFTP, ative a função do servidor FTP/TFTP normalmente
  2. O dispositivo pode executar ping no endereço IP do servidor FTP/TFTP.

Configurar o armazenamento automático de entradas vinculadas de DHCP snooping

As entradas vinculadas do DHCP Snooping podem ser configuradas como o modo de armazenamento automático, ou seja, o sistema armazena automaticamente as entradas vinculadas regularmente.

O sistema atualiza periodicamente as entradas vinculadas, detectando se as entradas vinculadas são atualizadas. Se sim, precisamos armazenar as entradas atualizadas no caminho especificado após a chegada do atraso de armazenamento. O atraso de armazenamento pode prevenir e controlar o armazenamento frequente do sistema porque as entradas são atualizadas continuamente.

Tabela 7 -9 Configurar o armazenamento automático de entradas vinculadas ao DHCP Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o armazenamento automático das entradas vinculadas do DHCP Snooping dhcp-snooping database savetype auto { flash file-name | ftp dest-ip-address ftp-username ftp-password file-name | tftp dest-ip-address file-name } Obrigatório Por padrão, o modo de armazenamento das entradas vinculadas é o modo automático, o caminho de armazenamento é flash e o nome do arquivo de armazenamento é dhcpsp_binding.db.
Configure o atraso de armazenamento das entradas vinculadas dhcp-snooping database savedelay seconds Opcional Por padrão, o atraso de armazenamento das entradas vinculadas é de 1800s.
Configure o intervalo de atualização das entradas vinculadas dhcp-snooping database savepool seconds Opcional Por padrão, o intervalo de atualização das entradas vinculadas é de 30 segundos.

Configurar o armazenamento manual de entradas vinculadas de DHCP snooping

As entradas vinculadas do DHCP Snooping podem ser configuradas como o modo de armazenamento manual, ou seja, execute o comando store para concluir o armazenamento das entradas vinculadas.

Tabela 7 -10 Configure o armazenamento manual das entradas vinculadas do DHCP Snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o armazenamento manual das entradas vinculadas do DHCP Snooping dhcp-snooping database savetype manual { flash file-name | ftp dest-ip-address ftp-username ftp-password file-name | tftp dest-ip-address file-name } Obrigatório Por padrão, o modo de armazenamento das entradas vinculadas é o modo automático, o caminho de armazenamento é flash e o nome do arquivo de armazenamento é dhcpsp_binding.db.
Configurar o arquivo vinculado ao armazenamento dhcp-snooping database save Obrigatório Armazene as entradas vinculadas ao caminho especificado. Por padrão, as entradas vinculadas não são armazenadas no caminho especificado.

Monitoramento e manutenção de DHCP snooping

Tabela 7 -11 Monitoramento e manutenção do DHCP Snooping

Comando Descrição
clear dhcp-snooping database { interface { interface-list | link-aggregation link-aggregation-id } | ip-address ip-address | mac-address mac-address | vlan vlan-id | all } Limpar as entradas vinculadas
clear dhcp-snooping packet statistics [ interface { interface-name | link-aggregation link-aggregation-id } ] Limpe as informações estatísticas dos pacotes DHCP enviados e recebidos
show dhcp-snooping [ interface { interface-name | link-aggregation link-aggregation-id } | save | detail ] Exibir as informações de configuração do DHCP Snooping
show dhcp-snooping database [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] [ interface { interface-name | link-aggregation link-aggregation-id } | ip-address ip-address | vlan vlan-id| mac-address mac-address [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] | detail ] Exibir as informações de entrada vinculada do DHCP Snooping
show dhcp-snooping packet statistics [ interface { interface-name | link-aggregation link-aggregation-id } ] Exibe as informações estatísticas dos pacotes DHCP enviados e recebidos

Exemplo de configuração típico de DHCP snooping

Configurar funções básicas de DHCP snooping

Requisitos de rede

  • DHCP Server1 é o servidor DHCP válido; DHCP Server2 é o servidor DHCP inválido.
  • Depois de configurar a função DHCP Snooping, o PC1 e o PC2 podem obter o endereço do DHCP Server1.

Topologia de rede

Figura 7 -6 Rede de configuração das funções básicas do DHCP Snooping

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta dez gigabitethernet 0/1-ten gigabitethernet 0/3 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access   
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure o pool de endereços do DHCP Server1 como 192.168.1.100-192.168.1.199 e o pool de endereços do DHCP Server2 como 192.168.2.100-192.168.2.199. (Omitido)
  • Passo 3:Configure a função DHCP Snooping no dispositivo.

#Ative a função DHCP Snooping.

Device(config)#dhcp-snooping

a porta dez gigabitethernet 0/2 como porta de confiança.

Device(config)#interface tengigabitethernet 0/2
Device(config-if-tengigabitethernet0/2)#dhcp-snooping trust
Device(config-if-tengigabitethernet0/2)#exit
  • Passo 4:Confira o resultado.

#Depois que o PC1 e o PC2 obtiverem o endereço com sucesso, visualize as entradas do DHCP Snooping no dispositivo.

Device#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:2
        database entries delete time :300
        ---------------------------------
        macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status     
        0013.0100.0002   192.168.1.101    1                2      te0/1               107990           active    
        ------
        0013.0100.0001   192.168.1.100    0                2      te0/1               107989           active    
        ------
Total valid DHCP Client binding table for this criterion: 2

PC1 e PC2 podem obter endereços do DHCP Server1.

DHCPv6 Snooping

Visão geral

Introdução às funções básicas de DHCPv6 snooping

A DHCPv6 snooping é um recurso de segurança do DHCPv6 (Dynamic Host Configuration Protocol for IPv6) e tem as duas funções a seguir:

  1. Registre a relação correspondente do endereço MAC e do endereço IPv6 do cliente DHCPv6:

Considerando a segurança, o administrador da rede pode precisar registrar o endereço IPv6 utilizado quando o usuário acessa a rede, confirmando a relação correspondente do endereço IPv6 do host do usuário e o endereço IPv6 obtido do servidor DHCPv6.

A DHCPv6 snooping escuta o pacote de solicitação DHCPv6 e o pacote de resposta DHCPv6 recebido pela porta confiável e registra o endereço MAC do cliente DHCPv6 e o endereço IPv6 obtido. O administrador pode visualizar as informações de endereço IPv6 obtidas pelo cliente DHCPv6 por meio da entrada vinculada registrada pela DHCPv6 snooping.

  1. Certifique-se de que o cliente obtenha o endereço IPv6 do servidor válido

Se houver um servidor DHCPv6 não autorizado na rede, o cliente DHCPv6 poderá obter o endereço IPv6 incorreto, resultando em anormalidade de comunicação ou riscos de segurança. Para garantir que o cliente DHCPv6 possa obter o endereço IPv6 do servidor DHCPv6 válido, a função de DHCPv6 snooping permite configurar a porta como porta confiável ou porta não confiável:

  • Porta de confiança é a porta conectada direta ou indiretamente ao servidor DHCPv6 válido. A porta de confiança encaminha o pacote de resposta DHCPv6 recebido normalmente, para garantir que o cliente DHCPv6 possa obter o endereço IP correto.
  • Porta não confiável é a porta não conectada direta ou indiretamente ao servidor DHCPv6 válido. Se a porta não confiável receber o pacote de resposta DHCPv6 enviado pelo servidor DHCPv6, descarte-o para evitar que o cliente DHCPv6 obtenha o endereço IPv6 errado.

Breve introdução da opção de DHCPv6 snooping 18/37

Para fazer com que o servidor DHCPv6 obtenha as informações de localização física do cliente DHCPv6, você pode adicionar Option18 e Option37 ao pacote de solicitação DHCPv6.

Quando o dispositivo detecta o pacote DHCPv6, ele pode adicionar algumas informações do dispositivo do usuário ao pacote de solicitação DHCPv6 pelo modo de opção DHCPv6. A opção 18 registra as informações de interface do cliente e é chamada de opção de ID de interface (ID de interface). A opção37 registra as informações do endereço MAC do cliente e é chamada de opção de ID remoto (ID remoto).

Quando o Option18/37 estiver habilitado e após o dispositivo receber o pacote de solicitação DHCPv6, forneça o seguinte processamento de acordo com a política de processamento e o modo de preenchimento do Option18/37 configurado pelo usuário.

Tabela 8 -1 A política de processamento do pacote de solicitação DHCPv6

Pacote de solicitação DHCPv6 Política de processamento Modo de enchimento Princípio de Processamento de Pacotes
Sem Opção 18/37 Adicionar
Adicionar
Formato de preenchimento padrão
Formato de preenchimento estendido
Preencha e encaminhe de acordo com o formato padrão
Preencha e encaminhe de acordo com o formato personalizado do usuário
Com Opção 18/37 Manter
Substituir
Não preencha
Formato de preenchimento padrão
Formato de preenchimento estendido
Encaminhar sem processar Opção 18/37
Substitua o conteúdo original da Option18/37 e encaminhe de acordo com o formato padrão
Substitua o conteúdo original da Option18/37 e encaminhe de acordo com o formato personalizado do usuário

Configuração da função de DHCPv6 snooping

Tabela 8 -2 Lista de configuração da função de espionagem DHCPv6

Tarefa de configuração
Configurar funções básicas de DHCPv6 snooping Ativar DHCPv6 snooping
Configurar o status de confiança da porta
Configure o número das entradas vinculadas à porta
Configurar a opção de DHCPv6 snooping 18/37 Configurar Opção 18
Configurar Opção 37
Configure a política de processamento do pacote Option18/37
Configure o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping Configure o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping
Configure o armazenamento das entradas vinculadas de DHCPv6 snooping Configure o armazenamento das entradas vinculadas de DHCPv6 snooping

Configurar funções básicas de DHCPv6 snooping

As funções básicas de DHCPv6 snooping incluem habilitar a função de DHCPv6 snooping, configurar o status de confiança da porta e configurar o número de entradas vinculadas de espionagem DHCPv6 da porta.

Condição de configuração

Nenhum

Ativar DHCPv6 snooping

Após habilitar a função de DHCPv6 snooping, monitore os pacotes DHCPv6 recebidos por todas as portas do dispositivo.

  • Para o pacote de solicitação DHCPv6 recebido, gere a entrada vinculada correspondente de acordo com as informações no pacote
  • Para o pacote de resposta recebido pela porta confiável, atualize o status e o tempo de concessão das entradas vinculadas correspondentes
  • Para o pacote de resposta recebido pela porta não confiável, descarte-o diretamente

Tabela 8 -3 Ativar DHCPv6 snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ative a função de DHCPv6 snooping ipv6 dhcp snooping enable Qualquer Por padrão, a função de DHCPv6 snooping está desabilitada.
Habilite a função de DHCPv6 snooping da VLAN especificada ipv6 dhcp snooping vlan vlanlist

Configurar o status de confiança da porta

Para evitar que o cliente DHCPv6 obtenha o endereço do servidor DHCPv6 inválido, você pode configurar a porta conectada direta ou indiretamente ao servidor válido como a porta confiável.

Depois que a porta for configurada como a porta confiável, permita que o pacote de resposta DHCPv6 seja encaminhado normalmente. Caso contrário, descarte o pacote de resposta DHCPv6.

Tabela 8 -4 Configurar o status de confiança da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o status de confiança da porta ipv6 dhcp snooping trust Obrigatório Por padrão, todas as portas são portas não confiáveis.

A porta conectada ao servidor DHCPv6 precisa ser configurada como a porta confiável. Caso contrário, o cliente DHCPv6 não poderá obter o endereço.

Configurar o número de entradas vinculadas de espionagem da porta DHCPv6

A configuração do número de entradas vinculadas de espionagem DHCPv6 pode limitar o número máximo de entradas dinâmicas que podem ser aprendidas pela porta, evitando ocupar muitos recursos do sistema.

Tabela 8 -5 Configure o número das entradas vinculadas de DHCPv6 snooping da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o número de entradas vinculadas de espionagem DHCPv6 ipv6 dhcp snooping max-learning-num number Obrigatório Por padrão, o número de entradas vinculadas que podem ser aprendidas pela porta é 1024.

Configurar a opção de DHCPv6 snooping 18/37

A função de DHCPv6 snooping suporta Option18 e Option37. Option18 e Option37 suportam o formato de preenchimento padrão e o formato de preenchimento estendido.

Condição de configuração

Antes de configurar o snooping DHCP Option18 e Option37, primeiro conclua a seguinte tarefa:

  • Ative a função de DHCPv6 snooping

Configurar Opção 18

O conteúdo do ID da interface inclui o formato de preenchimento padrão e o formato de preenchimento estendido. O formato de preenchimento de conteúdo padrão do ID da interface é o seguinte:

Figura 8 -1 O formato de preenchimento de conteúdo padrão da Interface ID

O formato de preenchimento estendido precisa que o formato de preenchimento seja configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento estendido do ID da interface é o seguinte:

Figura 8 -2 O formato de preenchimento estendido de Interface ID

Tabela 8 -6 Configurar Opção 18

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ativar a função Opção 18 ipv6 dhcp snooping option interface-id enable Obrigatório Por padrão, a Opção18 está desabilitada.
Configurar o conteúdo do ID da interface ipv6 dhcp snooping option format interface-id string Opcional Por padrão, o conteúdo do ID da interface em Option18 é o formato do ID da interface – duid.

Configurar Opção 37

O conteúdo do Remote ID inclui o formato de preenchimento padrão e o formato de preenchimento estendido. O formato de preenchimento de conteúdo padrão do Remote ID é o seguinte:

Figura 8 -3 O formato de preenchimento de conteúdo padrão do Remote ID

O formato de preenchimento estendido precisa que o formato de preenchimento seja configurado para ter efeito no formato de configuração do usuário. O formato de preenchimento estendido do Remote ID é o seguinte:

Figura 8 -4 O formato de preenchimento de conteúdo não padrão do Remote ID

Tabela 8 -7 Configurar Opção 37

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ativar a função Option37 ipv6 dhcp snooping option remote-id enable Obrigatório Por padrão, a função Option37 está desabilitada.
Configurar o conteúdo do Remote ID ipv6 dhcp snooping option format remote-id { string | hostname } Obrigatório Por padrão, o conteúdo do Remote ID em Option37 é o formato enterprise num - interface id –duid.

Configurar a política de processamento do pacote Option18/37

Após configurar a política de processamento do pacote Option18/37, você pode adotar diferentes políticas de processamento para o pacote de solicitação DHCPv6 com Option18/37.

Tabela 8 -8 Configurar a política de processamento do pacote Option18/37

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a política de processamento do pacote Option18/37 ipv6 dhcp snooping option policy replace Obrigatório Por padrão, não substitua o conteúdo Option18/37 no pacote de solicitação DHCPv6.

Configurar tempo de atraso de exclusão de entrada inválida de DHCPv6 snooping

Condição de configuração

Antes de configurar o tempo de atraso para excluir a entrada inválida de DHCPv6 snooping, primeiro conclua a seguinte tarefa:

  • Ative a função de DHCPv6 snooping

Configurar tempo de atraso de exclusão de entrada inválida de DHCPv6 snooping

Após excluir o relacionamento de ligação, a entrada vinculada é atualizada para inválida. A entrada inválida não é excluída imediatamente, mas é excluída após exceder o tempo de atraso. Durante o período, caso o cliente renove a concessão, a entrada vinculada pode ser ativada, mas não é necessário redefinir a entrada vinculada.

Tabela 8 -9 Configure o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping ipv6 dhcp snooping database timeout seconds Obrigatório Por padrão, o tempo de atraso de exclusão da entrada inválida de DHCPv6 snooping é de 300s.

Configurar o armazenamento de entradas vinculadas de espionagem DHCPv6

A função de DHCPv6 snooping suporta o armazenamento automático ou manual no dispositivo FLASH. Se o dispositivo reiniciar, as entradas vinculadas armazenadas podem ser restauradas, evitando afetar a comunicação porque as entradas vinculadas são perdidas.

Condição de configuração

Antes de configurar o armazenamento das entradas vinculadas de DHCPv6 snooping, primeiro conclua a seguinte tarefa:

  • Ative a função de DHCPv6 snooping

Configurar o armazenamento de entradas vinculadas de espionagem DHCPv6

O sistema atualiza periodicamente as entradas vinculadas de espionagem do DHCPv6, detectando se as entradas vinculadas são atualizadas. Se sim, precisamos armazenar as entradas atualizadas no caminho especificado após a chegada do atraso de armazenamento. Enquanto isso, você também pode armazenar as entradas vinculadas ao dispositivo FLASH imediatamente.

Tabela 8 -10 Configurar o armazenamento das entradas vinculadas de DHCPv6 snooping

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o intervalo de atualização das entradas vinculadas de DHCPv6 snooping ipv6 dhcp snooping database save pool seconds Opcional Por padrão, o intervalo de atualização das entradas vinculadas de DHCPv6 snooping é de 30 segundos.
Configure o atraso de armazenamento das entradas vinculadas de DHCPv6 snooping ipv6 dhcp snooping database save interval seconds Opcional Por padrão, o atraso de armazenamento das entradas vinculadas de DHCPv6 snooping é 1800s.
Configure o armazenamento das entradas vinculadas imediatamente ipv6 dhcp snooping database save now Opcional Por padrão, o atraso de armazenamento da entrada vinculada é de 1800s.
Configure o armazenamento das entradas vinculadas de DHCPv6 snooping para o arquivo especificado ipv6 dhcp snooping database save filename string Obrigatório Por padrão, o nome do arquivo de armazenamento é /flash/dhcpv6sp_binding.db.

Monitoramento e manutenção de DHCPv6 snooping

Tabela 8 -11 Monitoramento e manutenção de espionagem DHCPv6

Comando Descrição
clear ipv6 dhcp snooping database [ interface { interface-list } | ipv6-address ipv6-address | mac-address | vlan vlan-id ] Limpe a entrada de ligação do DHCPv6 Snooping
clear ipv6 dhcp snooping statistics [ interface { interface-name } ] Limpe as informações estatísticas dos pacotes DHCPv6 recebidos e enviados
show ipv6 dhcp snooping [ interface { interface-name } ] Exiba as informações de configuração do DHCPv6 Snooping na interface especificada
show ipv6 dhcp snooping database [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] [ interface { interface-name } | ipv6-address ipv6-address | mac-address mac-address | vlan vlan-id] [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] ] Exiba as informações de entrada vinculada do DHCPv6 Snooping
show ipv6 dhcp snooping statistics [ interface { interface-name } ] Exiba as informações estatísticas dos pacotes DHCPv6 recebidos e enviados

Exemplo de configuração típico de DHCPv6 snooping

Configurar funções básicas de DHCPv6 snooping

Requisitos de rede

  • DHCPv6 Server1 é o servidor DHCPv6 válido; DHCPv6 Server2 é o servidor DHCPv6 inválido.
  • Depois de configurar a função de DHCPv6 snooping, PC1 e PC2 podem obter o endereço do DHCPv6 Server1.

Topologia de rede

Figura 8 -5 Rede de configuração das funções básicas de DHCPv6 snooping

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

# Configura o tipo de link da porta tengigabitethernet0/1-tengigabitethernet0/3 como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access   
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure o pool de endereços do DHCPv6 Server1 como 1000::2/64 e o pool de endereços do DHCPv6 Server2 como 2000::2/64. (Omitido)
  • Passo 3:Configure a função de DHCPv6 snooping no dispositivo.

# Habilite a função de DHCPv6 snooping.

Device(config)#ipv6 dhcp snooping enable

# Configure a porta tengigabitethernet0/2 como porta confiável.

Device(config)#interface tengigabitethernet 0/2
Device(config-if-tengigabitethernet0/2)#ipv6 dhcp snooping trust
Device(config-if-tengigabitethernet0/2)#exit
  • Passo 4:Confira o resultado.

# Após PC1 e PC2 obterem o endereço com sucesso, visualize as entradas de DHCPv6 snooping no dispositivo.

Device#show ipv6 dhcp snooping database 
  Interface-Name       MAC-Address      VLAN-ID  ValidTime  AgedTime   IP-Address                                      
  te0/1               0001.0001.0008    2         120         0          1000::2                                       
  te0/1               0001.0001.0007    2         120         0          1000::3 

PC1 e PC2 podem obter endereços do DHCPv6 Server1.

Inspeção ARP Dinâmica

Visão geral

A inspeção ARP dinâmica é chamada de DAI para abreviar. Descubra e previna o ataque de falsificação ARP verificando a validade do pacote ARP, melhorando a segurança da rede. A função DAI é dividida em dois tipos:

  • Função Port DAI: Verifica a validade do pacote ARP recebido pela porta especificada, de forma a descobrir e prevenir o ataque de spoofing ARP;

A base para verificar a validade do pacote ARP é a entrada de ligação do IP Source Guard da porta. O princípio de verificação específico é o seguinte:

Se o endereço IP de envio, o endereço MAC de origem e o ID da VLAN no pacote ARP recebido corresponderem à entrada de ligação do IP Source Guard da porta, o pacote ARP será um pacote válido e será encaminhado. Caso contrário, o pacote ARP é um pacote inválido, descarte-o e registre as informações de log.

  • Função global DAI: Verifique a validade dos pacotes ARP recebidos por todas as portas, para evitar que usuários falsos enviem pacotes ARP forjados, resultando em entradas ARP incorretas.

A detecção de validade da mensagem ARP é baseada na entrada de ligação de proteção de origem IP global. O princípio de detecção específico é o seguinte:

Quando no pacote ARP recebido, o endereço IP do remetente é o mesmo que o endereço IP na entrada de ligação do protetor de origem IP global, mas o endereço MAC de origem é diferente, julgue o pacote ARP como um pacote forjado e descarte sem gravar as informações de log.

A função DAI da porta, global DAI também verifica a eficácia do pacote ARP. O princípio de verificação específico é o seguinte:

Quando o endereço MAC de origem no pacote ARP recebido for diferente do endereço MAC de envio, o pacote é um pacote ineficaz, descarte-o e não registre as informações de log.

  • Detecção de Ataque ARP de Interface: Não execute a detecção de validação para o pacote ARP recebido na interface especificada. Registre apenas as informações de log, que são usadas para detectar o ataque ARP.

Configuração da Função de Inspeção ARP Dinâmica

Tabela 9 -1 A lista de configuração da função de Inspeção ARP Dinâmica

Tarefa de configuração
Configurar a função de inspeção ARP dinâmica da porta Configurar a função de inspeção ARP dinâmica da porta
Configurar a função global Dynamic ARP Inspection Configurar a função global Dynamic ARP Inspection

Configurar a função de inspeção ARP dinâmica da porta

Condição de configuração

Antes de configurar a função de Inspeção ARP Dinâmica da porta, primeiro conclua a seguinte tarefa:

  • Configure a entrada de ligação do IP Source Guard da porta

Configurar Inspeção ARP Dinâmica de Porta

Após habilitar a função DAI da porta, o sistema verifica a validade do pacote ARP recebido pela porta de acordo com a entrada de ligação do IP Source Guard. O pacote inválido é descartado e registrado nos logs.

O conteúdo registrado nos logs inclui VLAN ID, porta de recebimento, endereço IP de envio, endereço IP de destino, endereço MAC de envio, endereço MAC de destino e o número dos mesmos pacotes ARP inválidos. O usuário pode analisar ainda mais de acordo com as informações de log gravadas, como localizar o host que inicia o pacote ARP.

Por padrão, as informações de log são emitidas periodicamente. Podemos controlar a gravação, saída e envelhecimento do pacote configurando o intervalo de saída do log. O intervalo de saída do log serve como base dos seguintes parâmetros de log:

  • Período de atualização do log: usado para avaliar se os logs precisam ser gerados e antigos. Se o intervalo de saída do log configurado for menor que 5s, o período de atualização do log será igual a 1s. Caso contrário, o período de atualização do log é igual a 1/5 do intervalo de saída do log.
  • Tempo de idade do log: Após o tempo limite de idade, os logs são excluídos. O tempo de idade do log é o intervalo de saída do log.
  • Token de log: no período de atualização de log, o número máximo de logs permitidos para gravação. O número de tokens de log é 15 múltiplos do período de atualização do log.

Após habilitar a função port DAI, podemos configurar também a função port ARP rate limit, ou seja, limitar o número de pacotes ARP que são processados a cada segundo, evitando que os demais pacotes do protocolo não possam ser processados a tempo porque o sistema processa muitos pacotes de pacotes ARP por um longo tempo.

A função de limitação de taxa de porta ARP é limitar o número de pacotes ARP que são processados a cada segundo, evitando que os outros pacotes de protocolo não possam ser processados a tempo porque o sistema processa muitos pacotes ARP por um longo tempo. Depois que o número de pacotes ARP recebidos em um segundo excede o limite de taxa, os pacotes ARP recebidos subsequentes são descartados. Se os pacotes ARP recebidos pela porta em 20 segundos sucessivos excederem a taxa, desabilite a porta para isolar a fonte de impacto do pacote.

Tabela 9 -2 Configurar a função de inspeção ARP dinâmica da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função DAI da porta ip arp inspection Obrigatório Por padrão, a função DAI da porta está desabilitada.
Configure o limite superior dos pacotes ARP processados pela porta ip arp inspection rate-limit limit-value Opcional Por padrão, o limite superior dos pacotes ARP processados pela porta é 15pps.
Retornar ao modo de configuração global exit -
Configure o número de logs em buffer ip arp inspection log-buffer buffer-size Opcional Por padrão, o sistema pode armazenar em buffer 32 logs. Se estiver configurado como 0, indica que os logs não estão em buffer, ou seja, após detectar o pacote ARP inválido, os logs são enviados diretamente para o terminal.
Configurar o intervalo de saída do log ip arp inspection log-interval seconds Opcional Por padrão, o intervalo de saída do log é 20s. Se estiver configurado como 0, indica que os logs não estão em buffer, ou seja, após detectar o pacote ARP inválido, os logs são enviados diretamente para o terminal.
Configurar o nível de saída do log ip arp inspection log-level log-level Opcional Por padrão, o nível de saída do log é 6.

Depois que a função DAI da porta é habilitada, todos os pacotes ARP recebidos pela porta (broadcast ARP e unicast ARP) são redirecionados para a CPU para detecção, encaminhamento de software, gravação de log e assim por diante. Quando o número de pacotes ARP é grande, eles consomem seriamente os recursos da CPU, portanto, quando o dispositivo se comunica normalmente, não é sugerido habilitar a função DAI da porta. Quando há dúvida de que há ataque de falsificação de ARP na rede, é necessário habilitar a função DAI da porta para detectar e localizar. Em uma porta, a função DAI da porta não pode ser usada com a função de Port Security ao mesmo tempo. Depois de configurar o limite de taxa da porta que processa os pacotes ARP no modo de configuração do grupo de agregação, o limite de taxa de pacote ARP de cada porta membro do grupo de agregação é o valor. Se os pacotes ARP recebidos pela porta em 20s sucessivos ultrapassarem o limite superior, mas a porta não for desabilitada automaticamente, é necessário consultar o capítulo Error-Disable do manual de configuração.

Configurar a função de inspeção ARP dinâmica global

Condição de configuração

Antes de configurar a função global Dynamic ARP Inspection, primeiro complete a seguinte tarefa:

  • Configurar a entrada vinculada do IP Source Guard global

Configurar a função de inspeção ARP dinâmica global

Após habilitar a função DAI global, o sistema realizará a verificação de validade do pacote ARP recebido de acordo com a entrada vinculada do IP Source Guard global. Se for o pacote inválido, descarte-o diretamente e não registre o log.

Tabela 9 -3 Configure a função global Dynamic ARP Inspection

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Ativar função DAI global arp-security Obrigatório Por padrão, a função DAI global está desabilitada.

Configurar inspeção dinâmica de ataque ARP

Condição de configuração

Nenhum

Configurar inspeção dinâmica de ataque ARP

Depois que a detecção dinâmica de ataque ARP for habilitada, o sistema não realizará a inspeção de validação para o pacote ARP recebido, mas apenas registrará o log.

Mesa 9 -4 Configurar a inspeção dinâmica de ataque ARP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Permita a detecção de ataque A RP na interface ip arp inspection attack Obrigatório Por padrão, a detecção de ataque ARP não está habilitada na interface.

Monitoramento e Manutenção da Inspeção ARP Dinâmica

Tabela 9 -5 Monitoramento e manutenção de inspeção ARP dinâmica

Comando Descrição
clear ip arp inspection { log-information | log-statistics | pkt-statistics [ interface { interface-name | link-aggregation link-aggregation-id } ] } Exclua as informações estatísticas registradas pela função DAI
show arp-security Exibir o status global da função DAI
show ip arp inspection [ interface { interface-name | link-aggregation link-aggregation-id } ] Exibe as informações de configuração da função DAI da porta
show ip arp inspection log-information Exibe as informações de log gravadas pela função DAI da porta
show ip arp inspection log-statistics Exibir as informações estatísticas dos logs
show ip arp inspection pkt-statistics [ interface { interface-name | link-aggregation link-aggregation-id } ] Exiba as informações estatísticas dos pacotes ARP

Exemplo de configuração típica de DAI

Configurar função básica DAI

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo.
  • Em Device, configure a função DAI da porta, evitando o ataque ARP e spoofing.

Topologia de rede

Figura 9 -1 Rede de configuração das funções básicas da DAI

Etapas de configuração

  • Passo 1:Em Dispositivo, configure a VLAN e o tipo de link de porta.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta tengigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#switchport mode access   
Device(config-if-tengigabitethernet0/1)#switchport access vlan 2
Device(config-if-tengigabitethernet0/1)#exit
  • Passo 2:Configure a função DAI da porta no dispositivo.

#Ative a função DAI da porta na porta tengigabitethernet0/1 e configure o limite superior da porta tengigabitethernet0/1 processando pacotes ARP como 30pps.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#ip arp inspection 
Device(config-if-tengigabitethernet0/1)#ip arp inspection rate-limit 30
Device(config-if-tengigabitethernet0/1)#exit
  • Passo 3:Em Dispositivo, configure a entrada de ligação.

#Na porta tengigabitethernet0/1, configure o endereço MAC como 0012.0100.0001, o endereço IP como 192.168.1.2 e a entrada de ligação do IP Source Guard da porta da VLAN2.

Device(config)#interface tengigabitethernet 0/1
Device(config-if-tengigabitethernet0/1)#ip source binding ip-address 192.168.1.2 mac-address 0012.0100.0001 vlan 2
Device(config-if-tengigabitethernet0/1)#exit
  • Passo 4:Confira o resultado.

#Consulte as informações de configuração relacionadas à DAI.

Device#show ip arp inspection 
        Dynamic ARP Inspection information:
        Dynamic ARP Inspection log buffer size: 30
        Dynamic ARP Inspection log Interval:    20
        Dynamic ARP Inspection log Level:       6
        Dynamic ARP Inspection interface information :
        ------------------------------------------- 
        interface            status     rate-limit(pps)  attack
        te0/1                enable     30               OFF
        te0/2                disable    15               OFF
                            ……

#Quando a taxa de recebimento de pacotes ARP pela porta tengigabitothernet0/1 exceder 30pps, o dispositivo descartará os pacotes que excederem a taxa e emitirá a seguinte mensagem de prompt.

Jan  1 02:21:06: The rate on interface tengigabitethernet0/1 too fast ,the arp packet drop!

#Quando a taxa de recebimento de pacotes ARP pela porta tengigabitothernet0/1 exceder 30pps e durar 20 segundos, o dispositivo fechará a porta tengigabitothernet0/1 e emitirá as seguintes informações de prompt.

Jan  1 02:21:26: %LINK-INTERFACE_DOWN-4: interface tengigabitethernet0/1, changed state to down
Jan  1 02:21:26: The rate of arp packet is too fast,dynamic arp inspection shut down the tengigabitethernet0/1 !

#Quando os pacotes ARP recebidos pela porta tengigabitothernet0/1 são inconsistentes com a entrada de ligação, o dispositivo registra as informações ilegais no seguinte formato no log DAI e as envia regularmente.

Jan  1 07:19:49:  SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: tengigabitethernet0/1 record packet :32 packet(s) 

#Visualize o registro DAI.

Device#show ip arp inspection log-information 
LogCountInBuffer:1
                                    
 SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: tengigabitethernet0/1 record packet :0 packet(s)

DAI Combinando com DHCP Snooping

Requisitos de rede

  • PC1 e PC2 estão conectados à rede IP via dispositivo; PC2 é o cliente DHCP; Device2 é o relé DHCP.
  • O Device1 configura a função DHCP Snooping e porta DAI, percebendo que o PC2 pode acessar a rede IP normalmente e o PC1 não pode acessar a rede IP.

Topologia de rede

Figura 9 – 1 Rede de combinação de DAI com DHCP Snooping

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no Device1.

#Criar VLAN3.

Device1#configure terminal 
Device1(config)#vlan 3
Device1(config-vlan3)#exit

#Configure o tipo de link de porta tengigabitethernet 0/1 e tengigabitethernet 0/2 como acesso, permitindo a passagem dos serviços da VLAN3.

Device1(config)#interface tengigabitethernet 0/1-0/2
Device1(config-if-range)#switchport access vlan 3
Device1(config-if-range)#exit
  • Passo 2:Configure o tipo de link de VLAN e porta no Device2.

#Cria VLAN2 e VLAN3.

Device2#configure terminal
Device2(config)#vlan 2-3

#Configure o tipo de link da porta tengigabitethernet 0/1 e tengigabitethernet 0/2 como acesso; a porta tengigabitethernet 0/1 permite a passagem dos serviços da VLAN2; a porta tengigabitethernet 0/2 permite a passagem dos serviços da VLAN3.

Device2(config)#interface tengigabitethernet 0/1
Device2(config-if-tengigabitethernet0/1)#switchport mode access
Device2(config-if-tengigabitethernet0/1)#switchport access vlan 2
Device2(config-if-tengigabitethernet0/1)#exit
Device2(config)#interface tengigabitethernet 0/2
Device2(config-if-tengigabitethernet0/2)#switchport mode access 
Device2(config-if-tengigabitethernet0/2)#switchport access vlan 3
Device2(config-if-tengigabitethernet0/2)#exit
  • Passo 3:Configure a interface VLAN e o endereço IP em Device1 e Device2. (Omitido)
  • Passo 4:Configure a função DHCP Snooping no Device1.

#Ative a função DHCP Snooping e configure a porta tengigabitethernet0/2 como porta confiável.

Device1(config)#dhcp-snooping 
Device1(config)#interface tengigabitethernet 0/2
Device1(config-if-tengigabitethernet0/2)#dhcp-snooping trust
Device1(config-if-tengigabitethernet0/2)#exit
  • Passo 5:Configure a função DAI da porta no Device1.

#Ative a função DAI da porta na porta tengigabitethernet0/1.

Device1(config)#interface tengigabitethernet 0/1
Device1(config-if-tengigabitethernet0/1)#ip arp inspection
Device1(config-if-tengigabitethernet0/1)#exit
  • Passo 6:Configure o endereço IP do servidor de retransmissão DHCP no Device2.

#Configure o endereço IP do servidor de retransmissão DHCP como 198.168.2.1.

Device2(config-if-vlan3)ip dhcp relay
Device2(config-if-vlan3)ip dhcp relay server-address 192.168.2.1
  • Passo 7:Confira o resultado.

#Depois que o PC2 obtiver o endereço com sucesso; veja as entradas dinâmicas do DHCP Snooping no Device1.

Device1#show dhcp-snooping database 
        dhcp-snooping database:
        database entries count:1
        database entries delete time :300
        ---------------------------------
                            macAddr          ipAddr     transtion-id     vlan   interface   leaseTime(s)     status
        0013.0100.0001   192.168.1.100    2                2      te0/1               107990           active    
                            ------

# O PC2 pode acessar a Rede IP normalmente e o PC1 não pode acessar a Rede IP.

Host Guard

Visão geral

A função Host Guard é usada principalmente para os dispositivos da camada de acesso, evitando que os pacotes ARP forjados pelo invasor danifiquem a tabela ARP no dispositivo terminal. O endereço IP do host protegido pelo Host Guard geralmente é aplicado aos endereços IP do dispositivo de gateway na rede e no servidor importante.

Na função Host Guard, existem dois conceitos:

  • Grupo de guarda de host: compreende uma série de regras de grupo de guarda de host, ou seja, o conjunto de endereços IP de host protegidos;
  • Regra do grupo Host Guard: um endereço IP de host protegido

O princípio de trabalho da função Host Guard é o seguinte:

Figura 10 – 1 O breve diagrama da função Host Guard

Conforme mostrado na figura acima, o Atacante pode utilizar o endereço IP 192.168.1.1 do Servidor para forjar o pacote ARP e encaminhar para o PC via Dispositivo, danificando a tabela ARP no PC. Como resultado, o PC não pode acessar o Servidor normalmente.

No Dispositivo, após aplicar o endereço IP do Servidor 192.168.1.1 como uma regra de grupo de guarda de host à porta te0/2, quando o endereço IP de envio no pacote ARP recebido pelo Dispositivo for o mesmo que o endereço IP do Servidor e se o a porta é te0/2, o pacote pode ser processado normalmente; se a porta de recebimento não for te0/2, o pacote será descartado. Ou seja, o pacote ARP enviado pelo Servidor só pode ser encaminhado pela porta te0/2. O pacote ARP forjado pelo atacante é descartado.

Configuração da Função do Host Guard

Tabela 10 -1 A lista de configuração da função Host Guard

Tarefa de configuração
Configurar a função Host Guard Configurar o grupo de proteção do host
Configurar o aplicativo do grupo de proteção do host

Configurar a função de proteção do host

Condição de configuração

Nenhum

Configurar grupo de guarda de host

O grupo de guarda de host compreende uma série de regras de grupo de guarda de host. Podemos configurar os endereços IP do gateway e servidor importante na rede conforme as regras no grupo de guarda de host.

Tabela 10 -2 Configurar o grupo de guarda do host

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Crie o grupo de guarda do host host-guard group group-name Obrigatório Por padrão, não crie nenhum grupo de guarda de host.
Configurar a regra do grupo de guarda do host permit host ip-address Obrigatório Por padrão, não configure a regra do grupo de guarda do host.

Cada grupo de guarda de host suporta no máximo 128 regras de grupo de guarda de host.

Configurar aplicativo do grupo de guarda de host

Aplique o grupo de guarda do host à porta. Podemos monitorar os pacotes ARP recebidos, realizando a proteção para a tabela ARP.

Tabela 10 -3 Configurar o aplicativo do host guard group

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o aplicativo do grupo de guarda do host host-guard binding group-name Obrigatório Por padrão, não há grupo de guarda de host aplicado na porta ou grupo de agregação.

Monitoramento e manutenção do Host Guard

Tabela 10 -4 Monitoramento e manutenção do Host Guard

Comando Descrição
show host-guard binding [ interface interface-id | link-aggregation link-aggregation-id ] Exibir as informações do aplicativo do grupo de guarda do host
show host-guard group [ group-name ] Exiba as informações de configuração do grupo de guarda do host e das regras

AAA

Visão geral

AAA refere-se a Autenticação, Autorização e Contabilidade. Desde que a rede apareceu, o mecanismo de autenticação, autorização e contabilidade tornou-se a base da operação da rede. O uso dos recursos na rede precisa ser gerenciado por Autenticação, Autorização e Contabilidade. AAA adota a arquitetura cliente/servidor. O cliente roda em NAS (Network Access Server) e o servidor gerencia as informações do usuário de forma centralizada. Para o usuário, NAS é o servidor; para o servidor, NAS é o cliente.

Autenticação significa autenticar o usuário ao utilizar os recursos do sistema de rede. Durante o processo, obtenha as informações de ID interagindo com o usuário e, em seguida, envie para o servidor de autenticação; o último verifica e processa as informações do ID com as informações do usuário salvas no banco de dados e, em seguida, confirma se o ID do usuário está correto de acordo com o resultado do processamento. Autorização significa que o usuário autorizado do sistema de rede usa seus recursos pelo modo especificado. O processo especifica os serviços e autoridades que o usuário autenticado pode usar e possuir após estar conectado à rede, como o endereço IP autorizado. Contabilidade significa que o sistema de rede coleta e registra o uso do usuário para os recursos da rede, de modo a cobrar do usuário pela rede usando taxas ou usado para auditoria.

RADIUS é um protocolo da arquitetura C/S. Seu cliente é o servidor NAS em primeiro lugar. O mecanismo de autenticação do protocolo RADIUS é flexível e pode adotar o modo de autenticação de login PAP, CHAP ou Unix. RADIUS é um protocolo expansível e todo o seu trabalho é baseado no vetor de Attribute-Length-Value. O princípio básico de trabalho do RADIUS é: O usuário está conectado ao NAS; O NAS usa o pacote Access-Require para enviar as informações do usuário ao servidor RADIUS, incluindo nome de usuário, senha e assim por diante. A senha do usuário é criptografada via MD5. As duas partes usam a chave de compartilhamento, que não é distribuída pela rede. O servidor RADIUS verifica a validade do nome de usuário e senha e fornece um desafio, se necessário, exigindo a autenticação adicional do usuário. Também podemos realizar a autenticação semelhante para NAS. Se válido, devolva o pacote Access-Accept ao NAS, permitindo que o usuário execute o próximo trabalho. Caso contrário, devolva o pacote Access-Reject, recusando o acesso do usuário. Se permitir o acesso, o NAS inicia a solicitação de estatísticas Account-Require ao servidor RADIUS. O servidor RADIUS responde Account-Accept, iniciando as estatísticas para o usuário. Enquanto isso, o usuário pode realizar suas próprias operações.

TACACS é um protocolo de autenticação antigo para a rede Unix. Ele permite que o servidor de acesso remoto transite a senha de login do usuário para o servidor de autenticação. O servidor de autenticação decide se o usuário pode efetuar login no sistema. O TACACS é um protocolo de criptografia, mas sua segurança é inferior ao TACACS+ e RADIUS. Na verdade, o TACACS+ é um novo protocolo. TACACS+ e RADIUS substituem o protocolo anterior na rede atual. TACACS+ usa TCP, enquanto RADIUS usa UDP. O RADIUS combina a autenticação e autorização do aspecto do usuário, enquanto o TACACS+ separa as duas operações.

Configuração de função AAA

Tabela 11 -1 A lista de configuração da função AAA

Tarefa de configuração
Configurar o domínio AAA Configurar domínio ISP
Configure a função de autenticação no domínio AAA Configure os métodos de autenticação padrão, login, dot1x e portal no domínio ISP
Configure a função de autorização no domínio AAA Configure os métodos de autorização padrão, login e comandos no domínio ISP
Configure a função de contabilidade no domínio AAA Configure os métodos de contabilidade padrão, login, dot1x, portal e comandos no domínio ISP
Digite o método de autenticação do modo privilegiado Digite o método de autenticação do modo privilegiado
Configure a habilitação da autorização CLI Configure a habilitação da autorização CLI
Configurar habilitar a autorização do console
Configurar a função de estatísticas do sistema Configure o método de estatísticas do evento do sistema
Configurar os atributos de estatísticas Configure a desativação das estatísticas de nome de usuário vazias
Configurar o envio do pacote de atualização de estatísticas
Configurar o envio do modo de processamento de falha de estatísticas
Configurar o esquema RADIUS Configurar o servidor RADIUS
Configurar os atributos RADIUS
Configure o endereço de origem do envio do pacote RADIUS
Configurar o esquema TACACS Configurar o servidor TACACS
Configure o endereço de origem do envio do pacote TACAS

Configurar o domínio AAA

Domínio : o gerenciamento de usuários NAS é baseado no domínio ISP (Internet Service Provider), e cada usuário pertence a um domínio ISP. Em geral, o domínio ISP ao qual o usuário pertence é determinado pelo nome de usuário fornecido quando o usuário efetua login. Há um domínio do sistema por padrão. No domínio, você pode configurar o método de autenticação, autorização e contabilidade de cada usuário de acesso.

A solução do usuário baseado em domínio e gerenciamento de AAA é descrita da seguinte forma:

O gerenciamento de dispositivos NAS para usuários é baseado no domínio ISP. Geralmente, o domínio ISP ao qual o usuário pertence é determinado pelo nome de usuário fornecido quando o usuário efetua login.

"Inserir nome de usuário "= "Nome de usuário entendido pelo dispositivo"+ "Nome de domínio"

Ao autenticar usuários, os dispositivos determinam seus domínios na seguinte ordem e, em seguida, executam políticas AAA nos domínios:

  1. (Opcional) Faça login/acesse o módulo para configurar o domínio de autenticação designado;
  2. Domínio ISP especificado no nome de usuário;
  3. O domínio ISP padrão do sistema

Condição de configuração

Nenhum

Configurar o domínio ISP

Tabela 11 -2 Configurar o domínio AAA

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre na visualização de domínio do ISP domain isp-name Opcional Por padrão, o sistema possui um domínio ISP denominado system.
Retornar ao modo de configuração global exit -
Configurar o domínio ISP padrão domain default enable isp-name Opcional Por padrão, o domínio ISP padrão do sistema é o domínio do sistema.

Configure a função de autenticação no domínio AAA

AAA fornece uma série de métodos de autenticação para garantir a segurança de dispositivos e serviços de rede. Por exemplo, autenticar o login do usuário para evitar que usuários ilegais operem dispositivos; autenticar usuários no modo privilegiado para restringir as autoridades de uso dos usuários para o dispositivo; autenticar conexões de sessão PPP para restringir a configuração das conexões ilegais.

Condição de configuração

Nenhum

Configurar o método de autenticação no domínio ISP

O AAA pode autenticar um usuário quando ele tenta fazer login em um domínio ISP específico. Os usuários que falham na autenticação não podem fazer login no domínio ISP especificado.

Tabela 11 -3 Configurar a lista de métodos de autenticação no domínio ISP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre na visualização de domínio do ISP domain isp-name Obrigatório Por padrão, o sistema possui um domínio ISP denominado system.
Configure o método de autenticação padrão no domínio ISP aaa authentication default { none / local / radius-group group-name / tacacs-group group-name } Opcional Por padrão, o método de autenticação padrão no domínio ISP é local.
Configure o método de autenticação de login do usuário no domínio ISP aaa authentication login { none / enable / local / radius-group group-name / tacacs-group group-name } Opcional Por padrão, não configure o método de autenticação de login, mas adote o método de autenticação padrão no domínio.
Configure o método de autenticação portal|dot1x no domínio ISP aaa authentication {portal | dot1x}{ none / local /radius-group group-name / tacacs -group group-name } Opcional Por padrão, não configure o Portal, método de autenticação dot1x, mas adote o método de autenticação padrão no domínio.

Configure a função de autorização no domínio AAA

Após a autenticação bem-sucedida, a função de autorização do AAA pode controlar os direitos dos usuários administradores para recursos do dispositivo e acesso para recursos de rede, restringir administradores a executar comandos não autorizados e restringir o acesso de usuários a recursos de rede não autorizados.

Condição de configuração

Ao configurar a autorização de linha de comando no domínio, primeiro configure a autorização de habilitação da linha de comando para que a autorização de linha de comando configurada no domínio possa ter efeito.

Configurar o método de autorização no domínio ISP

Quando um usuário executa um item de autorização em um domínio ISP específico, o AAA pode autorizar o usuário, conceder ao usuário certas autoridades e proibir o usuário não autorizado de executar o item de autorização no domínio.

Tabela 11 -4 Configurar a lista de métodos de autorização no domínio ISP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre na visualização de domínio do ISP domain isp-name Obrigatório Por padrão, o sistema possui um domínio ISP denominado system.
Configure o método de autorização padrão no domínio ISP aaa authorization default { if-authenticated / local / none / radius-group group-name / tacacs-group group-name } Opcional Por padrão, o método de autorização no domínio ISP é nenhum.
Configure o método de autorização de comandos no domínio ISP aaa authorization commands cmd-lvl { if-authenticated / none / radius-group group-name / tacacs-group group-name } Opcional Por padrão, não configure o método de autorização de comandos no domínio ISP e o método de autorização no domínio é nenhum. A função de autorização de comando deve estar habilitada para que a configuração tenha efeito.
Configure o método de autorização do usuário que faz login no dispositivo no domínio ISP aaa authorization login { if-authenticated / local / none / radius-group group-name / tacacs-group group-name } Opcional Por padrão, não configure o método de autorização de login no domínio ISP, mas adote o método de autorização padrão no domínio.

Os comandos de autorização AAA e os comandos config-commands de autorização aaa são configurados em nenhuma sequência.

Configure a função de contabilidade no domínio AAA

Os métodos personalizados podem ser usados para medir o comando, a sessão de login, o serviço de rede e os eventos do sistema no dispositivo. Os resultados estatísticos podem ser usados como base para cobrança dos usuários.

Condição de configuração

Nenhum

Configurar o método de contabilidade no domínio ISP

Quando um usuário efetua login com sucesso em um domínio ISP, o AAA pode contar o usuário, incluindo a hora de início do login, a hora de término do login, os comandos inseridos e assim por diante.

Tabela 11 -5 Configurar o método de contabilidade no domínio ISP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre na visualização de domínio do ISP domain isp-name Obrigatório Por padrão, o sistema possui um domínio ISP denominado system.
Configure o método de estatísticas de comando no domínio ISP aaa accounting commands cmd-lvl { [ broadcast ] tacacs-group group-name } Opcional Por padrão, não configure o método de estatísticas de comando e não execute as estatísticas de comando.
Configure o método de estatísticas padrão no domínio ISP aaa accounting default { none | { start-stop | stop-only | wait-start [ broadcast ] { radius-group group-name / tacacs-group group-name }}} Opcional Por padrão, o método de estatísticas no domínio ISP é nenhum.
Configure o método de contabilidade do usuário que faz login no dispositivo no domínio ISP aaa accounting login{ none | { start-stop | stop-only | wait-start [ broadcast ] { radius-group group-name / tacacs-group group-name } } } Opcional Por padrão, não configure o método de contabilidade do usuário que faz login no dispositivo no domínio ISP, mas use o método de contabilidade padrão no domínio ISP.
Configure o método de contabilidade portal|dot1x no domínio ISP aaa accounting { portal | dot1x } { none | { start-stop | stop-only | wait-start [ broadcast ] { radius-group group-name / tacacs-group group-name } } } Opcional Por padrão, não configure o portal, método de contabilidade dot1x no domínio ISP, mas use o método de contabilidade padrão no domínio ISP.

Digite o Método de Autenticação do Modo Privilegiado

Depois que o usuário fizer login com sucesso no dispositivo, o AAA poderá autenticar o usuário que está entrando no modo privilegiado digitando o comando enable e proibir o usuário de entrar no modo privilegiado se a autenticação falhar.

Condição de configuração

Nenhum

Configurar o método de autenticação do modo privilegiado

Tabela 11 -6 Configure o método de autenticação do modo privilegiado

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o método de autenticação do modo privilegiado aaa authentication enable-method { none / enable / radius-group group-name / tacacs-group group-name } Opcional Por padrão, o método de autenticação do modo privilegiado é habilitado.

Ao usar o método de autenticação RADIUS, a senha do nome de usuário no formato $enabLEVEL$ é usada como senha de autenticação, onde LEVEL representa o nível de usuário inserido pelo usuário atual e o intervalo de valores é 0-15, e o o nível mais alto é 15.

Ativar autorização de comando

Condição de configuração

Nenhum

Ativar autorização de comando

O dispositivo possui comandos de 0 a 15 níveis. A autorização de comando é determinar o nível de comandos usados pelos usuários pelo método de autorização e restringir os usuários a usar os comandos acima do nível atual.

Tabela 11 -7 Habilitar a autorização do comando no modo global

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilite a autorização de comando aaa authorization config-commands Obrigatório Por padrão, desative a função de autorização de comando.

Ativar autorização do console

Para executar a restrição de acesso para a porta do console, você pode habilitar a autorização da porta do console e precisa habilitar a função de autorização do comando. E então, o dispositivo autorizará os comandos executados pela porta do console.

Tabela 11 -8 Habilitar a autorização do console

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilite a autorização do console aaa authorization console Obrigatório Por padrão, não ative a autorização do console.

Configurar a função de estatísticas de eventos do sistema

Os usuários podem enviar eventos, como inicialização e reinicialização do sistema, ao servidor para obter estatísticas, configurando o método de estatísticas de eventos do sistema.

Condição de configuração

Nenhum

Configurar o método de estatísticas de eventos do sistema

Tabela 11 -9 Configurar a lista de métodos de estatísticas de eventos do sistema

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o método de estatísticas de eventos do sistema aaa accounting system { none / { start-stop [broadcast ] { tacacs-group group-name } } } Obrigatório Por padrão, não conta os eventos do sistema.

As estatísticas de eventos do sistema suportam apenas o protocolo TACACS, mas não suportam o protocolo RADIUS.

Configurar os atributos de contabilidade

Condição de configuração

Nenhum

Desativar contabilidade de nome de usuário nulo

O usuário pode desabilitar a contabilidade de nome de usuário nulo AAA configurando o comando aaa contabilidade suprimir nome de usuário nulo . Por padrão, habilite a contabilidade de nome de usuário nulo AAA.

Tabela 11 -10 Desabilitar a contabilidade de nome de usuário nulo

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Desabilite a contabilidade de nome de usuário nulo aaa accounting suppress null-username Obrigatório Por padrão, habilite a contabilidade de nome de usuário nulo.

Enviar pacote de atualização de contabilidade

O usuário pode configurar o modo de envio do pacote de atualização contábil, incluindo principalmente envio em tempo real e envio periódico.

Tabela 11 -11 Envie o pacote de atualização de contabilidade

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Envie o pacote de atualização de contabilidade aaa accounting update periodic interval Obrigatório Por padrão, não envie o pacote de atualização de contabilidade.

Configurar o modo de processamento de envio de falha de contabilidade

Tabela 11 -12 Enviar o modo de processamento de envio de falha de contabilidade

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o modo de processamento de envio de falha de contabilidade aaa accounting start-fail {online | offline} Opcional Por padrão, se a inicialização da contabilidade falhar, o usuário não poderá ficar online.

Configurar o esquema RADIUS

Para configurar o esquema RADIUS, você precisa configurar os principais parâmetros do servidor.

Condição de configuração

Nenhum

Configurar o servidor RADIUS

Quando o AAA precisa usar o método RADIUS para autenticação, autorização e contabilidade, é necessário configurar os parâmetros do servidor RADIUS, incluindo endereço IP do servidor, porta de autenticação/autorização, porta de contabilidade e informações de chave compartilhada.

Antes de entrar no servidor RADIUS, precisamos configurar o grupo de servidores RADIUS. Referencie o nome do grupo de servidores ao configurar a lista de métodos, e podemos usar o grupo de servidores RADIUS para autenticar, autorizar e contar os usuários.

Tabela 11 -13 Configurar o servidor RADIUS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o nome do grupo de servidores RADIUS (o comando também pode entrar no modo de configuração do grupo de servidores RADIUS) aaa server group radius group-name Obrigatório Por padrão, não configure o nome do grupo de servidores RADIUS.
Configurar o servidor RADIUS server {ip-address|ipv6 ip-address} [ acc-port acc-port-num ] [ auth-port auth-port-num ] [ priority priority ] { key [ 0 | 7 ] key } Obrigatório Por padrão, não configure o servidor RADIUS.
Configurar o tempo morto do RADIUS dead-time dead-time Opcional Por padrão, o tempo morto do servidor RADIUS é 0, indicando que não está morto.
Configure os tempos máximos de retransmissão de RADIUS retransmit retries Opcional Por padrão, os tempos máximos de retransmissão do servidor RADIUS são três vezes.
Configure o tempo limite de resposta do servidor RADIUS timeout timeout Opcional Por padrão, o tempo limite de espera pela resposta do servidor RADIUS é de 5s.
Configure não verificar TAG ao resolver o atributo de túnel entregue pelo servidor RADIUS tunnel without-tag Opcional Por padrão, precisa do TAG ao resolver o atributo de túnel entregue pelo servidor RADIUS.
Configure o VRF do grupo de servidores RADIUS ip vrf forwarding vrf-name Opcional Por padrão, o grupo de servidores RADIUS pertence ao VRF global.

Os dispositivos selecionam a ordem em que os servidores RADIUS são usados de acordo com o valor de prioridade configurado. O tempo morto significa que o dispositivo marca os servidores RADIUS que não respondem às solicitações de autenticação como indisponíveis e nenhuma solicitação é enviada a esses servidores durante o tempo morto. As chaves de compartilhamento configuradas no dispositivo e no servidor RADIUS devem ser consistentes.

Configurar os atributos RADIUS

Tabela 11 -14 Configurar os atributos RADIUS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o valor do tipo de serviço do atributo no pacote RADIUS da autenticação de login radius login service-type attr-value Opcional Por padrão, o valor do tipo de serviço no pacote RADIUS é 7.
Configure o máximo de pacotes simultâneos do dispositivo NAS e do servidor RADIUS radius control-speed pck-num Opcional Por padrão, o máximo de pacotes simultâneos do dispositivo NAS e do servidor RADIUS é 100.

Configure o endereço de origem do envio do pacote RADIUS

Tabela 11 -15 Configure o endereço de origem de envio do pacote RADIUS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interface selecionada pelo endereço de origem RADIUS ip radius source-interface interface-name [ vrf vrf-name ] Opcional Por padrão, o dispositivo seleciona automaticamente a interface de origem.

Configurar a função de contabilidade do RADIUS

A função account-on é usada principalmente para designar todos os usuários online no servidor RADIUS quando o processo AAA é ativado pela primeira vez. Por padrão, a função de contabilização está desabilitada; quando a função account-on está habilitada, o intervalo de retransmissão padrão é de 6 segundos e o tempo máximo de retransmissão é de 50 vezes; devido ao tempo de inicialização lento do cartão de serviço do dispositivo de última geração, é recomendável que os usuários definam os tempos de retransmissão e o tempo de intervalo não inferiores aos valores padrão, tanto quanto possível.

Tabela 11 -16 Configurar a função de contabilização do RADIUS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de grupo de servidores RADIUS aaa server group radius group-name -
Configure a conta na função de RADIUS accounting-on enable [interval seconds | send send-times] Opcional Por padrão, a função de contabilização está desabilitada.

Configurar o esquema TACACS

Para configurar o esquema TACACS, é necessário configurar os parâmetros chave do servidor.

Condição de configuração

Nenhum

Configurar o servidor TACACS

Se o AAA precisar usar o método TACACS para autenticação, autorização e contabilidade após configurar o servidor TACACS, ele precisará configurar os parâmetros do servidor TACACS, incluindo endereço IP do servidor, chave compartilhada, número da porta do servidor e outras informações de configuração.

O grupo de servidores TACACS pode ser usado para autenticar, autorizar e contabilizar usuários consultando o nome do grupo de servidores ao configurar o método.

Tabela 11 -17 Configurar o servidor TACACS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o nome do grupo de servidores TACACS (o comando também pode entrar no modo de configuração do grupo de servidores TACAS) aaa server group tacacs group-name Obrigatório Por padrão, não configure o nome do grupo de servidores TACAS.
Configurar o servidor TACACS server {ip-address|ipv6 ip-address} [ port port-num ] [ priority priority ] { key [ 0 | 7 ] key} Obrigatório Por padrão, não configure o servidor membro do grupo de servidores TACAS.
Configure o tempo limite de resposta do servidor TACAS timeout timeout Opcional Por padrão, o tempo limite de espera pela resposta do servidor TACAS é de 5s.
Configure o atributo VRF do grupo de servidores TACAS ip vrf forwarding vrf-name Opcional Por padrão, o grupo de servidores TACAS pertence ao VRF global.

servidor de comando { endereço IP | endereço IP ipv6 } [ porta port-num ] [ prioridade prioridade ] { chave [ 0 | 7 ] tecla } várias vezes para configurar vários servidores TACAS no grupo de servidores Tacas. O dispositivo seleciona o servidor para autenticação de acordo com a ordem de configuração. Quando um servidor falha, o dispositivo seleciona automaticamente o próximo servidor. As chaves de compartilhamento configuradas no dispositivo e no servidor TACAS devem ser consistentes.

Configurar o endereço de origem do envio do pacote TACAS

Tabela 11 -18 Configure o endereço de origem do envio do pacote TACAS

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interface selecionada pelo endereço de origem TACAS ip tacacs source-interface interface-name [ vrf vrf-name ] Opcional Por padrão, o dispositivo seleciona automaticamente a interface de origem.

Monitoramento e Manutenção AAA

Tabela 11 -19 Monitoramento e manutenção de AAA

Comando Descrição
debug aaa { authentication | authorization | accounting | event | error | all } Habilite as informações de depuração AAA
debug radius [details] Habilite as informações de depuração RADIUS
debug tacacs Habilite as informações de depuração do TACAS
show aaa configuration Exiba as informações de configuração AAA
show aaa module [dot1x | shell | shell-cmd | shell-web ] Exiba os módulos de função AAA e o resultado sobre o módulo operando AAA pela última vez
show aaa server [ radius | tacacs ] Indique a configuração do servidor RADIUS/TACACS e o status de AAA
show aaa session [dot1x | portal | shell | shell-web ] Exibir a sessão de estatísticas AAA
show aaa source-address Exibe o endereço de origem usado por AAA

Exemplo de configuração típica AAA

Configurar o login do usuário Telnet para usar a autenticação local

Requisito de rede

Configure o dispositivo para usar a autenticação local para login de usuário Telnet

Topologia de rede

Figura 11 - 1 Rede de configuração de login de usuário Telnet para usar autenticação local

Etapas de configuração

  • Passo 1: Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
  • Passo 2: Configure o endereço IP da interface. (Omitido)
  • Passo 3: Configurar dispositivo.

# Configure o nome de usuário como admin1 e a senha como admin1.

Device#configure terminal 
Device(config)#local-user admin1 class manager 
Device(config-user-manager-admin1)#service-type telnet
Device(config-user-manager-admin1)#password 0 admin1
Device(config-user-manager-admin1)#exit

#Configure o modo de autenticação AAA como a autenticação local.

Device(config)#domain system
Device(config-isp-system)#aaa authentication login local
Device(config-isp-system)#exit

#Configure a sessão Telnet e habilite a autenticação local AAA.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit
  • Passo 4:Confira o resultado.

Quando o cliente efetuar login no dispositivo via Telnet, insira o nome de usuário admin1 e a senha admin1 de acordo com o prompt e, em seguida, efetue login na interface de usuário do Shell do dispositivo com êxito.

Configure o login do usuário Telnet para usar autenticação, autorização e estatísticas RADIUS

Requisitos de rede

  1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
  2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de autenticação/autorização é 1812, a porta de estatísticas é 1813 e a chave de compartilhamento é admin.
  3. Quando o usuário Telnet faz login no dispositivo, é necessário autenticar/autorizar e medir através do servidor RADIUS.
  4. Quando o servidor RADIUS falhar, use a autenticação e autorização locais.

Topologia de rede

Figura 11 - 2 Rede de configuração de login de usuário Telnet para usar autenticação/autorização RADIUS e contabilidade

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configurar dispositivo.

# Configure o AAA e use a autenticação/autorização RADIUS e a contabilidade.

A autenticação e a autorização primeiro usam o primeiro método na lista de métodos. Use o segundo método para autenticar e autorizar quando o servidor falhar.

Device#configure terminal
Device(config)#domain system
Device(config-isp-system)#aaa authentication login radius-group radius-group local
Device(config-isp-system)#aaa authorization login radius-group radius-group local
Device(config-isp-system)#aaa accounting login start-stop radius-group radius-group
Device(config-isp-system)#exit

#Configure o servidor RADIUS, a porta de autenticação é 1812, a porta de estatísticas é 1813 e a chave de compartilhamento é admin.

Device(config)#aaa server group radius radius-group
Device(config-sg-radius-radius-group)#server 2.0.0.2 auth-port 1812 acct-port 1813 key admin
Device(config-sg-radius-radius-group)#exit

#Configure a sessão Telnet e habilite a autenticação/autorização RADIUS e estatísticas.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit
  • Passo 4:Configure o servidor RADIUS.

Para a configuração da interface do servidor RADIUS, consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o usuário admin no servidor RADIUS, defina a senha como admin e configure o rótulo do usuário como 15.

#Defina o endereço IP do servidor como 2.0.0.2, compartilhe a chave como admin, a porta de autenticação como 1812 e a porta de estatísticas como 1813.

#Defina o endereço IP do cliente como 2.0.0.1 e a chave de compartilhamento como admin.

  • Passo 5:Verifique o resultado e verifique a autenticação/autorização e estatísticas.

# Depois que o usuário Telnet fizer login no dispositivo, autorize com sucesso e use o show comando de privilégio para visualizar a prioridade do usuário 15.

#Podemos visualizar as informações de estatísticas de login e desconexão no servidor RADIUS.

Configurar a comutação de nível de usuário Telnet para usar a autenticação RADIUS

Requisitos de rede

  1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
  2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de autenticação/autorização é 1812 e a chave de compartilhamento é admin.
  3. Quando o nível de usuário muda de 1 para 3 depois que o usuário Telnet faz login no dispositivo, é necessário autenticar via servidor RADIUS.

Topologia de rede

Figura 3 - 5 Rede de configuração de comutação de nível de usuário Telnet para usar autenticação RADIUS

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configurar dispositivo.

#Configure a comutação de nível de usuário para usar a autenticação RADIUS.

Device#configure terminal
Device(config)#aaa authentication enable-method radius-group radius-group
Device(config)#domain system
Device(config-isp-system)#aaa authentication login radius-group radius-group local
Device(config-isp-system)#exit

#Configure o servidor RADIUS, a porta de autenticação é 1812 e a chave de compartilhamento é admin.

Device(config)#aaa server group radius radius-group
Device(config-sg-radius-radius-group)#server 2.0.0.2 auth-port 1812 acct-port 1813 key admin
Device(config-sg-radius-radius-group)#exit
Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit
  • Passo 4:Configure o servidor RADIUS.

Para a configuração da interface do servidor RADIUS, consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o nome de usuário $enab3$ com o nível de usuário 3 e defina a senha como admin.

A alternância de nível de usuário é corrigida para usar o nome de usuário no formato $enabLEVEL$ para autenticação. LEVEL é o nível para o qual o usuário deseja alternar. Quando o nível de usuário é reduzido, não precisa de autenticação.

  • Passo 5:Confira o resultado.

Após o usuário Telnet inserir o nome de usuário e a senha para efetuar login de acordo com o prompt, o nível de usuário é 1 por padrão. Após executar o comando enable 3, insira a senha admin. Após ser autenticado pelo servidor RADIUS com sucesso, o nível de usuário é alterado para 3.

Configurar autorização TACACS e estatísticas do comando Shell

Requisitos de rede

  1. O dispositivo está conectado ao servidor Telnet e RADIUS e a rota IP está disponível.
  2. O endereço IP do servidor RADIUS é 2.0.0.2/24, a porta de serviço é 49 e a chave de compartilhamento é admin.
  3. Após o cliente Telnet efetuar login no dispositivo, o comando shell operado com nível de usuário 15 deve ser autorizado através do servidor TACACS e registrar o comando shell no servidor TACACS.

Topologia de rede

Figura 11 – 3 Rede de configuração da autorização TACACS e contabilidade do comando Shell

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configurar dispositivo.

#Configure a autorização e a contabilidade do comando TACACS.

A autenticação deve ser bem-sucedida antes da autorização e contabilização.

Device#configure terminal
Device(config)#domain system
Device(config-isp-system)#aaa authentication login tacacs-group tacacs-group local
Device(config-isp-system)#aaa authorization commands 15 tacacs-group tacacs-group
Device(config-isp-system)#aaa accounting commands 15 tacacs-group tacacs-group
Device(config-isp-system)#exit
Device(config)#aaa authorization config-commands

# Configure o servidor TACACS, a porta de serviço é 49 e a chave de compartilhamento é admin.

Device(config)#aaa server group tacacs tacacs-group
Device(config-sg-tacacs-tacacs-group)#server 2.0.0.2 port 49  key admin
Device(config-sg-tacacs-tacacs-group)#exit

#Configure a sessão Telnet e habilite a autorização e a contabilidade TACACS.

Device(config)#line vty 0 15
Device(config-line)#login aaa
Device(config-line)#exit
  • Passo 4:Configure o servidor TACACS.

Para a configuração da interface do servidor TACACS , consulte o documento de ajuda do servidor. A seguir, listamos as principais etapas.

#Adicione o cliente 2.0.0.1 no servidor, a chave de compartilhamento é admin e selecione a autenticação “TACACS+(Cisco IOS)”.

#Defina a autorização do comando Shell para o administrador do usuário Telnet. Permitir os comandos configure terminal , roteador ospf e router rip e recuse os outros comandos.

  • Passo 5:Confira o resultado.

#Depois que o usuário Telnet fizer login no dispositivo, execute o comando Shell. O comando autorizado pode ser executado com sucesso e a autorização do comando não autorizado falhou.

Device#configure terminal
% Enter configuration commands, one per line.  End with CNTL+Z.
Device(config)#router ospf 100
Device(config-ospf)#exit
Device(config)#router rip
Device(config-rip)#exit
Device(config)#interface fastethernet 0/1
Command authorization failed 
Device(config)#router bgp 100
Command authorization failed

#Visualize as informações de estatísticas do comando Shell.

No servidor TACACS, podemos ver as informações estatísticas do comando Shell.

802.1X

Visão geral

802.1X

O 802.1X é uma solução de autenticação de acesso de banda larga apresentada pelo IEEE em junho de 2001. Ele define o controle de acesso à rede baseado em porta. Ao utilizar os recursos de acesso físico da LAN do IEEE 802 LAN, o 802.1X fornece um conjunto de métodos para autenticar e autorizar o acesso de dispositivos conectados às portas LAN via ponto a ponto.

O sistema 802.1X é a estrutura cliente/servidor típica, conforme mostrado na figura a seguir, incluindo três entidades: sistema suplicante (cliente), sistema de autenticação (dispositivo de autenticação) e sistema de servidor de autenticação (servidor de autenticação).

Figura 12 - 1 Arquitetura do sistema 802.1X

  • A instalação do cliente suporta o software cliente da autenticação 802.1X, enviando a solicitação de autenticação para o dispositivo de autenticação. Se autenticar com sucesso, conecte-se à rede normalmente.
  • O dispositivo de autenticação está entre o cliente e o servidor de autenticação, controlando o acesso à rede do cliente interagindo com o servidor.
  • Normalmente, o servidor de autenticação é o servidor RADIUS (Remote Authentication Dial-In User Service), utilizado para verificar a validade do cliente e informar o resultado da autenticação ao dispositivo de autenticação. O dispositivo de autenticação controla o acesso à rede do cliente de acordo com o resultado da autenticação.

EAP (Extensible Authentication Protocol) usado pela autenticação 802.1X é um protocolo geral de autenticação PPP, usado para interagir as informações de autenticação entre o cliente, dispositivo de autenticação e servidor de autenticação. O protocolo 802.1X utiliza o formato de encapsulamento de quadro EAPOL (EAP Over LAN) para encapsular o pacote EAP, realizando a interação entre o cliente e o dispositivo de autenticação. De acordo com os diferentes cenários de aplicação, o protocolo 802.1X encapsula o pacote EAP nos diferentes formatos de quadro, realizando a interação entre o dispositivo de autenticação e o servidor de autenticação. No modo de autenticação de retransmissão, o pacote EAP é encapsulado no formato de quadro EAPOR (EAP Over RADIUS); no modo de autenticação de terminação, o pacote EAP é encapsulado no formato de quadro RADIUS padrão.

O modo de autenticação 802.1X inclui o modo de autenticação de retransmissão e o modo de autenticação final.

O fluxo de autenticação de retransmissão é o seguinte:

Figura 12 – 2 fluxo de autenticação de retransmissão 802.1X

O fluxo de autenticação de retransmissão é o seguinte:

  • Quando o usuário tiver o requisito de acesso à rede, habilite o programa cliente 802.1X, insira o nome de usuário e a senha válidos registrados no servidor de autenticação e inicie a solicitação de autenticação (pacote EAPOL-Start). Aqui, o programa cliente envia o pacote de autenticação de solicitação para o dispositivo de autenticação e inicia um processo de autenticação.
  • Após o dispositivo de autenticação receber o quadro de dados de solicitação de autenticação, envie um quadro de solicitação (pacote de solicitação/identidade EAP) para solicitar que o programa cliente do usuário envie o nome de usuário de entrada.
  • O programa cliente responde à solicitação enviada pelo dispositivo de autenticação, enviando as informações do nome de usuário para o dispositivo de autenticação através do quadro de dados (EAP-Response/Pacote de identidade). O dispositivo de autenticação encapsula o quadro de dados enviado pelo cliente no pacote (pacote de solicitação de acesso RADIUS) e envia para o servidor de autenticação para processamento.
  • Depois que o servidor RADIUS recebe as informações de nome de usuário encaminhadas pelo dispositivo de autenticação, compare as informações com a tabela de nomes de usuário no banco de dados, encontre as informações correspondentes do nome de usuário e use uma palavra de criptografia gerada aleatoriamente para criptografá-la. Enquanto isso, envie a palavra criptografada para o dispositivo de autenticação por meio do pacote RADIUS Access-Challenge; o dispositivo de autenticação o encaminha para o programa cliente.
  • Após o programa cliente receber a palavra criptografada encaminhada pelo dispositivo de autenticação (pacote EAP-Request/MD5 Challenge), use a palavra criptografada para criptografar a senha (o algoritmo de criptografia é irreversível, gerando o pacote EAP-Response/MD5 Challenge) e encaminhar para o servidor de autenticação através do dispositivo de autenticação.
  • O servidor de autenticação RADIUS compara as informações de senha criptografada recebidas (pacote de solicitação de acesso RADIUS) com as informações de senha criptografada local. Se forem iguais, considere o usuário como usuário válido e realimenta a mensagem de passagem da autenticação (pacote RADIUS Access-Accept e pacote EAP-Success);
  • Após o dispositivo de autenticação receber a mensagem de aprovação da autenticação, altere a porta para o estado autorizado, permitindo que o usuário acesse a rede através da porta.
  • O cliente também pode enviar o pacote EAPOL-Logoff para o dispositivo de autenticação, solicitando ativamente offline. O dispositivo de autenticação altera o status da porta de autorizada para não autorizada e envia o pacote EAP-Failure ao cliente.

A autenticação precisa do dispositivo de autenticação e do servidor de autenticação para suportar o protocolo EAP.

O fluxo de autenticação de encerramento é o seguinte:

Figura 12 - 3 802.1X terminando o fluxo de autenticação

  • A diferença entre o modo de autenticação final e o modo de autenticação de retransmissão é: A palavra de criptografia aleatória usada para criptografar as informações de senha do usuário é gerada pelo dispositivo de autenticação. E o dispositivo de autenticação envia o nome de usuário, palavra de criptografia aleatória e informações de senha criptografadas pelo cliente para o servidor RADIUS para autenticação.

O modo de autenticação final é usado pelo servidor de autenticação implantado anteriormente e não oferece suporte ao protocolo EAP.

O dispositivo de autenticação suporta dois modos de controle de acesso:

  • Modo de controle de acesso baseado em porta (Portbased): Depois que o primeiro usuário na porta é autenticado com sucesso, os outros usuários de acesso podem acessar a rede sem autenticação, mas depois que o primeiro usuário fica offline, os outros usuários também são recusados a acessar a rede .
  • Modo de controle de acesso baseado em usuário (baseado em Mac): Todos os usuários de acesso na porta precisam ser autenticados separadamente. Depois que um usuário fica offline, apenas o usuário não pode acessar a rede e os outros usuários ainda podem acessar a rede.

A VLAN automática também é chamada de VLAN atribuída. Quando o cliente passa a autenticação do servidor, o servidor entrega as informações de VLAN autorizadas ao dispositivo de autenticação. Se a VLAN fornecida existir no dispositivo de autenticação e for válida, a porta de autenticação será adicionada à VLAN fornecida . Depois que o cliente fica offline, a porta é restaurada para o estado não autenticado, a porta é excluída da Auto VLAN e o valor padrão da porta é restaurado para a VLAN configurada anteriormente.

Após habilitar a Guest VLAN, o usuário pode e somente pode acessar os recursos na VLAN sem autenticação. Depois que o usuário é autenticado com sucesso, a porta sai da Guest VLAN e o usuário pode acessar outros recursos da rede. Normalmente, o usuário pode obter o software cliente 802.1X no Guest VLAN para atualizar o cliente ou executar outro programa aplicativo (como software antivírus, patch do sistema operacional). Após habilitar a autenticação 802.1x e configurar corretamente a VLAN convidada, a porta será adicionada à VLAN convidada no modo sem etiqueta. Neste momento, o usuário sob a porta na VLAN convidada inicia a autenticação. Se a autenticação falhar, a porta ainda está na VLAN convidada. Se a autenticação for bem-sucedida, ela pode ser dividida nos dois casos a seguir:

  • Se o servidor de autenticação entregar uma VLAN, a porta deixará a VLAN convidada e ingressará na VLAN distribuída. Depois que o usuário estiver offline, a porta retornará à VLAN convidada;
  • Se o servidor de autenticação não entregar a VLAN, a porta deixa a VLAN convidada e se junta à VLAN de configuração configurada no dispositivo de autenticação. Depois que o usuário estiver offline, a porta retornará à VLAN convidada.

Autenticação de canal seguro

Com base na função de autenticação 802.1X, a função de autenticação de canal seguro pode alcançar a autenticação 802.1X e abrir um canal seguro para os usuários finais especificados. Assim, o usuário final pode visitar os recursos na rede especificada no modo de não autenticação ou especificar um usuário final para visitar os recursos da rede sem autenticação.

Autenticação de endereço MAC

Na rede real, além de muitos usuários finais, pode haver alguns terminais de rede (como impressora de rede). Os terminais não carregam ou não podem instalar o software de cliente de autenticação 802.1X e podem usar o modo de autenticação de cliente livre para acessar a rede. O método de autenticação não precisa que o usuário instale nenhum software cliente de autenticação 802.1X. Depois que o dispositivo de autenticação detecta o endereço MAC do usuário pela primeira vez, o dispositivo de autenticação usa o nome de usuário e a senha configurados ou o endereço MAC do usuário como nome de usuário e senha para enviar ao servidor de autenticação para autenticação.

O formato de nome de usuário e senha usado pela autenticação de endereço MAC tem dois casos:

O endereço MAC serve como nome de usuário e senha: Use o endereço MAC do usuário autenticado como nome de usuário e senha;

Nome de usuário e senha fixos: Use o nome de usuário e a senha configurados no dispositivo de autenticação.

Configuração da Função 802.1X

Tabela 12 – 1 lista de configuração da função 802.1X

Tarefa de configuração
Configurar a função de autenticação 802.1X Habilite a autenticação 802.1X
Configurar a autenticação de canal seguro Ative a função de autenticação de canal seguro
Configurar e aplicar o canal seguro
Configure a autenticação 802.1X e a propriedade de autenticação de canal seguro Configurar o modo de autenticação da porta
Configurar a função de disparo multicast
Configurar a função de reautenticação
Configure os tempos máximos de falha de autenticação da porta
Configure a função de omitir o campo IP no nome de usuário
Configurar a função de transmissão transparente de pacote
Configurar a função keepalive
Configure a função de não aguardar a resposta do servidor
Configurar a autenticação de endereço MAC Habilite a função de autenticação de endereço MAC
Configurar o formato de nome de usuário de autenticação de endereço MAC
Configurar os atributos públicos Configurar a direção controlada
Configurar a lista de hosts autenticáveis
Configurar a função de autorização de IP
Configure os tempos máximos de envio do pacote de solicitação de autenticação
Configure os tempos máximos de envio do pacote de autenticação
Configure a função de registro de log da falha de autenticação
Configurar a função keepalive ARP
Configure o máximo de usuários da porta
Configurar o nome do prefixo IP ACL
LAN padrão válida
Configure permitindo que o usuário não autenticado se comunique na VLAN pertencente ao PVID
Configurar o modo de controle de acesso à porta
Configurar VLAN de convidado
Configurar ACL de convidado
Configurar VLAN crítica
Configurar a função de movimentação de autenticação do usuário
Configure os parâmetros do temporizador
Configuração padrão da porta
Configurar a etapa de registro de log

Configurar função de autenticação 802.1X

A autenticação 802.1X e a autenticação de endereço MAC podem ser configuradas simultaneamente na mesma interface.

  • Se a autenticação for bem-sucedida quando o usuário final realizar a autenticação de endereço MAC pela primeira vez, a autenticação 802.1X iniciada pelo usuário final não será processada. Caso contrário, a autenticação 802.1X iniciada pelo usuário final será processada normalmente.
  • Quando o usuário final inicia a autenticação 802.1X pela primeira vez , não execute a autenticação de endereço MAC .

Condição de configuração

Nenhum

Ativar autenticação 802.1X

Para habilitar a função de autenticação 802.1X, o usuário final precisa instalar o software cliente com a função de autenticação 802.1X.

Tabela 12 – 2 Ativar 802.1X

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilitar autenticação global 802.1X dot1x { enable | disable } Opcional Por padrão, a função de autenticação global 802.1X está habilitada.
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a autenticação 802.1X dot1x port-control { enable | disable } Obrigatório Por padrão, a função de autenticação 802.1X na porta está desabilitada.

Não ative a função de autenticação 802.1X e a função de autenticação de canal seguro simultaneamente em uma porta. Suporta habilitação da função de autenticação 802.1X e função de Port Security em uma porta ao mesmo tempo, mas há a seguinte limitação: Não permite configurar a regra de IP de Port Security ou regra MAX. Se a Port Security estiver configurada com a regra MAC relacionada quando a função de autenticação 802.1X for usada com a função de Port Security, o 802.1X não processará os pacotes enviados e solicitações de autenticação do terminal, que são processados pela segurança da porta.

Configure o pacote ARP/IP para acionar a geração do usuário 802.1X

Após habilitar a função de autenticação 802.1X na porta, se o usuário do terminal quiser visualizar as informações do usuário do terminal no dispositivo de autenticação sem iniciar a autenticação, ele precisa configurar o pacote ARP/IP para acionar a geração do usuário 802.1X.

Habilite a função de autenticação 802.1X e a função de disparo do pacote ARP/IP gerando o usuário 802.1X em uma porta. Quando o dispositivo de autenticação recebe o pacote ARP ou IP do usuário do terminal na porta, ele pode gerar o usuário 802.1X.

Tabela 12 - 3 Habilitar a função de acionamento do pacote ARP/IP gerando o usuário 802.1X

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a função de acionamento do pacote ARP/IP gerando o usuário 802.1X dot1x arp-ip-auth { enable | disable } Obrigatório Por padrão, a função de acionamento do pacote ARP/IP que gera o usuário 802.1X está desabilitada na porta.
Configure o tempo limite do acionamento do pacote ARP/IP gerando o usuário 802.1X dot1x arp-ip-auth timeout timeout-value Opcional Por padrão, o tempo limite do disparo do pacote ARP/IP gerando o usuário 802.1X é de 5 minutos.

Configurar autenticação de canal seguro

Condição de configuração

Nenhum

Ativar autenticação de canal seguro

Com base na função de autenticação 802.1X, a função de autenticação de canal seguro pode alcançar a autenticação 802.1X e abrir um canal seguro para os usuários finais especificados. Assim, o usuário final pode visitar os recursos na rede especificada no modo de não autenticação ou especificar um usuário final para visitar os recursos da rede sem autenticação.

Tabela 12 – 4 Habilite a autenticação de canal seguro

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a autenticação de canal seguro dot1x free-ip Obrigatório Por padrão, a função de autenticação de canal seguro na interface está desabilitada.

Não ative a função de autenticação de canal seguro e a função de Port Security simultaneamente em uma porta. Não ative a função de autenticação 802.1X e a função de autenticação de canal seguro simultaneamente em uma interface. Não ative a função de autenticação de endereço MAC e a função de autenticação de canal seguro simultaneamente em uma interface. Quando a função de autenticação de canal seguro está habilitada na interface, mas a regra de canal seguro não é aplicada ou a regra de canal seguro não está configurada, a função de autenticação de canal seguro e a função de autenticação 802.1X são idênticas. Durante a autenticação do canal seguro, quando a autenticação do usuário for bem-sucedida, ela ocupará os recursos do chip. Se os recursos do chip forem insuficientes, causará falha na autenticação do usuário.

Configurar e aplicar canal seguro

Depois que a autenticação de canal seguro for habilitada na interface, espera-se que o usuário final possa visitar os recursos na rede especificada quando o usuário final não estiver autenticado ou especificar um usuário final para visitar os recursos da rede sem autenticação. Neste caso, configure e aplique o canal seguro.

As regras para configurar o canal seguro podem ser classificadas nos seguintes tipos:

  • Configure para permitir que o usuário final visite os recursos de rede especificados.
  • Configure o usuário final especificado para visitar os recursos de rede.

Tabela 12 -5 Aplicar canal seguro

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o canal seguro hybrid access-list advanced { access-list-number | access-list-name } Obrigatório Por padrão, o canal seguro não está configurado no dispositivo.
Configurar a regra de canal seguro [ sequence ] permit [ether-ipv6] protocol { any | source-ip-addr source-wildcard | host source-ip-addr } { any | source-mac-addr source-wildcard | host source-mac-addr } { any | destination-ip-addr destination-wildcard | host destination-ip-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } Obrigatório Por padrão, a regra de canal seguro não está configurada no canal seguro.
Aplicar o canal seguro global security access-group { access-group-number | access-group-name } Obrigatório Por padrão, nenhum canal seguro é aplicado no sistema.

O dispositivo pode ser configurado com vários canais seguros. Um canal seguro pode ser configurado com várias regras de canal seguro. O tipo de canal seguro só pode ser a ACL avançada híbrida . Apenas um canal seguro pode ser aplicado ao dispositivo.

Configurar função de URL de redirecionamento

Se a URL de redirecionamento estiver configurada no dispositivo de autenticação e quando o usuário acessar a rede de segmento não livre da autenticação sem passar a autenticação ou não ser autenticado, o dispositivo de autenticação redirecionará o endereço da URL acessada pelo usuário para o redirecionamento configurado. endereço URL direto. Na interface de URL especificada, o usuário pode baixar/atualizar o cliente de autenticação, atualizar o software e assim por diante.

Tabela 12 -6 Configurar a função de redirecionamento de URL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o canal seguro hybrid access-list advanced { access-list-number | access-list-name } Obrigatório Por padrão, o dispositivo não está configurado com o canal seguro.
Configurar a regra de canal seguro [ sequence ] permit [ether-ipv6] protocol { any | source-ip-addr source-wildcard | host source-ip-addr } { any | source-mac-addr source-wildcard | host source-mac-addr } { any | destination-ip-addr destination-wildcard | host destination-ip-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } Obrigatório Por padrão, o canal seguro não está configurado com a regra de canal seguro.
Aplicar o canal seguro global security access-group { access-group-number | access-group-name } Obrigatório Por padrão, nenhum canal seguro é aplicado no sistema.
Configurar a função de redirecionamento de URL dot1x url url-redirect-string Obrigatório Por padrão, o endereço de URL de redirecionamento não está configurado no dispositivo.

O segmento livre da autenticação precisa incluir o endereço IP do servidor DNS e o endereço IP do link de URL de redirecionamento. Quando o cliente precisa solicitar o endereço do servidor DHCP, e o dispositivo de autenticação não é o servidor DHCP, é necessário habilitar a função DHCP RELAY no dispositivo de autenticação, para garantir que o cliente possa obter o endereço IP normalmente .

Configurar autenticação 802.1X e propriedade de autenticação de canal seguro

Se a função de autenticação 802.1X ou a função de autenticação de canal seguro não estiver habilitada na interface, a propriedade relacionada configurada não terá efeito.

Configurar o modo de autenticação de porta

O modo de autenticação 802.1X inclui o modo de autenticação de retransmissão e o modo de autenticação final.

O sistema de autenticação 802.1X compreende cliente, dispositivo de autenticação e servidor de autenticação. O protocolo 802.1X padrão define que o cliente e o servidor de autenticação interagem por meio do pacote EAP. O dispositivo de autenticação desempenha o papel de “retransmissor” durante a interação. O dispositivo de autenticação encapsula os dados EAP enviados pelo cliente em outro protocolo, como o protocolo RADIUS, e envia para o servidor de autenticação. Da mesma forma, o dispositivo de autenticação encapsula os dados EAP enviados pelo servidor de autenticação no pacote EAPOL e encaminha para o cliente. O modo de interação é chamado de modo de autenticação de retransmissão. O modo de autenticação de retransmissão requer que o servidor de autenticação suporte o protocolo EAP. A configuração do mecanismo de autenticação suportado pelo modo de autenticação de retransmissão EAP depende do cliente e do servidor de autenticação.

O servidor de autenticação implantado anteriormente pode não oferecer suporte ao protocolo EAP e precisa ser configurado como o modo de autenticação final. O pacote EAP do cliente não é enviado diretamente ao servidor de autenticação, mas o dispositivo de autenticação completa o pacote EAP interagindo com o cliente. Depois de obter as informações de autenticação do usuário suficientes, o dispositivo de autenticação envia as informações de autenticação ao servidor de autenticação para autenticação.

O modo de autenticação de finalização EAP suporta autenticação PAP (Protocolo de autenticação de senha) e autenticação CHAP (Protocolo de autenticação de handshake de desafio).

Tabela 12 - 7 Configurar o modo de autenticação da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação , a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o modo de autenticação da porta dot1x eap-relay { enable | disable } Obrigatório Por padrão, o modo de autenticação na porta é o modo de autenticação final.

A configuração do modo de autenticação de encerramento suporta apenas a autenticação EAP baseada em MD5 (Message Digest Algorithm). A função de autenticação 802.1x e a função de autenticação de canal seguro suportam o modo de retransmissão e autenticação final. Quando o cliente adota a autenticação de certificado, a porta de autenticação precisa ser configurada como o modo de autenticação de retransmissão. A autenticação de endereço MAC só pode suportar o modo de autenticação de terminação.

Configurar a função de acionamento de multicast

Alguns terminais são instalados com o cliente de autenticação 802.1X, mas o cliente não inicia a autenticação ativamente. O processo de autenticação só pode depender do dispositivo de autenticação para ser acionado. O dispositivo de autenticação envia periodicamente o pacote multicast solicitando o nome de usuário para a porta configurada com o disparo multicast. Após receber o pacote, o cliente responde a solicitação de autenticação do dispositivo de autenticação e inicia a autenticação 802.1X.

Tabela 12 – 8 Configurar a função de disparo multicast

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ativar o gatilho multicast dot1x multicast-trigger Obrigatório Por padrão, a função de disparo multicast na porta está desabilitada.
Configurar o período de disparo do multicast dot1x multicast-period multicast-period-value Opcional Por padrão, o tempo de disparo multicast na porta é 15s.

Se o cliente não suportar a função de disparo multicast, a exibição do adaptador do cliente pode estar anormal. Enquanto isso, pode causar a falha de reautenticação.

Configurar função de reautenticação

Para verificar se o cliente está online, evitar o travamento anormal do cliente afetando a exatidão da contabilidade do usuário e impedir que o cliente seja usado por outros, o dispositivo de autenticação inicia periodicamente a solicitação de reautenticação para o cliente. Durante o processo, o usuário não precisa inserir o nome de usuário ou a senha novamente.

Tabela 12 - 9 Configurar a função de reautenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a reautenticação dot1x reauthentication Obrigatório Por padrão, a função de reautenticação está habilitada na porta.

Configurar tempos máximos de falha de autenticação

Depois que os tempos de falha de autenticação do cliente atingem o limite, o cliente entra no estado morto. Durante o tempo morto, o dispositivo de autenticação não responde mais à solicitação de autenticação iniciada pelo cliente.

Tabela 12 – 10 Configure os tempos máximos de falha de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
tempos máximos de falha de autenticação de porta dot1x max-authfail max-authfail-value Obrigatório Por padrão, o tempo máximo de falha de autenticação da porta é 1.

Configurar função de transmissão transparente de pacote

No ambiente de aplicação real, o terminal de autenticação e o dispositivo de autenticação podem cruzar o dispositivo intermediário. Se o dispositivo intermediário não puder transmitir o pacote EAPOL de forma transparente, a autenticação não poderá ser realizada normalmente. Para que a autenticação seja feita normalmente, precisamos habilitar a função de transmitir o pacote EAPOL de forma transparente na porta do dispositivo intermediário que recebe o pacote EAPOL e configurar uma porta de uplink para a porta. Se a porta habilitada com a função de transmissão do pacote EAPOL receber o pacote EAPOL de forma transparente, envie o pacote da porta uplink configurada. Se o dispositivo conectado diretamente à porta de uplink for um dispositivo de autenticação, o dispositivo de autenticação processa após receber o pacote EAPOL.

Tabela 12 – 11 Configurar a função de transmissão transparente de pacote

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a função de transmissão transparente de pacote dot1x eapol-relay { enable | disble } Obrigatório Por padrão, a função de transmitir o pacote de forma transparente na porta está desabilitada.
Configurar a porta de uplink dot1x eapol-relay uplink { interface interface-name | link-aggregation link-aggregation-id } Obrigatório Por padrão, a porta não está configurada com a porta de uplink.

Configurar função Keepalive

Para detectar se o cliente está online, o dispositivo de autenticação envia periodicamente o pacote EAP-Request/Identity ao cliente. Se estiver recebendo o pacote EAP-Response/Identity do cliente, envie o pacote EAP-Request/MD5 Challenge para o cliente. Se o sistema de autenticação receber o pacote EAP-Response/MD5 Challenge, confirme se o cliente está online normalmente e envie o pacote EAP-Success para informar o cliente sobre o sucesso do keepalive.

Tabela 12 – 12 Configurar a função keepalive

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função keepalive dot1x keepalive { enable | disable } Obrigatório Por padrão, a função keepalive na porta está desabilitada.
Configurar o tempo de manutenção dot1x keepalive period period-value Opcional Por padrão, o período keepalive na porta é de 60 segundos.
Configure os tempos de retransmissão do pacote keepalive dot1x keepalive retries retries-value Opcional Por padrão, o tempo máximo de atividade na porta é 3.
Configurar o tipo keepliave dot1x keepalive type { request-identity | request-md5} Opcional Por padrão, o tipo keepalive na porta é o keeplive padrão.

A função keepalive precisa ser suportada pelo software cliente de autenticação 802.1X (como o cliente Maipu TC). Se o cliente não oferecer suporte, isso pode resultar na falha do keepalive e o usuário ficar offline.

Configurar não aguardando resposta do servidor

No modo de autenticação de retransmissão, o cliente pode enviar alguns pacotes que o servidor não responde. Os pacotes fazem com que o canal de sessão entre o dispositivo de autenticação e o servidor de autenticação seja ocupado e, como resultado, a autenticação do cliente subsequente falha. Podemos habilitar a função de não aguardar a resposta do servidor na porta para evitar o problema.

Tabela 12 - 13 Configure a função de não aguardar a resposta do servidor

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
resposta do servidor dot1x nowait-result Obrigatório Por padrão, a função de não aguardar a resposta do servidor está desabilitada.

Configurar autenticação de endereço MAC

A autenticação 802.1X e a autenticação de endereço MAC podem ser configuradas simultaneamente na mesma interface.

  • Se a autenticação for bem-sucedida quando o usuário final realizar a autenticação de endereço MAC pela primeira vez, a autenticação 802.1X iniciada pelo usuário final não será processada. Caso contrário, a autenticação 802.1X iniciada pelo usuário final será processada normalmente.
  • Quando o usuário final inicia a autenticação 802.1X pela primeira vez , não execute a autenticação de endereço MAC .

Condição de configuração

Nenhum

Ativar função de autenticação de endereço MAC

A autenticação de endereço MAC também é chamada de autenticação de cliente livre. O modo de autenticação é aplicável ao terminal que não pode instalar o software cliente para autenticação e também ao usuário final que não instala o software cliente, mas pode autenticar sem inserir o nome de usuário e a senha.

Ao configurar os parâmetros de autenticação de endereço MAC na porta do dispositivo de autenticação e se a porta não habilitar a função de autenticação de endereço MAC, a função configurada não tem efeito.

Tabela 12 - 14 Habilite a função de autenticação de endereço MAC

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função de autenticação de endereço MAC dot1x mac-authentication { enable | disable } Obrigatório Por padrão, a função de autenticação de endereço MAC na porta está desabilitada.

Suporte habilitando a função de autenticação de endereço MAC e função de Port Security em uma porta ao mesmo tempo, mas há limitação: não permite configurar a regra de IP de segurança de porta ou regra MAX. Não ative a função de autenticação de endereço MAC e a função de autenticação de canal de segurança em uma porta ao mesmo tempo.

Configurar o formato de nome de usuário de autenticação de endereço MAC

O formato de nome de usuário e senha usado pela autenticação de endereço MAC inclui dois casos: formato fixo de nome de usuário e senha e formato de nome de usuário e senha de endereço MAC.

Formato fixo de nome de usuário e senha: Ao receber os pacotes do usuário final, o dispositivo de autenticação envia o nome de usuário e a senha configurados ao servidor de autenticação para autenticação.

Formato de nome de usuário e senha do endereço MAC: O dispositivo de autenticação usa o endereço MAC do usuário final como nome de usuário e senha. O formato do endereço MAC como nome de usuário e senha inclui dois casos: Um é com o hífen, como 00-01-7a-00-00-01; o outro não é com hífen, como 00017a000001.

Tabela 12 – 15 Configurar o formato de nome de usuário de autenticação de endereço MAC

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o formato de nome de usuário de autenticação de endereço MAC dot1x mac-authentication user-name-format { fixed account account-value password password-value | mac-address [ with-hyphen | without-hyphen ] } Obrigatório Por padrão, a autenticação de endereço MAC adota o endereço MAC com hífen como nome de usuário e senha.

Configurar delimitador de nome de domínio

O dispositivo de autenticação pode gerenciar o usuário com base no domínio. Se o nome de usuário de autenticação tiver o nome de domínio, o dispositivo usará o servidor no grupo de servidores AAA para autenticar, autorizar e contabilizar o usuário. Se o nome de usuário de autenticação não tiver o nome de domínio, use o servidor de autenticação configurado padrão no sistema para autenticar. Portanto, o dispositivo de autenticação precisa analisar corretamente o nome de usuário e o nome de domínio, desempenhando a função decisiva para que o usuário forneça o serviço de autenticação. Diferentes clientes suportam diferentes delimitadores de nome de usuário e nome de domínio. Para gerenciar e controlar melhor o acesso do usuário de diferentes formatos de nome de usuário, é necessário especificar o delimitador de nome de domínio suportado no dispositivo de autenticação.

Atualmente, os delimitadores de nome de domínio com suporte incluem @, / e \.

Quando o delimitador de nome de domínio é @, o formato de nome de usuário autenticado é username@domain .

Quando o delimitador de nome de domínio é /, o formato de nome de usuário autenticado é username/domain .

Quando o delimitador de nome de domínio é \, o formato de nome de usuário autenticado é domain\username .

Aqui, nome de usuário é o nome de usuário puro e domínio é o nome de domínio. Se o nome de usuário contiver vários delimitadores de nome de domínio, o dispositivo de autenticação identificará apenas o primeiro delimitador de nome de domínio como o delimitador de nome de domínio usado real e os outros caracteres como uma parte do nome de domínio.

Tabela 12 - 16 Configurar o delimitador de nome de domínio

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o delimitador de nome de domínio dot1x domain-delimiter domain-delimiter-type Obrigatório Por padrão, o delimitador de nome de domínio na porta é @.

Ao usar o nome de usuário com o nome de domínio para autenticação, é necessário configurar o grupo de servidores de autenticação correspondente no dispositivo de autenticação.

Configurar o formato de nome de usuário de autenticação

O usuário de autenticação é nomeado pelo formato username@domain. O nome de domínio está atrás do delimitador de nome de domínio @. O dispositivo de autenticação decide qual grupo de servidores de autenticação autentica o usuário analisando o nome de domínio. O servidor inicial não pode aceitar o nome de usuário com o nome de domínio, portanto, o dispositivo de autenticação precisa excluir o nome de domínio contido no nome de usuário e apenas enviar o nome de usuário de autenticação para o servidor. Você pode selecionar se o nome de usuário de autenticação enviado ao dispositivo de autenticação carrega o nome de domínio configurando o formato do nome de usuário de autenticação.

Atualmente, o delimitador de nome de domínio compatível inclui @, \, /.

Tabela 12 - 17 Configurar o formato do nome de usuário de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o formato do nome de usuário de autenticação dot1x user-name-format { with-domain | without-domain } Obrigatório Por padrão, envie o nome de usuário de autenticação com o nome de domínio para o servidor de autenticação.

Configure a porta de envio do nome de usuário de autenticação sem nome de domínio para o servidor de autenticação para não dar suporte à autenticação de certificado.

Configurar o modo de interação do pacote de autenticação

No cenário de aplicação real, depois que a maioria dos clientes inicia a autenticação, o dispositivo de autenticação e o cliente suportam o modo de interação de autenticação unicast/multicast, mas ainda existem clientes de autenticação que podem identificar apenas o pacote de autenticação multicast, ou seja, o pacote de autenticação com o endereço MAC de destino 0180.C200.0003. Aqui, você pode configurar o modo de interação da autenticação multicast na porta.

Para a maioria dos clientes de autenticação, após o dispositivo de autenticação receber o pacote EAP respondido pelo servidor pela primeira vez e interagir com o cliente e o servidor de autenticação, fique sujeito ao identificador no pacote de serviço. Apenas alguns clientes de autenticação precisam estar sujeitos ao identificador gerado pelo dispositivo de autenticação. Para o caso, é necessário configurar a função referente ao identificador no pacote de autenticação EAP na porta.

Tabela 12 -18 Configurar o modo de interação do pacote de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o modo de interação de autenticação dot1x auth-mac { multicast | unicast } Obrigatório Por padrão, a porta adota o modo de interação do pacote de autenticação unicast.
Refere-se ao identificador no pacote de autenticação EAP dot1x identifier { match | ignore } Opcional Por padrão, não se preocupe com o identificador no pacote de autenticação EAP.

Apenas alguns clientes precisam se preocupar com o identificador do pacote que interagiu com a autenticação. A menos que haja uma demanda clara, tente evitar configurar a função.

Configurar atributos públicos

Ao configurar os parâmetros de atributo público e se a função de autenticação 802.1X, autenticação de canal seguro ou função de autenticação de endereço MAC não estiver habilitada na porta, a função configurada não terá efeito.

Condição de configuração

Ao configurar a função de autorização IP na porta, você precisa configurar a função keepalive ARP ao mesmo tempo.

Configurar direção controlada

A direção controlada da porta inclui controle bidirecional e controle unidirecional.

  • Controlado bidirecional: A porta proíbe receber e encaminhar pacotes.
  • Controlado unidirecional: Proíbe o recebimento de pacotes do cliente, mas permite o encaminhamento de pacotes para o cliente.

A função é usada com a função WOL (Wake On Lan). Algum terminal está no estado inativo, mas sua placa de rede ainda pode processar alguns pacotes especiais, como pacotes WOL. Depois que a placa de rede receber os pacotes WOL, habilite o dispositivo terminal e entre no estado de funcionamento.

Quando a porta de acesso do terminal inativo habilita a função de autenticação, você pode configurar a porta como controlada unidirecional, garantindo que os pacotes WOL possam ser encaminhados ao terminal normalmente. Depois que o terminal for iniciado, ele poderá iniciar a autenticação. Após passar a autenticação, ele pode acessar os recursos da rede normalmente.

Ao enviar os pacotes WOL através do segmento, é necessário configurar a entrada de encaminhamento ARP no dispositivo de autenticação.

Tabela 12 -19 Configurar a direção controlada

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Configurar a direção controlada dot1x control-direction { both | in } Obrigatório Por padrão, a porta é controlada bidirecionalmente.

Configurar lista de hosts autenticados

Depois de habilitar a função de lista de hosts autenticáveis, apenas permita que o usuário cujo endereço MAC esteja na lista de hosts autenticáveis se autentique e as autenticações iniciadas pelos outros usuários são recusadas.

Tabela 12 -20 Configurar a lista de hosts autenticáveis

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a lista de hosts autenticáveis dot1x auth-address { enable | disable | mac-address } Obrigatório Por padrão, a lista de hosts autenticáveis na porta está desabilitada.

Configurar função de autorização de IP

Ao habilitar a função de autorização de IP na porta e se descobrir que o endereço IP do usuário de autenticação muda, force o usuário offline, incluindo os seguintes modos:

Desabilitar: No modo, não detecta o endereço IP do usuário.

dhcp-server: Ao configurar o modo, é necessário configurar a função DHCP Snooping no dispositivo. Depois que o usuário de autenticação obtiver o endereço IP do servidor DHCP, registre a relação de ligação do usuário de autenticação e o endereço IP no dispositivo. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

servidor radius: o servidor RADIUS encapsula o endereço IP usado encapsulando o usuário de autenticação no campo Endereço IP do Quadro no pacote RADIUS e o dispositivo de autenticação registra a relação de ligação do usuário e o endereço IP. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

Suplicante: Depois que o usuário passa pela primeira autenticação, o dispositivo registra a relação de vinculação do usuário de autenticação e do endereço IP. Se descobrir que o endereço IP do usuário foi alterado, force o usuário offline.

bind-mac-ip: Modo de ligação MAC+IP, após o usuário de autenticação passar pela primeira autenticação, uma entrada de ligação MAC+IP será gerada e a configuração da entrada será salva. Mais tarde, apenas o endereço IP nas entradas de ligação geradas quando a primeira autenticação é passada pode ser usada para acessar a rede.

Tabela 12 -21 Configurar a função de autorização de IP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de autorização de IP dot1x authorization ip-auth-mode { disable | dhcp-server | radius-server | supplicant | bind-mac-ip } Obrigatório Por padrão, a função de autorização de IP está desabilitada na porta.

Configurar máx. Envio de pacotes de solicitação de tempos de autenticação

Após o dispositivo de autenticação receber os pacotes EAPOL-Start enviados pelo cliente, envie o pacote de solicitação de autenticação EAP-Request/Identity ao cliente. Se o dispositivo de autenticação não receber o pacote de resposta, retransmita o pacote. A função é utilizada para configurar os tempos máximos de envio do pacote EAP-Request/Identity. Se os tempos de envio excederem o valor máximo configurado, o dispositivo de autenticação julga que o cliente está desconectado e encerra a autenticação.

O processo de retransmissão do pacote EAP-Request/Identity é o seguinte:

Figura 12 -4 Retransmitir pacotes de solicitação/identidade EAP

Tabela 12 -22 Configure os tempos máximos de envio dos pacotes de solicitação de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure os tempos máximos de envio dos pacotes de solicitação de autenticação dot1x max-reauth count Obrigatório Por padrão, os tempos máximos de envio do pacote de solicitação de autenticação na porta são 3.

Configurar máx. Envio do pacote de tempos de autenticação

Durante a autenticação, o dispositivo de autenticação envia os outros pacotes EAP-Request, exceto os pacotes EAP-Request/Identity para o cliente, como o pacote de desafio EAP-Request/MD5. Se o dispositivo de autenticação não receber o pacote de resposta, retransmita o pacote. A função é utilizada para configurar os tempos máximos de envio do pacote. Se os tempos de envio excederem o valor máximo configurado, o dispositivo de autenticação julga que a autenticação do cliente falhou.

O processo de retransmissão do pacote EAP-Request é o seguinte:

Figura 12 -5 Retransmitir o pacote EAP-Request

Tabela 12 -23 Configure os tempos máximos de envio do pacote de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2 , a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure os tempos máximos de envio do pacote de autenticação dot1x max-req count Obrigatório Por padrão, os tempos máximos de envio do pacote de autenticação na porta são 2.

Configurar a função de log de registro de falha de autenticação

Após habilitar a função de registro de falha de autenticação, o dispositivo de autenticação registrará as informações sobre a falha de autenticação, de modo a detectar o motivo da falha.

Tabela 12 - 24 Configurar a função de log de registro de falha de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de registro de dados de gravação dot1x logging security-data {abnormal-logoff | failed-login | normal-logoff | successful-login }* Obrigatório Por padrão, a função de registro de dados de registro não está habilitada na porta.

Configurar a função ARP Keepalive

Para verificar se o usuário está online após o usuário do terminal passar pela autenticação, o dispositivo de autenticação envia os pacotes de solicitação ARP para o usuário autenticado. O dispositivo de autenticação confirma se o usuário está online ao receber o pacote de resposta ARP do usuário.

Tabela 12 -25 Configurar a função keepalive ARP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função keepalive ARP dot1x client-probe { enable | disable } Obrigatório Por padrão, a função keepalive ARP na porta está desabilitada.

O dispositivo de autenticação pode acionar a função keepalive ARP normalmente somente após obter o endereço IP do usuário autenticado. Se não estiver recebendo o pacote de resposta ARP do dispositivo de autenticação durante o período de proteção, force o usuário a ficar offline.

Configurar o máximo de usuários de uma porta

Após o número de usuários autenticados na porta atingir o limite configurado, o sistema de autenticação não responde à nova solicitação de autenticação iniciada pelo usuário.

Tabela 12 – 26 Configurar o máximo de usuários da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o máximo de usuários da porta authentication max-user-num max-uer-num-value Obrigatório Por padrão, o número máximo de usuários permitidos para conexão na porta é 256.

A porta precisa ser configurada como o modo de controle de acesso baseado no usuário (baseado em Mac). Caso contrário, os usuários de acesso configurados não podem entrar em vigor.

Configurar o nome do prefixo IP ACL

Após a autenticação do usuário final ser bem-sucedida, quando o servidor envia o IP ACL com o número maior que 2000 , é necessário configurar o IP ACL com o nome " IP ACL prefix name + ACL number" no dispositivo . Por exemplo, o servidor envia a ACL com o número 2001 e então configura a ACL IP com o nome " assignacl-2001" no dispositivo.

Tabela 12 -27 Configurar o nome do prefixo IP ACL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o nome do prefixo IP ACL dot1x number-acl-prefix number-acl-prefix-name Obrigatório Por padrão, o nome do prefixo IP ACL é " assignacl-".

Quando o modo de controle de acesso é configurado como modo multi-host baseado em porta (multi-hosts em modo host baseado em porta), a entrega da função ACL não tem efeito.

Configurar VLAN válida padrão

Quando o servidor não envia a VLAN (Auto VLAN), esta configuração pode ser usada para especificar a VLAN se espera -se que os usuários autenticados se comuniquem na VLAN especificada .

Tabela 12 -28 Configure a VLAN válida padrão

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
VLAN válida padrão dot1x default-active-vlan default-active-vlan-id Obrigatório Por padrão, a VLAN válida padrão não está configurada.

A prioridade do relacionamento de ligação após a autenticação do usuário é na seguinte ordem: servidor enviando a VLAN, VLAN válida padrão, VLAN na qual o PVID da interface se localiza. Quando a porta é configurada com base no modo de controle de acesso do usuário (macbased), a VLAN efetiva padrão entrará em vigor quando a porta atender ao modo VLAN do modo híbrido e a condição MAC VLAN estiver habilitada.

Configure para permitir que o usuário não autenticado se comunique na VLAN que o PVID localiza no

Quando várias interfaces acessam a interface, cada terminal precisa realizar o controle de acesso. Alguns terminais que não podem iniciar a autenticação 802.1X também esperam visitar os recursos da rede e você pode habilitar o comando. Depois que a função é habilitada, o usuário final não autenticado pode normalmente se comunicar na VLAN na qual o PVID está localizado.

Esta função deve atender às seguintes funções para garantir o funcionamento normal.

  • Habilite a autenticação 802.1X ou a autenticação de endereço MAC na interface.
  • O modo de controle de acesso da interface é o modo de controle de acesso baseado no usuário (Macbased).
  • O modo VLAN da porta é o modo híbrido.
  • A função de receber apenas o pacote Untag precisa ser habilitada na interface.

Tabela 12 -29 Configure para permitir que o usuário não autenticado se comunique na VLAN que o PVID localiza em

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure para permitir que o usuário não autenticado se comunique na VLAN na qual o PVID localiza dot1x native-vlan-free Obrigatório Por padrão, a função de permitir que o usuário não autenticado se comunique na VLAN em que o PVID se localiza está desabilitada,

Depois que a função é habilitada na interface, a função de apenas receber o pacote untag precisa ser habilitada na interface configurando o comando switchport accept frame-type untag na interface para garantir que o pacote enviado pelo usuário não autenticado possa apenas ser encaminhado na VLAN em que o PVID se localiza. Recomenda-se que esta função seja usada em conjunto com a VLAN enviada pelo servidor ou a VLAN válida padrão. A função não suporta a autenticação de canal seguro.

Configurar o modo de controle de acesso à porta

Existem dois tipos de modos de controle de acesso à porta: modo de controle de acesso baseado em porta e modo de autenticação de controle de acesso baseado em usuário.

Modo de controle de acesso baseado em porta (Portbased): Na porta, apenas permita a passagem de uma autenticação de usuário;

Modo de controle de acesso baseado em usuário (baseado em Mac): Na porta, permita que a autenticação multiusuário seja aprovada. Os usuários na porta precisam passar a autenticação respectivamente para que possam acessar a rede.

O modo de controle de acesso baseado em porta inclui dois tipos: modo multi-host e modo de host único.

Modo multi-host (Multi-hosts): Depois que um usuário na porta passa pela autenticação, os outros usuários na porta podem acessar a rede sem autenticação.

Modo Single-host (Single-host): Na porta, permite apenas que um usuário passe a autenticação e acesse a rede; os outros usuários não podem acessar a rede e também não podem passar na autenticação.

Tabela 12 - 30 Configurar o modo de controle de acesso à porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o modo de controle de acesso authentication port-method { macbased | portbased } Obrigatório Por padrão, habilite o modo de autenticação do usuário na porta.
Configurar o modo de controle de acesso baseado em porta authentication port-method portbased host-mode { multi-hosts | single-host } Opcional Por padrão, habilite o modo de autenticação multi-host na porta.

Ao configurar o modo de host do modo de controle de acesso baseado em porta, precisamos garantir que o modo de controle de acesso esteja configurado como o modo de controle de acesso baseado em porta ( Portbased).

Configurar VLAN de convidado

O usuário pode obter o software cliente 802.1X no Guest VLAN para atualizar o cliente ou executar outro programa aplicativo (como software antivírus e patch do sistema operacional).

Tabela 12 - 31 Configurar VLAN de convidado

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar VLAN de convidado authentication guest-vlan guest-vlan-id Obrigatório Por padrão, a Guest VLAN não está configurada na porta; o intervalo de valores é 1-4094.

A VLAN convidada da porta não pode ser aplicada à VLAN dinâmica. Se o ID de VLAN especificado pelo Guest VLAN for o VLAN criado automaticamente pelo GVRP, o Guest VLAN poderá ser configurado com sucesso, mas não terá efeito. Para garantir que as funções possam ser usadas normalmente, distribua diferentes IDs de VLAN para VLAN de Voz, VLAN Privada e VLAN de Convidado.

Configurar ACL de convidado

Se o usuário não passar na autenticação, podemos configurar a Guest ACL na porta para limitar os recursos acessados pelo usuário na Guest VLAN.

Tabela 12 - 32 Configurar ACL de convidado

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar ACL de convidado authentication guest-acl guest-acl-name Obrigatório Por padrão, o Guest ACL não está configurado na porta.

Se o Guest VLAN não estiver configurado na porta, o Guest ACL configurado não terá efeito. A ACL de convidado pode ter efeito apenas no modo de controle de acesso baseado no usuário (baseado em Mac). A regra ACL é configurada no dispositivo de autenticação.

Configurar VLAN crítica

Quando o usuário adota a autenticação RADIUS, o servidor de autenticação não fica disponível e, como resultado, a autenticação falha. Permita que o usuário acesse os recursos na VLAN especificada e a VLAN é chamada de VLAN Crítica.

Quando a porta está configurada como o modo de controle de acesso baseado em porta e há usuário para autenticar na porta, mas todos os servidores de autenticação não estão disponíveis, a porta é adicionada à VLAN crítica e todos os usuários sob a porta podem acessar os recursos na VLAN crítica.

Quando a porta está configurada como modo de controle de acesso baseado em usuário e há usuário para autenticar na porta, mas todos os servidores de autenticação não estão disponíveis, o usuário só tem permissão para acessar os recursos na VLAN Crítica.

Se a porta estiver configurada como o modo de controle de acesso baseado no usuário, ela deverá atender às seguintes condições para funcionar normalmente:

  • O modo VLAN da porta é o modo híbrido
  • A porta habilita a função MAC VLAN. O usuário na VLAN crítica inicia a autenticação. Se o servidor de autenticação ainda não estiver disponível, o usuário ainda está na VLAN Crítica. Se o servidor de autenticação estiver disponível, o usuário sairá da VLAN crítica com o resultado da autenticação.

Após a porta ser adicionada à VLAN crítica e se o dispositivo de autenticação estiver configurado com a função de detecção AAA, é detectado que o servidor de autenticação está disponível. Se a reinicialização da recuperação de vlan crítica estiver configurada:

  • Se a porta for o modo de controle de acesso baseado em mac, a porta adicionada à VLAN crítica enviará o pacote unicast a todos os usuários na VLAN crítica ativamente, acionando a reautenticação do usuário.
  • Se a porta for o modo de controle de acesso baseado em porta, a porta adicionada à VLAN crítica enviará ativamente o pacote multicast, acionando o usuário para reautenticar.

Tabela 12 -33 Configurar VLAN Crítica

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar VLAN crítica authentication critical-vlan critical-vlan-id Obrigatório Por padrão, não configure a VLAN crítica na porta. O intervalo de valores é 1-4094.
Configure a recuperação de porta e acione a autenticação authentication critical-vlan recovery-action reinitialize Opcional Por padrão, depois que o servidor de autenticação é detectado como disponível, a porta só sai da VLAN Crítica.

A função suporta apenas a autenticação RADIUS. Se a função radius e escape estiverem configuradas no dispositivo, ou seja, configure a autenticação aaa dot1x radius none e critical vlan , quando o usuário autenticar, o servidor de autenticação não estará disponível e o usuário não entrará na Critical VLAN, mas escapará diretamente. Se apenas a função escape estiver configurada, ou seja, configurar a autenticação aaa dot1x none e critical vlan , quando o usuário autenticar, a função escape entrará em vigor. Ao configurar apenas a função Guest VLAN na porta, o usuário não conseguiu autenticar está na Guest VLAN. Quando a função Guest VLAN e Critical VLAN são configuradas na porta ao mesmo tempo, o usuário não consegue autenticar porque o servidor de autenticação não está disponível e entra na Critical VLAN. Se o usuário falhar por outro motivo, ele entrará na Guest VLAN. Para a função de detecção AAA, consulte a configuração da seção AAA.

Configurar a função de transferência de autenticação do usuário

A função de transferência de autenticação de usuário se aplica ao cenário em que o mesmo usuário (distinguir com base no endereço MAC do terminal) transfere de uma porta de autenticação do mesmo dispositivo para outra. Quando a função de transferência de autenticação do usuário está desabilitada, o usuário não tem permissão para iniciar a autenticação em outra porta de autenticação do dispositivo após ser autenticado em uma porta do dispositivo; quando a função de transferência de autenticação do usuário está habilitada e depois que o usuário é autenticado em uma porta, o dispositivo primeiro exclui as informações de autenticação na porta original após detectar que o usuário transfere para outra porta de autenticação e, em seguida, permite que o usuário inicie a autenticação na nova porta de autenticação

Independentemente de a função de transferência de autenticação do usuário estar habilitada ou não, o dispositivo gravará o log ao detectar que o usuário transfere entre as portas de autenticação.

Tabela 12 -34 Configurar a função de transferência de autenticação do usuário

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar a função de transferência de autenticação do usuário authentication station-move { enable | disable } Obrigatório Por padrão, a função de transferência de autenticação do usuário está desabilitada.

Configurar parâmetros do temporizador

Os parâmetros do temporizador na porta contêm: temporizador de reautenticação, temporizador silencioso, temporizador de tempo limite do servidor, temporizador de tempo limite do cliente, temporizador de verificação offline do usuário de autenticação de endereço MAC.

Temporizador de reautenticação ( re-authperiod): Após configurar a função de reautenticação na porta, o dispositivo de autenticação inicia regularmente a solicitação de reautenticação ao cliente, aplicável à autenticação 802.1X.

Temporizador de silêncio (período de silêncio): Quando o cliente atinge os tempos máximos de falha de autenticação, o dispositivo de autenticação pode responder à solicitação de autenticação do cliente novamente após o tempo de silêncio expirar, aplicável à autenticação 802.1X e à autenticação de endereço MAC.

Temporizador de timeout do servidor (server-timeout): Se o dispositivo de autenticação não receber o pacote de resposta do servidor dentro do tempo especificado, ele é considerado desconectado do servidor, aplicável à autenticação 802.1X e autenticação de endereço MAC.

Timer timeout do cliente (supp-timeout): Se o dispositivo de autenticação não receber o pacote de resposta do cliente 802.1X dentro do tempo especificado, considera-se desconectado do usuário, aplicável à autenticação 802.1X.

Temporizador de verificação offline do usuário de autenticação de endereço MAC (detecção offline): Depois de habilitar a autenticação de endereço MAC, a porta detecta periodicamente se o usuário está online, aplicável à autenticação de endereço MAC.

Tabela 12 - 35 Configurar os parâmetros do temporizador

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure os parâmetros do temporizador dot1x timeout { re-authperiod re-authperiod-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | offline-detect offline-detect-value } Obrigatório Por padrão, o tempo de reautenticação na porta é 3600s; o intervalo de valores é 5-65535; O tempo de silêncio é de 60 anos; o intervalo de valores é 1-65535; O tempo limite do servidor é de 30 segundos; o intervalo de valores é 5-3600; O tempo limite do cliente é de 30 segundos; o intervalo de valores é 5-3600; O tempo de verificação offline do cliente é de 300 segundos; o intervalo de valores é 5-3600;

Configurar função MAB

Quando o terminal passa pela autenticação de endereço MAC e precisa passar pela autenticação do cliente para usar direitos de acesso mais altos, esta função pode ser habilitada.

Tabela 12 - 36 Habilitar a função MAB

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a autenticação 802.1X dot1x port-control { enable | disable } Obrigatório Por padrão, a função de autenticação 802.1X está desabilitada na porta.
Habilite a função de autenticação de endereço MAC dot1x mac-authentication { enable | disable } Obrigatório Por padrão, a função de autenticação de endereço MAC está desabilitada na porta.
Ative a função MAB dot1x after-mac-auth { enable | disable } Obrigatório Por padrão, a função MAB está desabilitada na porta.

Restaurar a configuração padrão da porta

Restaure a configuração padrão da autenticação 802.1X e a autenticação de endereço MAC na porta.

Tabela 12 – 37 Restaurar a configuração padrão da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Restaurar a configuração padrão da porta dot1x default Obrigatório Na porta, desative a autenticação 802.1X e a função de autenticação de endereço MAC; os parâmetros de configuração relacionados são restaurados para os valores padrão e os parâmetros de configuração padrão não entram em vigor.

O comando show dot1x é usado para visualizar os parâmetros de configuração padrão de autenticação detalhada.

Configurar a função de domínio de autenticação forçada da porta

Você pode habilitar essa função quando precisar atribuir à força os usuários autenticados na porta a um domínio especificado para autenticação.

Por padrão, o domínio de autenticação obrigatória da porta não está configurado. O domínio usado para autenticação do usuário usa o domínio carregado pelo nome do usuário. Se o usuário não carrega o domínio, o domínio padrão do módulo aaa é usado.

Após a configuração na porta, a prioridade do domínio utilizado pelo usuário é: domínio configurado na porta > domínio transportado pelo usuário > domínio padrão do módulo aaa.

Tabela 12 – 38 Ativar a função de domínio de autenticação forçada

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ativar a função de domínio de autenticação forçada 802.1X dot1x authentication domain domain-name Obrigatório Por padrão, não configure o domínio de autenticação forçada na porta.

802.1X Monitoramento e Manutenção

Tabela 12 - 39 Monitoramento e manutenção do 802.1X

Comando Descrição
clear dot1x statistic [ interface interface-name | interface link-aggregation link-aggregation-id | mac { mac-address | all } ] Limpar as informações de estatísticas de autenticação
clear dot1x auth-fail-user history [ mac mac-address ] Limpe as informações do registro de falha de autenticação
show authentication user [ interface interface-name | interface link-aggregation link-aggregation-id | mac mac-address | summary ] Exibir as informações do usuário de gerenciamento de autenticação
show authentication intf-status [ interface interface-name | interface link-aggregation link-aggregation-id ] Exibir as informações de status de autenticação
show dot1x Exiba as informações de configuração padrão da autenticação
show dot1x auth-fail-user history [ recent | mac mac-address ] Exibir as informações de falha de autenticação
show dot1x auth-address [ mac-address | interface interface-name | interface link-aggregation link-aggregation-id ] Exibir as informações da lista de hosts autenticáveis
show dot1x config [ interface interface-name | interface link-aggregation link-aggregation-id ] Exibir as informações de configuração de autenticação
show dot1x free-ip Exibir as informações de configuração do canal seguro
show dot1x global config Exibir as informações de configuração global
show dot1x statistic [ interface interface-name | interface link-aggregation link-aggregation-id | mac { mac-address | all } ] Exibir as informações de estatísticas de autenticação
show dot1x user [ interface interface-name | interface link-aggregation link-aggregation-id | summary ] Exibir as informações do usuário

Exemplo de configuração típica de 802.1X

Configurar autenticação baseada em porta 802.1X

Requisitos de rede

  1. O usuário PC1 e PC2 em uma VLAN estão conectados à rede IP via dispositivo. No Dispositivo, habilite o controle de acesso 802.1X;
  2. O modo de autenticação adota a autenticação RADIUS;
  3. Quando o usuário não passar na autenticação, apenas permita o acesso ao Update Server; após o usuário passar na autenticação, permitir o acesso à Rede IP;
  4. Depois que um usuário na LAN passa pela autenticação, os outros usuários na VLAN podem acessar a rede IP sem autenticação.

Topologia de rede

Figura 12 – 6 Rede de configuração da autenticação baseada em porta 802.1X

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Create VLAN2–Vlan5 no dispositivo.

Device#configure terminal
Device(config)# vlan 2-5 
Device(config)#exit

# Configura o tipo de link da interface gigabitethernet 0/2 como Access , permitindo que os serviços da VLAN2 passem

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 2
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet0/3~gigabitethernet0/5 do dispositivo como acesso, permitindo que os serviços de VLAN3-VLAN5 passem respectivamente. (Omitido)

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#exit
  • Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no dispositivo e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin 
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, senha e chave como admin no servidor AAA. (Omitido)

#No servidor AAA, configure o RADIUS para entregar os três atributos de Auto VLAN: 64 é VLAN, 65 é 802 e 81 é VLAN3. (Omitido)

  • Passo 5:Configure a autenticação da porta 802.1X.

#Ative a autenticação 802.1X na porta e o modo de autenticação é baseado em porta.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)# authentication port-method portbased 
Device(config-if-gigabitethernet0/2)#exit

#Configure Guest VLAN da porta como VLAN4.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication guest-vlan 4
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Confira o resultado.

#Antes de passar a autenticação, gigabitethernet0/2 é adicionado ao Guest VLAN. Aqui, os usuários PC1 e PC2 estão na VLAN4 e permitem acessar o Servidor de Atualização.

Device#show vlan 4
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Interface           
---- ---- -------------------------------- ------- --------- -----------------------------
1    4    VLAN0004                         static  Untagged  gi0/2  gi0/4

#Verifique se o PC1 pode passar na autenticação; o servidor de autenticação entrega VLAN3. Aqui, os usuários PC1 e PC2 estão na VLAN3 e podem acessar a rede IP.

Device#show dot1x user
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        3               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar autenticação baseada em Mac 802.1X

Requisitos de rede

  1. O usuário PC1 e PC2 em uma VLAN estão conectados à rede IP via dispositivo. O dispositivo adota o controle de acesso 802.1X;
  2. O modo de autenticação adota a autenticação RADIUS;
  3. Quando o PC não passar na autenticação, apenas permita o acesso ao Servidor de Atualização; após passar a autenticação, só permitir o acesso à Rede IP;
  4. Depois que um usuário na LAN passar pela autenticação, os outros usuários na VLAN ainda não poderão acessar a rede IP sem passar pela autenticação.

Topologia de rede

Figura 12 - 7 Rede de configuração da autenticação baseada em Mac 802.1X

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e interface no dispositivo .

#Create VLAN2–VLAN5 no dispositivo.

Device#configure terminal
Device(config)#vlan 2-5
Device(config)#exit

#Configure o tipo de link da interface gigabitethernet 0/2 como Híbrido , permitindo a passagem de serviços de VLAN2 . Configure PVID como 2 . Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet0/3-gigabitethernet0/5 do dispositivo como acesso, permitindo que os serviços de VLAN3-VLAN5 passem respectivamente. (Omitido)

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#exit
  • Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key   admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, senha e chave como admin no servidor AAA. (Omitido)

#No servidor AAA, configure o RADIUS para entregar os três atributos de Auto VLAN: 64 é VLAN, 65 é 802 e 81 é VLAN3. (Omitido)

  • Passo 5:Configure a autenticação 802.1X.

#Ative a autenticação 802.1X na porta e configure o modo de autenticação como Macbased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#authentication port-method macbased
Device(config-if-gigabitethernet0/2)#exit

#Enable MAC VLAN de gigabitethernet0/2.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac-vlan enable
Device(config-if-gigabitethernet0/2)exit

#Configure Guest VLAN da porta como VLAN4.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication guest-vlan 4
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Confira o resultado.

#Antes de passar a autenticação, gigabitethernet0/2 é adicionado ao Guest VLAN. Aqui. PC1 e PC2 estão em VLAN4, e PC1 e PC2 podem acessar o servidor de atualização.

Device#show vlan 4
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Interface           
---- ---- -------------------------------- ------- --------- -----------------------------
1    4    VLAN0004                         static  Untagged  gi0/2  gi0/4

#Depois que o usuário PC1 inicia a autenticação e passa a autenticação, o usuário PC1 está em Auto VLAN3 e pode acessar a rede IP. Aqui, o PC2 ainda não pode acessar a rede IP sem autenticação.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        3               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

#Após o usuário do PC2 inserir o nome de usuário ou senha errados e falhar na autenticação, o usuário do PC2 está na VLAN4 do Convidado e pode acessar o Servidor de Atualização.

Device#show dot1x user 
--------------------
NO 1  : MAC_ADDRESS= 3883.45ef.f395  STATUS=      Unauth(guest)      USER_NAME=   admin
        VLAN=        4               INTERFACE=   gi0/2              USER_TYPE=   DOT1X
        AUTH_STATE=  GUEST_HELD      BACK_STATE=  IDLE               IP_ADDRESS=  Unknown
        IPV6_ADDRESS= Unknown
                                    
Total:1     Authorized: 0   Unauthorized/guest/critical: 0/1/0   Unknown: 0

Configurar o modo de transmissão transparente 802.1X

Requisitos de rede

  1. O PC está conectado ao Device2 habilitado com o controle de acesso 802.1X via Device1 e conectado à rede IP.
  2. Device1 habilita a função de transmissão transparente; Device2 usa o modo de autenticação RADIUS .
  3. Depois de passar a autenticação, o PC pode acessar a rede IP.

Topologia de rede

Figura 12 - 8 Rede de configuração do modo de transmissão transparente 802.1X

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e interface no Device2.

#Create VLAN2–VLAN3 no Device2.

Device2#configure terminal
Device2(config)#vlan 2-3
Device2(config)#exit

#Configure o tipo de link da interface gigabitethernet 0/1 como Access , permitindo a passagem de serviços da VLAN2 .

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#switchport mode access
Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
Device2(config-if-gigabitethernet0/1)#exit

#Configure o tipo de link de porta em gigabitethernet0/2–gigabitethernet0/3 do Device2 como Access, permitindo que os serviços de VLAN2–VLAN3 passem. (Omitido)

  • Passo 2:Configure o endereço IP da interface do Device2.

#Configure o endereço IP da VLAN3 como 130.255.167.1/24.

Device2(config)#interface vlan 3
Device2(config-if-vlan3)#ip address 130.255.167.1 255.255.255.0
Device2(config-if-vlan3)#exit
  • Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no Device2 e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e a chave como admin no servidor AAA. (Omitido)

  • Passo 5:Configure a porta VLAN do Device1.

#Configure o tipo de link de porta em gigabitethernet0/1-gigabitethernet0/2 do Device1 como Access, permitindo que os serviços da VLAN2 passem. (Omitido)

  • Passo 6:Habilite a função de transmissão transparente 802.1X no Device1.

#Configure o modo de transmissão transparente 802.1X em gigabitethernet0/1 de Device1 e a porta de uplink é gigabitethernet0/2.

Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#dot1x eapol-relay enable
Device1(config-if-gigabitethernet0/1)#dot1x eapol-relay uplink interface gigabitethernet 0/2
Device1(config-if-gigabitethernet0/1)#exit
  • Passo 7:Configure o modo de autenticação 802.1X no Device2.

#Ative a autenticação 802.1X de gigabitethernet0/1 e o modo de autenticação de porta é baseado em porta.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x port-control enable
Device2(config-if-gigabitethernet0/1)# authentication port-method portbased
Device2(config-if-gigabitethernet0/1)#exit
  • Passo 8:Confira o resultado.

O usuário do #PC pode ser autenticado com sucesso e acessar a rede IP.

Device2#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/1             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar autenticação de cliente livre 802.1X

Requisitos de rede

  1. A impressora de rede está conectada à rede IP via dispositivo; O dispositivo adota o controle de acesso 802.1X;
  2. O dispositivo executa regularmente a detecção offline para a impressora de rede.
  3. Use o modo de autenticação RADIUS.
  4. Depois de passar a autenticação, a impressora de rede pode executar a tarefa de impressão da rede IP.

Topologia de rede

Figura 12 - 9 Rede de configuração da autenticação de cliente livre 802.1X

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e interface no dispositivo .

# Crie VLAN2–VLAN3 no dispositivo.

Device#configure terminal
Device(config)#vlan 2-3
Device(config)#exit

# Configure o tipo de link da interface gigabitethernet 0/1 como Access , permitindo a passagem de serviços de VLAN2 .

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

#Configure o tipo de link de porta em gigabitethernet0/2–gigabitethernet0/3 do dispositivo como acesso, permitindo que os serviços de VLAN2–VLAN3 passem. (Omitido)

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN3 como 130.255.167.1/24.

Device(config)#interface vlan 3
Device(config-if-vlan3)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan3)#exit
  • Passo 3:Configure a autenticação AAA.

#Habilite a autenticação AAA no Device2 e adote o modo de autenticação RADIUS. A chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e a chave como admin no servidor AAA. (Omitido)

  • Passo 5:Configure a autenticação 802.1X.

#Configure o modo de autenticação de cliente livre 802.1X e use o endereço MAC da impressora de rede como nome de usuário e senha.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#dot1x mac-authentication enable
Device(config-if-gigabitethernet0/1)#exit

#Configure Dispositivo para realizar a detecção offline da impressora a cada 120 segundos.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#dot1x timeout offline-detect 120
Device(config-if-gigabitethernet0/1)#exit
  • Passo 6:Confira o resultado.

#A impressora de rede pode passar a autenticação e pode executar a tarefa de impressão da rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.f395  STATUS=  Authorized    USER_NAME=   38-83-45-ef-f3-95
         VLAN=        2                INTERFACE=   gi0/1              USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE             IP_ADDRESS=  199.0.0.3
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0  hours 1  minutes 6 seconds
Total: 1     Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Configurar canal seguro

Requisitos de rede

  • Os usuários PC1 e PC2 na mesma VLAN acessam a rede IP através do Device. Habilite o controle de acesso ao canal seguro no dispositivo.
  • A autenticação adota a autenticação RADIUS.
  • O PC1 tem permissão para visitar o Servidor de Atualização antes do sucesso da autenticação e tem permissão para visitar o Servidor de Atualização e a Rede IP após o sucesso da autenticação.
  • O PC2 tem permissão para visitar o servidor de atualização e a rede IP sem autenticação.

Topologia de rede

Figura 8–8 Rede de configuração de canal seguro

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e da interface na interface.

#Crie VLAN2 e VLAN5 no dispositivo.

Device#configure terminal
Device(config)#vlan 2,5
Device(config)#exit

#Configure o tipo de link da interface gigabitethernet0/2 como Acesso, permitindo a passagem de serviços de VLAN2.

Device#configure terminal
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# switchport mode access
Device(config-if-gigabitethernet0/2)# switchport access vlan 2
Device(config-if-gigabitethernet0/2)#end

#Configura o tipo de link da interface gigabitethernet 0/3–gigabitethernet 0/4 como Access on Device, permitindo a passagem de serviços de VLAN2. Configure o tipo de link da interface gigabitethernet 0/5 como Acesso, permitindo a passagem de serviços de VLAN5. (Omitido)

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN5 como 130.255.167.1/24.

Device#configure terminal
Device(config)#interface vlan 5
Device(config-if-vlan5)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan5)#end
  • Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo e adote o modo de autenticação RADIUS. Configure a chave do servidor como admin, a prioridade como 1 e o endereço IP do servidor RADIUS como 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e o valor da chave no servidor AAA como administrador. (Omitido)

  • Passo 5:Configure o canal seguro.

#Habilite o controle de acesso ao canal seguro na interface gigabitethernet 0/2 .

Device#configure terminal
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x free-ip
Device(config-if-gigabitethernet0/2)#exit

#Configure um canal seguro chamado channel e configure para permitir que o PC1 visite o Servidor de Atualização e configure para permitir que o PC2 visite o Servidor de Atualização e a Rede IP .

Device#configure terminal 
Device(config)#hybrid access-list advanced channel
Device (config-adv-hybrid-nacl)#permit ip any any host 199.0.0.10 any Device(config-adv-hybrid-nacl)#permit ip host 199.0.0.2 any any any

#Aplica o canal seguro chamado channel .

Device#configure terminal
Device(config)#global security access-group channel
Device(config)#exit
  • Passo 6:Confira o resultado.

#Visualize as informações de configuração do canal seguro.

Device#show dot1x free-ip 
802.1X free-ip Enable Interface (num:1): gi0/2
                                    
global security access-group channel
                                    
Total free-ip user number    : 0
                                    
                                    
Device#show hybrid access-list channel
hybrid access-list advanced channel
10 permit ip any any host 199.0.0.10 any 
20 permit ip host 199.0.0.2 any any any

Pode-se ver que o canal seguro está habilitado na interface gigabitethernet 0/2 e a interface está vinculada à regra de canal seguro do canal.

#PC1 pode visitar o servidor de atualização e não pode visitar outros recursos de rede antes do sucesso da autenticação.

#Visualize as informações de autenticação do usuário após o usuário PC1 iniciar a autenticação e a autenticação for bem-sucedida.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2           USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.1
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minute 51 seconds
                                    
 Total: 1    Authorized: 1   Unauthorized/guest/critical: 0/0/0   Unknown: 0

Pode ser visto que o usuário PC1 passou na autenticação e então o PC1 pode visitar o Servidor de Atualização e a Rede IP.

#PC2 pode visitar o servidor de atualização e a rede IP sem autenticação.

Configurar o modo de servidor DHCP de autorização de IP

Requisitos de rede

  • O PC está conectado à Rede IP via Dispositivo; Dispositivo habilita o controle de acesso 802.1X;
  • O modo de autenticação adota a autenticação RADIUS.
  • O PC1 obtém o endereço IP por meio do servidor DHCP especificado e pode acessar a rede IP.
  • Após ser configurado para realizar a autenticação de endereço IP estático, o PC2 não pode acessar a rede IP.

Topologia de rede

Figura 12 -10 Rede de configuração de autorização de IP 802.1X Modo de servidor DHCP

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2 e VLAN4 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/5 do dispositivo, configure o tipo de link da porta como acesso, permita a passagem dos serviços da VLAN2 (omitido).

#Configure o tipo de link de porta como Acesso em gigabitethernet0/4 do Dispositivo, permita que os serviços de VLAN4 passem (omitidos).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP das VLANs 4 a130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit
  • Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

  • Passo 5:Configure o servidor DHCP.

#No servidor DHCP, configure o segmento de endereço IP distribuído como 199.0.0.2-199.0.0.10 e a máscara de sub-rede como 255.255.255.0 (omitido).

  • Passo 6:Habilite a função DHCP Snooping no dispositivo e configure a porta gigabitethernet0/5 do dispositivo como porta confiável.
Device(config)#dhcp-snooping
Device(config)#intergice gigabitethernet 0/5
Device(config-if-gigabitethernet0/5)#dhcp-snooping trust
Device(config-if-gigabitethernet0/5)#exit
  • Passo 7:Configure a autenticação 802.1X no dispositivo.

#Ative a autenticação 802.1X de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit

#Configure a autorização de IP de gigabitethernet0/2 como modo de servidor DHCP.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x authorization ip-auth-mode dhcp-server 
Device(config-if-gigabitethernet0/2)#exit

#Ative o keepalive ARP de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x client-probe enable 
Device(config-if-gigabitethernet0/2)#exit
  • Passo 8:Confira o resultado.

O usuário #PC1 pode autenticar com sucesso e pode obter o endereço IP do servidor DHCP e acessar a rede IP.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Authorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2           USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE            IP_ADDRESS=  199.0.0.3
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hours 0 minutes 36 seconds
                                    
Total: 1   Authorized: 1   Unauthorized/guest/critical: 0/0/0 Unknown: 0

#Após a autenticação do usuário PC2, ele está no estado GET-IP e não pode obter o endereço IP.

NO 1   : MAC_ADDRESS= 3883.45ef.f381  STATUS=      Unauthorized      USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  GET_IP          BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hour 0 minute 34 seconds
                                    
Total: 1   Authorized: 0   Unauthorized/guest/critical: 1/0/0 Unknown: 0

#Após a verificação, o PC2 não pode acessar a rede IP.

Configurar VLAN crítica 802.1X

Requisitos de rede

  • O PC está conectado à Rede IP via Dispositivo; Dispositivo habilita o controle de acesso 802.1X;
  • O modo de autenticação adota a autenticação RADIUS.
  • Quando o PC falha ao autenticar porque o servidor não está disponível, permita apenas o acesso ao Update Server.

Topologia de rede

Figura 12 -11 Rede de configuração da VLAN crítica 802.1X

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2, VLAN4 e VLAN5 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4,5
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/5 do dispositivo, configure o tipo de link da porta como acesso, permita que os serviços da VLAN5 passem (omitido).

#Configure o tipo de link de porta como Acesso em gigabitethernet0/4 do Dispositivo, permita que os serviços de VLAN4 passem (omitidos).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit
  • Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

  • Passo 5:Configure a autenticação 802.1X no dispositivo.

#Ative a autenticação 802.1X de gigabitethernet 0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit

#Enable MAC VLAN de gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac-vlan enable
Device(config-if-gigabitethernet0/2)exit

#Configure VLAN crítica da porta como VLAN5.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)# authentication critical-vlan 5
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Confira o resultado.

#Como o servidor está anormal, o dispositivo não pode executar ping no servidor. Como resultado, a autenticação do usuário falha porque o servidor não está disponível. O usuário do PC está na VLAN Crítica e pode acessar o Servidor de Atualização.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984  STATUS=      Unauth(critical)  USER_NAME=   admin
         VLAN=        5               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  CRITICAL_HELD   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
                                    
                                    
 Total: 1   Authorized: 0   Unauthorized/guest/critical: 0/0/1 Unknown: 0

#A porta gigabitethernet0/2 é adicionada à VLAN crítica.

Device#show vlan 5
---- ---- -------------------------------- ------- --------- -----------------------------
NO.  VID  VLAN-Name                        Owner   Mode      Intergice           
---- ---- -------------------------------- ------- --------- -----------------------------
1    5 VLAN5                         static  Untagged  gi0/2  gi0/5

Configurar usando 802.1x com Port Security

Requisitos de rede

  • O PC está conectado à Rede IP via Dispositivo; O dispositivo habilita o controle de acesso 802.1X e a Port Security;
  • O modo de autenticação adota a autenticação RADIUS.
  • Configure a regra de Port Security de não corresponder ao endereço MAC do PC1, e o PC1 pode passar a autenticação e acessar a rede IP.
  • Configure a regra de negação de Port Security para corresponder ao endereço MAC do PC2, e o PC2 não pode passar na autenticação.

Topologia de rede

Figura 12 -12 Rede de configuração usando 802.1X com Port Security

Etapas de configuração

  • Passo 1:Configure o tipo de link da VLAN e a interface no dispositivo.

#Crie VLAN2, VLAN4 e VLAN5 no dispositivo, configure o tipo de link de porta como Híbrido em gigabitethernet0/2, permita que os serviços de VLAN2 passem e configure PVID como 2.

Device#configure terminal
Device(config)#vlan 2,4
Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 2
Device(config-if-gigabitethernet0/2)#exit

#No gigabitethernet0/4 do dispositivo, configure o tipo de link da porta como acesso, permita que os serviços da VLAN4 passem (omitido).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN4 como 130.255.167.1/24.

Device(config)#intergice vlan 4
Device(config-if-vlan4)#ip address 130.255.167.1 255.255.255.0
Device(config-if-vlan4)#exit
  • Passo 3:Configure a autenticação AAA.

#Ative a autenticação AAA no dispositivo, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device(config)#domain system
Device(config-isp-system)# aaa authentication dot1x radius-group radius
Device(config-isp-system)#exit
Device(config)#aaa server group radius radius
Device(config-sg-radius-radius)#server 130.255.167.167 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário e a senha e o valor da chave como admin (omitido).

  • Passo 5:Configure a autenticação 802.1X no dispositivo.

#Habilite a autenticação 802.1X em gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dot1x port-control enable
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Configure a Port Security no dispositivo.

#Ative a Port Security na porta gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security enable
Device(config-if-gigabitethernet0/2)exit

#Configure a regra de Port Security na porta gigabitethernet0/2.

Device(config)#intergice gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#port-security deny mac-address 3883.45EF.7984
Device(config-if-gigabitethernet0/2)exit
  • Passo 7:Confira o resultado.

O usuário #PC1 pode autenticar com sucesso e acessar a rede IP após passar a autenticação.

Device#show dot1x user 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.f381  STATUS=      Authorized        USER_NAME=   admin
         VLAN=        2               INTERFACE=   gi0/2             USER_TYPE=   DOT1X
         AUTH_STATE=  AUTHENTICATED   BACK_STATE=  IDLE              IP_ADDRESS=  Unknown
         IPV6_ADDRESS= Unknown
                                    
         Online time: 0 week 0 day 0 hour 0 minute 1 second
                                    
 Total: 1   Authorized: 1   Unauthorized/guest/critical: 0/0/0 Unknown: 0

O usuário #PC2 não consegue autenticar com sucesso e não consegue acessar a rede.

PORTAL

Visão geral

Visão geral do portal

A autenticação do portal também é conhecida como autenticação da Web, ou seja, autentica o usuário aceitando o nome de usuário e a senha inseridos pelo usuário por meio da página da Web. A tecnologia de autenticação do Portal fornece um método de controle de acesso flexível. Sem instalar o cliente, o controle de acesso pode ser implementado na camada de acesso e na entrada de dados chave que precisa ser protegida. O site de autenticação do portal é geralmente chamado de site do portal.

Quando usuários não autenticados acessam a rede, o dispositivo força os usuários a acessar um site específico, ou seja, o servidor do Portal. Sem autenticação, os usuários podem acessar os serviços gratuitamente, como atualização de programas de aplicativos (como software antivírus e patches do sistema operacional). Quando os usuários precisam utilizar outros recursos na Internet, eles devem autenticar sua identidade na página de autenticação do Portal fornecida pelo servidor do Portal. Eles podem usar os recursos de rede somente depois de passar a autenticação.

Além da flexibilidade de autenticação, o Portal também pode fornecer funções de gerenciamento convenientes. Na página de autenticação do Portal, você pode realizar serviços personalizados como publicidade e notificação.

Composição do Sistema Portal

O método de rede típico do Portal é mostrado na figura a seguir. Ele consiste em quatro elementos: Portal Client, Authentication Device, Portal Server (servidor Portal) e AAA Server (autenticação/autorização/servidor de estatísticas, referido como servidor AAA).

Figura 13 -1 Composição do sistema do portal

  • Cliente Autenticado: Normalmente, é o navegador que executa o protocolo HTTP, e também pode ser o software proprietário do Portal.
  • Dispositivo de autenticação: O dispositivo de autenticação está localizado entre o cliente e o servidor de autenticação. Ele controla o acesso à rede do cliente interagindo com o servidor Portal e o servidor AAA.
  • Servidor do Portal: O sistema do lado do servidor que recebe solicitações de autenticação de clientes de autenticação, fornece serviços de portal gratuitos e interface de autenticação baseada na Web. O Portal Server aceita solicitações de autenticação de clientes de autenticação, extrai as informações de autenticação, interage com dispositivos de autenticação por meio do protocolo do Portal e notifica os clientes de autenticação sobre os resultados da autenticação.
  • Servidor AAA: Normalmente, é o servidor RADIUS (Remote Authentication Dial-In User Service), utilizado para verificar a validade do cliente e notificar o resultado da autenticação ao dispositivo de autenticação. O dispositivo de autenticação controla o acesso à rede do cliente de acordo com o resultado da autenticação.

Modos de autenticação do portal

Em diferentes modos de rede, os modos de autenticação do Portal disponíveis são diferentes, diferenciados pelas camadas de rede que implementam a autenticação do Portal na rede. Os modos de autenticação do Portal são divididos em dois tipos: modo de autenticação L2 e modo de autenticação L3.

  1. Modo de autenticação L2

Suporte a ativação da função de autenticação do Portal na interface L2 do dispositivo de autenticação que conecta o usuário. Os usuários só podem acessar o servidor do Portal configurando manualmente ou DHCP para obter diretamente um endereço IP antes da autenticação; após a autenticação, eles podem acessar os recursos da rede. O modo de autenticação L2 é baseado no controle MAC de origem, que permite que os pacotes com o endereço MAC de origem válido passem após a autenticação.

  1. Modo de autenticação L3

Suporte para habilitar a função de autenticação do Portal na interface L3 do dispositivo de autenticação que conecta o usuário. O modo de autenticação L3 pode ser dividido em modo de autenticação L3 comum e modo de autenticação de atribuição de endereço secundário.

  1. Modo de autenticação L3 comum

Os usuários só podem acessar o servidor Portal e o endereço de acesso livre configurando manualmente ou DHCP para obter diretamente um endereço IP antes da autenticação; após a autenticação, eles podem acessar os recursos da rede. O modo de autenticação L3 comum tem dois modos de controle:

  • Controle baseado no IP de origem: Permitir que o pacote com o IP de origem válido passe após passar a autenticação
  • Controle baseado no IP de origem + MAC de origem: permite que o pacote com o IP de origem válido e o MAC de origem passem após passar a autenticação

Processo de autenticação do portal

Existem dois modos de interação de autenticação entre o servidor do Portal e o dispositivo de autenticação:

  • Interação de autenticação CHAP (Challenge Handshake Authentication Protocol): O nome de usuário e a senha são criptografados para transmitir, com alta segurança
  • Interação de autenticação PAP (Password Authentication Protocol): O nome de usuário e a senha são transmitidos em texto simples, com baixa segurança

Para adotar a interação de autenticação CHAP, o servidor do Portal executará a verificação de handshake de consulta. O desafio é gerado aleatoriamente quando o dispositivo de autenticação recebe o pacote de desafio de solicitação, o comprimento é de 16 bytes e é entregue ao servidor do Portal com o pacote de resposta de desafio.

O processo de autenticação do L2 Portal é o mesmo que o processo normal de autenticação do L3 Portal. O processo de autenticação do Portal da atribuição de endereço secundário possui dois processos de atribuição de endereço, portanto, seu processo de autenticação é diferente dos outros dois modos de autenticação.

  1. O fluxo de autenticação L2 Portal e autenticação L3 Portal comum

O fluxograma é o seguinte:

Figura 13 -2 fluxograma CHAP de autenticação L2/L3 comum Portal

Figura 13 -3 O fluxograma PAP de autenticação do Portal L2/L3 comum

O fluxo da autenticação do Portal L2 e da autenticação do Portal L3 comum:

  1. Os usuários do portal iniciam solicitações de autenticação por meio do protocolo HTTP quando precisam acessar a rede. Quando o pacote HTTP passa pelo dispositivo de autenticação, o dispositivo autenticado permite que o pacote HTTP acesse o servidor do Portal ou com o endereço de acesso livre definido para passar; para o pacote HTTP que acessa outros endereços, o dispositivo de autenticação o intercepta e o redireciona para o servidor do Portal. O servidor Portal fornece a página da Web para que os usuários insiram os nomes de usuário e senhas válidos registrados no servidor de autenticação para iniciar um processo de autenticação.
  2. O servidor do Portal adota a interação de autenticação CHAP para verificar o handshake de consulta e o servidor do Portal solicita o Desafio do dispositivo de autenticação. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
  3. O dispositivo de autenticação gera aleatoriamente o desafio ao receber o pacote de desafio de solicitação , envia o pacote de sucesso de desafio de solicitação e entrega o desafio ao servidor do Portal. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
  4. O servidor do Portal monta o nome de usuário e a senha inseridos pelo usuário em um pacote de autenticação de solicitação e o envia ao dispositivo de autenticação para solicitar a autenticação. Ao mesmo tempo, ative o temporizador para aguardar a resposta de autenticação.
  5. Interaja com o pacote de protocolo RADIUS entre o dispositivo de autenticação e o servidor RADIUS.
  6. O dispositivo de autenticação envia o pacote de sucesso de autenticação para o servidor do Portal.
  7. O servidor do Portal envia o pacote de passagem de autenticação para o cliente de autenticação, informando ao usuário sobre o sucesso da autenticação.
  8. O servidor do Portal envia o pacote de confirmação de sucesso da autenticação para o dispositivo de autenticação.
  1. O fluxo de autenticação do Portal da atribuição de endereço secundário

O fluxograma é o seguinte:

Figura 13 -4 O fluxograma CHAP de atribuição de endereço secundário Autenticação do portal

Figura 13 -5 O fluxograma PAP de atribuição de endereço secundário Autenticação do portal

O fluxograma de autenticação do Portal da atribuição de endereço secundário:

  1. Os usuários do portal iniciam solicitações de autenticação por meio do protocolo HTTP quando precisam acessar a rede. Quando o pacote HTTP passa pelo dispositivo de autenticação, o dispositivo autenticado permite que o pacote HTTP acesse o servidor do Portal ou com o endereço de acesso livre definido para passar; para o pacote HTTP que acessa outros endereços, o dispositivo de autenticação o intercepta e o redireciona para o servidor do Portal. O servidor Portal fornece a página da Web para que os usuários insiram os nomes de usuário e senhas válidos registrados no servidor de autenticação para iniciar um processo de autenticação.
  2. O servidor do Portal adota a interação de autenticação CHAP para verificar o handshake de consulta e o servidor do Portal solicita o Desafio do dispositivo de autenticação. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
  3. O dispositivo de autenticação gera o desafio aleatoriamente ao receber o pacote de desafio de solicitação, envia o pacote de sucesso do desafio de solicitação e entrega o desafio ao servidor do Portal. Adote a interação de autenticação PAP para executar diretamente a etapa (4).
  4. O servidor do Portal monta o nome de usuário e a senha inseridos pelo usuário em um pacote de autenticação de solicitação e o envia ao dispositivo de autenticação para solicitar a autenticação. Ao mesmo tempo, ative o temporizador para aguardar a resposta de autenticação.
  5. Interaja com o pacote de protocolo RADIUS entre o dispositivo de autenticação e o servidor RADIUS.
  6. O dispositivo de autenticação envia o pacote de sucesso de autenticação para o servidor do Portal.
  7. O servidor do Portal envia o pacote de passagem de autenticação para o cliente de autenticação, informando ao usuário sobre o sucesso da autenticação.
  8. Após receber o pacote de senha de autenticação, o cliente obtém o novo endereço IP público via DHCP e informa ao servidor do Portal que o usuário obteve o novo endereço IP.
  9. O dispositivo de autenticação descobre a alteração do endereço IP do usuário detectando a entrada DHCP Snooping, modifica o endereço IP do usuário e envia o pacote de alteração do endereço IP do usuário para informar que o servidor do Portal detectou a alteração do IP do usuário.
  10. O servidor do Portal informa ao cliente que ficou online com sucesso.
  11. O servidor do Portal envia o pacote de confirmação de alteração de endereço IP do usuário para o dispositivo de autenticação.

Suporte para entrega de ACL

ACL (Access Control List) fornece a função de controlar o acesso do usuário aos recursos da rede e restringir a autoridade de acesso dos usuários. Quando o usuário estiver online, e se a ACL autorizada estiver configurada no servidor, o dispositivo controlará o fluxo de dados da porta do usuário de acordo com a ACL autorizada emitida pelo servidor. Antes de configurar a ACL autorizada no servidor, é necessário configurar as regras correspondentes no dispositivo. A autenticação L2 Portal suporta a entrega da ACL padrão IP e ACL estendida IP, e a autenticação L3 Portal suporta a entrega da ACL estendida IP, mas os itens correspondentes das regras ACL configuradas suportam a adição de “IP de origem + MAC de origem”.

Configuração da Função do Portal

Tabela 13 – 1 Lista de configuração da função do Portal

Tarefa de configuração
Configurar o servidor e os atributos do Portal Criar um servidor de portal
Configurar o tipo de servidor do Portal
Configurar a função de detecção do servidor do Portal
Configure a interface de origem usada enviando o pacote do Portal
Configure o número da porta UDP de destino para enviar o pacote offline forçado pelo usuário
Configure a função de autenticação do Portal L2 Habilite a função de autenticação do Portal L2
Configure os atributos de autenticação do Portal L2 Configurar o modo de controle de acesso à porta
Configure a função de autenticação do Portal L3 Habilite a função de autenticação do Portal L3 comum
Configurar e aplicar canal seguro
Configurar os atributos públicos Configurar o máximo de usuários da interface
Configurar a função de migração de autenticação do usuário
Configure se deseja carregar o nome de domínio
Configure os parâmetros do temporizador
Configurar a lista de métodos de autenticação
Configurar a lista de métodos de estatísticas

Configurar o Portal Server e os Atributos

Condição de configuração

Nenhum

Criar um servidor de portal

Crie um servidor do Portal e especifique os parâmetros relacionados do servidor do Portal, incluindo o endereço IP do servidor, chave criptografada compartilhada, número da porta do servidor e URL do servidor (o endereço da página de autenticação do servidor).

Tabela 13 – 2 Criar um servidor de Portal

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Criar um servidor de portal portal server server-name ip ip-address key [ 0 | 7 ] key-string [ port udp-port-num | url url-string ] Opcional Por padrão, não crie um servidor do Portal.

O protocolo do Portal suporta apenas o protocolo IPv4. Até 5 servidores do Portal são criados no dispositivo de autenticação. Os parâmetros do servidor Portal configurados podem ser excluídos ou modificados somente quando o servidor Portal não é referenciado pela interface. As chaves de compartilhamento configuradas no dispositivo de autenticação e no servidor do Portal devem ser consistentes.

Configurar o tipo de servidor do portal

A configuração do tipo de servidor do Portal tem dois aspectos de funções:

  • Diferentes servidores do Portal fazem algumas expansões nas especificações do protocolo padrão do Portal.
  • Quando o servidor do Portal não está configurado com a URL do servidor, o servidor do Portal usa a URL do servidor padrão do tipo correspondente para redirecionar.

Os seguintes tipos de servidor podem ser especificados:

aas: O servidor AAS, URL do servidor padrão: http://IP-ADDRESS/portal/Login.do

imc: O servidor IMC, URL do servidor padrão: http://IP-ADDRES:8080/porta

definido pelo usuário: servidor definido pelo usuário. O formato de URL do servidor padrão segue a especificação de protocolo <especificação de protocolo PORTAL para o serviço China Mobile WLAN v2.0.2>.

Tabela 13 – 3 Configurar o tipo de servidor do Portal

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o tipo de servidor do Portal portal server server-name type { aas | imc | user-defined } Opcional Por padrão, o tipo de servidor é AAS.

Configurar a função de detecção do servidor do portal

No processo de autenticação do Portal, se a comunicação entre o dispositivo de autenticação e o servidor do Portal for interrompida, os novos usuários não poderão ficar online e os usuários do Portal online existentes não poderão ficar offline normalmente. Para resolver esses problemas, é necessário que o dispositivo de autenticação possa detectar a tempo a mudança do estado alcançável do servidor do Portal e acionar as operações correspondentes para lidar com o impacto da mudança. Por exemplo, quando um servidor do Portal especificado não estiver acessível, todos os usuários que se autenticarem usando o servidor do Portal serão forçados a passar a autenticação para acessar os recursos da rede, que é comumente chamada de função de escape do Portal.

Com a função de detecção, o dispositivo de autenticação pode detectar o status alcançável do servidor do Portal. A configuração específica é a seguinte:

  1. O intervalo para detectar se o servidor está acessível
  2. A ação quando o status alcançável do servidor muda
  3. Gravar o log: Grave as informações de log quando o status alcançável do servidor do Portal for alterado
  4. Limitação do usuário aberto: Quando o status alcançável do servidor do Portal for alterado, registre as informações de log. Quando o servidor do Portal especificado estiver inacessível, todos os usuários que utilizam o servidor do Portal para autenticação são forçados a passar a autenticação. Quando o servidor do Portal estiver acessível novamente, force o usuário que é forçado a passar na autenticação usando o servidor do Portal a ficar offline.
  5. Tabela 13 – 4 Configurar a função de detecção do servidor do Portal

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Configure o intervalo de detecção do servidor do Portal portal server server-name detect-interval detect-interval-value Opcional Por padrão, o intervalo de detecção do servidor do Portal é de 60 segundos e o intervalo de valores é de 20 a 600 segundos ou 0. Quando configurado como 0, não detecta o servidor do Portal.
    Configure a ação quando o status alcançável do servidor do Portal for alterado portal server server-name failover { log | permit } Opcional Por padrão, registre as informações de log quando o status alcançável do servidor do Portal for alterado.

    Configurar a interface de origem usada enviando o pacote do portal

    Especifique a interface de origem usada enviando o pacote do Portal. O endereço IP mestre configurado na interface de origem é o endereço de origem usado pelo dispositivo de autenticação para enviar o pacote do Portal ao servidor do Portal. Se não houver endereço IP mestre na interface de origem, a comunicação falhará.

    Tabela 13 – 5 Configure a interface de origem usada enviando o pacote do Portal

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Configure a interface de origem usada enviando o pacote do Portal portal server server-name source-interface interface-name Opcional Por padrão, não especifique a interface de origem usada ao enviar o pacote do Portal, ou seja, considere a interface de conexão do usuário como a interface de origem do envio do pacote do Portal.

    Configurar o número da porta UDP de destino do pacote offline forçado pelo usuário

    O número da porta de algum servidor para receber o pacote offline forçado pelo usuário é o número da porta UDP especificado, portanto, é necessário configurar o número da porta UDP de destino do pacote offline forçado pelo usuário.

    Tabela 13 – 6 Configure o número da porta UDP de destino do pacote offline forçado pelo usuário

    Etapa Comando Descrição
    Entre no modo de configuração global configure terminal -
    Configure o número da porta UDP de destino do pacote offline forçado pelo usuário portal server server-name ntf-logout-port udp-port-num Opcional Por padrão, não especifique o número da porta UDP de destino do pacote offline forçado pelo usuário, mas adote o número da porta do servidor como o número da porta UDP de destino do pacote offline forçado pelo usuário.

Configurar a função de autenticação do portal L2

Condição de configuração

Para habilitar a função de autenticação L2 Portal, é necessário atender às seguintes condições:

  • O servidor do Portal é criado no dispositivo de autenticação

Ativar a função de autenticação do portal L2

Habilite a autenticação do Portal L2 na porta de conexão do usuário no dispositivo de autenticação. A autenticação do Portal L2 controla com base no MAC de origem, permitindo a passagem do pacote autenticado com o endereço MAC de origem válido.

Tabela 13 – 7 Habilite a função de autenticação do Portal L2

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a função de autenticação do Portal L2 portal server server-name method layer2 Obrigatório Por padrão, a função de autenticação L2 Portal da porta está desabilitada.

O modo de autenticação L2 Portal não suporta a entrega de VLAN. Em uma porta, você não pode configurar a autenticação L2 Portal ou a função 802.1X Free-IP ao mesmo tempo. Quando a autenticação L2 Portal está habilitada em uma porta, a interface VLAN correspondente não pode habilitar a autenticação L3 Portal. Caso contrário, a configuração falha. Quando a porta habilitada com a autenticação L2 Portal for adicionada à interface VLAN habilitada com a autenticação L3 Portal, limpe a configuração de autenticação L2 Portal da porta automaticamente e registre o log de autolimpeza da configuração ao mesmo tempo.

Configurar atributos de autenticação do portal L2

Condição de configuração

Nenhum

Configurar o modo de controle de acesso à porta

Existem dois modos de controle de acesso à porta: modo de controle de acesso baseado em porta e modo de controle de acesso baseado em usuário.

Modo de controle de acesso baseado em porta (Portbased): Permitir apenas que um usuário passe a autenticação na porta

Modo de controle de acesso baseado em usuário (Macbased): Na porta, permite que vários usuários passem pela autenticação; os usuários na porta podem acessar a rede somente após passar a autenticação.

O modo de controle de acesso baseado em porta é dividido em dois tipos: modo multi-host e modo de host único.

Modo multi-host (Multi-hosts): Depois que um usuário na porta passa pela autenticação, os outros usuários na porta podem acessar a rede sem autenticação.

Modo de host único (Single-host): Na porta, permite apenas que um usuário passe a autenticação e acesse a rede, e os outros usuários não podem acessar a rede e não podem passar a autenticação.

Tabela 13 – 8 Configurar o modo de controle de acesso à porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configurar o modo de controle de acesso authentication port-method { macbased | portbased } Obrigatório Por padrão, habilite o modo de autenticação do usuário na porta.
Modo de controle de acesso baseado em porta authentication port-method portbased host-mode { multi-hosts | single-host } Opcional Por padrão, habilite o modo de autenticação multi-host na porta.

Ao configurar o modo de host no modo de controle de acesso baseado em porta, é necessário garantir que o modo de controle de acesso tenha sido configurado como modo de controle de acesso baseado em porta (Portbased).

Configurar a função de autenticação do portal L3

Condição de configuração

Para habilitar a função de autenticação do Portal L3, é necessário atender à seguinte condição:

  • O servidor do Portal é criado no dispositivo de autenticação

Ativar a função de autenticação do portal L3 comum

Na interface L3 do dispositivo de autenticação que conecta o usuário, ative a função de autenticação do Portal L3 comum. O modo de autenticação L3 comum tem dois modos de controle:

  • Controle baseado no IP de origem: Permitir que o pacote autenticado com o IP de origem válido passe
  • Controle baseado no IP de origem + MAC de origem: permite a passagem do pacote autenticado com o IP de origem válido e o endereço MAC de origem

Tabela 13 – 9 Habilitar a função de autenticação do Portal L3 comum

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Habilite a função de autenticação do Portal L3 comum portal server server-name method layer3 [ ip | ip-mac ] Obrigatório Por padrão, a função de autenticação do Portal L3 comum está desabilitada.

Você não pode habilitar a autenticação 802.1X e a função de autenticação MAC na porta que está habilitada com a autenticação L3 Portal comum. Você não pode habilitar a função de autenticação L2 Portal na porta que está habilitada com a autenticação L3 Portal comum. Quando a porta habilitada com a autenticação L2 Portal é adicionada à interface VLAN habilitada com a autenticação L3 Portal comum, a autenticação L2 Portal será desabilitada.

Habilite a função de autenticação do portal de atribuição de endereço secundário

Habilite a função de autenticação do Portal da atribuição de endereço secundário na interface L3 do usuário de autenticação que conecta o usuário. A função de autenticação do Portal da atribuição de endereço secundário controla com base no IP de origem + MAC de origem, permitindo a passagem do pacote autenticado com o IP de origem válido e o endereço MAC de origem.

Para configurar a função de autenticação do Portal de atribuição de endereço secundário, é necessário atender às seguintes condições:

  • Configure os endereços IP ativos e em espera na interface
  • As funções DHCP Relay e DHCP Snooping precisam ser configuradas no dispositivo de autenticação.

Tabela 13 – 10 Habilite a função de autenticação do Portal da atribuição de endereço secundário

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Habilite a função de autenticação do Portal da atribuição de endereço secundário portal server server-name method redhcp Obrigatório Por padrão, a função de autenticação do Portal da atribuição de endereço secundário é desativada na interface.

Você não pode habilitar a autenticação 802.1X e a função de autenticação MAC na porta que está habilitada com a interface de autenticação do Portal da atribuição de endereço secundário. Você não pode ativar a função de autenticação do Portal L2 na porta que está ativada com a interface de autenticação do Portal da atribuição de endereço secundário. Quando a porta habilitada com a autenticação L2 Portal é adicionada à interface VLAN habilitada com a autenticação Portal da atribuição de endereço secundário, a autenticação L2 Portal será desabilitada. O modo de autenticação do Portal da atribuição de endereço secundário precisa ser suportado pelo cliente do Portal e pelo servidor do Portal ao mesmo tempo. Caso contrário, a autenticação não pode ser feita.

Configurar e aplicar canal seguro

Depois de habilitar a função de autenticação L3 na interface L3, é necessário configurar e aplicar o canal seguro se espera permitir que os usuários do terminal acessem os recursos na rede especificada sem autenticação ou especificar os usuários do terminal específico para acessar os recursos da rede sem autenticação.

A configuração das regras de canal seguro pode ser dividida nos seguintes tipos:

  • Configure o usuário do terminal para permitir o acesso aos recursos de rede especificados
  • Configure o usuário do terminal especificado para permitir o acesso aos recursos da rede

Tabela 13 – 11 Aplicar o canal seguro

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o canal seguro hybrid access-list advanced { access-list-number | access-list-name } Obrigatório Por padrão, o canal seguro não está configurado no dispositivo.
Configurar as regras de canal seguro [ sequence ] permit protocol { any | source-ip-addr source-wildcard | host source-ip-addr } { any | source-mac-addr source-wildcard | host source-mac-addr } { any | destination-ip-addr destination-wildcard | host destination-ip-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } Obrigatório Por padrão, não há regra de canal seguro no canal seguro.
Aplicar o canal seguro global security access-group { access-group-number | access-group-name } Obrigatório Por padrão, não aplique nenhum canal seguro no sistema.

O dispositivo pode configurar vários canais seguros e um canal seguro pode ser configurado com várias regras de canal seguro. O tipo de canal seguro só pode ser a ACL avançada mista. No dispositivo, permita apenas a aplicação de um canal seguro.

Configurar atributos públicos

Condição de configuração

Nenhum

Configurar máx. Usuários da interface

Se os usuários autenticados na interface atingirem o limite configurado, o sistema de autenticação não responderá às solicitações de autenticação dos novos usuários. O intervalo de valores do máximo de usuários da interface L2 é 1-4096. O intervalo de valores do máximo de usuários da interface L3 é de 1 a 500.

Tabela 13 – 12 Configurar o máximo de usuários da interface

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação. Depois de entrar no modo de configuração de interface, a configuração subsequente apenas entra em vigor na interface atual.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Entre no modo de configuração da interface interface interface-name
Configurar o máximo de usuários da interface authentication max-user-num max-user-num-value Obrigatório Por padrão, o número máximo de usuários permitidos para conexão na interface é 256.

Na interface L2, é necessário configurar como o modo de controle de acesso baseado no usuário (Macbased). Caso contrário, o número configurado de usuários que podem se conectar não terá efeito.

Configurar a função de transferência de autenticação do usuário

A função de transferência de autenticação do usuário se aplica ao cenário em que o mesmo usuário transfere de uma porta de autenticação do mesmo dispositivo para outra. Quando a função de transferência de autenticação do usuário está desabilitada, o usuário não tem permissão para iniciar a autenticação em outra porta de autenticação do dispositivo após ser autenticado em uma porta do dispositivo; quando a função de transferência de autenticação do usuário está habilitada e depois que o usuário é autenticado em uma porta, o dispositivo primeiro exclui as informações de autenticação na porta original após detectar que o usuário transfere para outra porta de autenticação e, em seguida, permite que o usuário inicie a autenticação na nova porta de autenticação

Independentemente de a função de transferência de autenticação do usuário estar habilitada ou não, o dispositivo gravará o log ao detectar que o usuário transfere entre as portas de autenticação.

Tabela 13 -13 Configurar a função de transferência de autenticação do usuário

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação. Depois de entrar no modo de configuração de interface, a configuração subsequente apenas entra em vigor na interface atual.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Entre no modo de configuração da interface interface interface-name
Configurar a função de migração de autenticação do usuário authentication station-move { enable | disable } Obrigatório Por padrão, a função de migração de autenticação do usuário está desabilitada.

Configurar se deve levar o nome de domínio

Em alguns cenários, quando o cliente inicia a autenticação, o nome de usuário carrega automaticamente o nome de domínio e o usuário que carrega o nome de domínio não consegue se autenticar no servidor de autenticação. Para evitar esse caso, o dispositivo de autenticação pode configurar se o formato de nome de usuário de autenticação enviado ao servidor de autenticação carrega o nome de domínio.

Tabela 13 – 14 Configure se deve levar o nome de domínio

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação. Depois de entrar no modo de configuração de interface, a configuração subsequente apenas entra em vigor na interface atual.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Entre no modo de configuração da interface interface interface-name
Configure se deseja carregar o nome de domínio portal user-name-format { with-domain | without-domain } Obrigatório Por padrão, carregue o nome de domínio.

Configurar parâmetros do temporizador

Na interface, os parâmetros do temporizador contêm temporizador de tempo limite de autenticação, temporizador de tempo limite autenticado, temporizador de detecção de inatividade e temporizador de silêncio.

Temporizador de tempo limite de autenticação (período de autenticação): Ao detectar que existe o pacote do cliente, habilite o temporizador de tempo limite de autenticação. Após o timer expirar e se não houver resultado de autenticação, o cliente será excluído.

Temporizador de tempo limite autenticado (autenticado-período): quando o cliente for autenticado com sucesso, habilite o temporizador de tempo limite autenticado. Após o tempo limite do temporizador, force a exclusão das informações do cliente autenticado.

Temporizador de detecção de inatividade (período de inatividade): Quando o cliente for autenticado com sucesso, habilite o temporizador de detecção de inatividade. Após detectar que o cliente está offline, force a exclusão das informações do cliente autenticado.

Temporizador de silêncio (período de silêncio): após a falha na autenticação do cliente, habilite o temporizador de silêncio. Após o tempo limite do temporizador de silêncio, o dispositivo de autenticação responde à solicitação de autenticação do cliente novamente.

Os novos horários só podem ser válidos para o usuário de autenticação online subsequente, não são válidos para o usuário de autenticação online.

Tabela 13 - 15 Configurar os parâmetros do temporizador

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação. Depois de entrar no modo de configuração de interface, a configuração subsequente apenas entra em vigor na interface atual.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Entre no modo de configuração da interface interface interface-name
Configure os parâmetros do temporizador portal timeout { authenticating-period authenticating-period-value | authenticated-period authenticated-period-value | idle-period idle-period-value | quiet-period quiet-period-value } Obrigatório Por padrão, o tempo do timer de tempo limite de autenticação é 120s e o intervalo de valores é 15-300; o tempo do timer de tempo limite autenticado é 3600s e o intervalo de valores é 300-864000; o tempo do temporizador de detecção de inatividade é 300s, 0 ou 180-1800; o tempo de silêncio é 60 e o intervalo de valores é 15-3600.

Configurar lista de métodos de autenticação

Configure a lista de métodos de autenticação usada pelo usuário do Portal. Quando o nome de usuário do usuário do Portal carrega o nome de domínio, use a lista de métodos de autenticação especificada pelo nome de domínio. Quando o nome de usuário do usuário do Portal não possuir o nome de domínio, use a lista de métodos de autenticação configurados.

Tabela 13 - 16 Configurar a lista de métodos de autenticação

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a lista de métodos de autenticação de conexão portal authentication method-list { default | list-name } Opcional Por padrão, use a lista de métodos de autenticação padrão.

Configurar lista de métodos de estatísticas

Configure a lista de métodos de estatísticas usada pelo usuário do Portal. Quando o nome de usuário do usuário do Portal carrega o nome de domínio, use a lista de métodos de estatísticas especificada pelo nome de domínio; quando o nome de usuário do usuário do Portal não possuir o nome de domínio, use a lista de métodos de estatísticas configuradas.

Tabela 13 - 17 Configurar a lista de métodos de estatísticas

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a lista de métodos de estatísticas de conexão portal accounting method-list { default | list-name } Opcional Por padrão, use a lista de métodos de estatísticas padrão.

Monitoramento e manutenção do portal

Tabela 13 - 18 Monitoramento e manutenção do portal

Comando Descrição
clear portal user { ip ip-address | mac mac-address | all | interface interface-name | link-aggregation link-aggregation-id } Forçar o usuário do Portal offline
clear portal auth-fail-user history [ ip ip-address ] Limpe as informações do registro de falha de autenticação
clear portal statistic [ interface interface-name | link-aggregation link-aggregation-id ] Limpar as informações de estatísticas de autenticação
show authentication user [ip ip-address | mac mac-address | all | interface interface-name | link-aggregation link-aggregation-id | summary ] Exibir as informações do usuário de gerenciamento de autenticação
show authentication intf-status [ interface interface-name | link-aggregation link-aggregation-id ] Exibir as informações de status de autenticação
show portal Exibir as informações de configuração padrão autenticadas
show portal auth-fail-user history [ ip ip-address | recent ] Exibir as informações de falha de autenticação
show portal config [ interface interface-name | link-aggregation link-aggregation-id ] Exibir as informações de configuração de autenticação
show portal global config Exibir as informações de configuração global
show portal server Exibir as informações do servidor do Portal
show portal statistic [ interface interface-name | link-aggregation link-aggregation-id ] Exibir as informações de estatísticas de autenticação
show portal user [ ip ip-address | mac mac-address | interface interface-name | link-aggregation link-aggregation-id | summary ] Exibir as informações do usuário

Exemplo de configuração típica do portal

Configurar a autenticação baseada em porta da autenticação do portal L2

Requisitos de rede

  • PC1 e PC2 em uma LAN são conectados à rede IP via Device, habilitam a função de autenticação L2 Portal no Device e configuram o modo de autenticação como Portabased.
  • O modo de autenticação adota a autenticação RADIUS.
  • O usuário não autenticado pode acessar apenas o Portal Server e o usuário autenticado pode acessar a Rede IP.
  • Depois que um usuário na LAN passa pela autenticação, os outros usuários na LAN podem acessar a rede IP sem autenticação.

Topologia de rede

Figura 13 -6 Rede de configuração da autenticação baseada em porta da autenticação L2 Portal

Etapas de configuração

  • Passo 1:Configure a VLAN e o tipo de link de porta no dispositivo.

#Criar VLAN129 no dispositivo.

Device#configure terminal
Device(config)#vlan 129
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN129.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 129
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet 0/3-gigabitethernet 0/5 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN129 (omitido).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN129 como 129.255.43.10/24.

Device(config)#interface vlan 129
Device(config-if-vlan129)#ip address 129.255.43.10 255.255.255.0
Device(config-if-vlan129)#exit
  • Passo 3:Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, o endereço do servidor RADIUS é 129.255.43.90/24, o valor da chave é admin e a prioridade é 1.

Device#configure terminal
Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 129.255.43.90 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e o valor da chave como admin no servidor AAA (omitido).

  • Passo 5:Configure a autenticação do Portal L2.

#No Dispositivo, configure o servidor do Portal denominado server1.

 Device(config)# portal server server1 ip 129.255.43.99 key admin url http://129.255.43.99:8080/portal

#No dispositivo, habilite a autenticação do portal L2 e o modo de autenticação é Portased.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#portal server server1 method layer2
Device(config-if-gigabitethernet0/2)#authentication port-method portbased 
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Configure o servidor do Portal.

#No servidor do Portal, configure o endereço IP, o endereço do dispositivo e a chave do PC1 como admin (omitido).

  • Passo 7:Confira o resultado.

#Antes de passar a autenticação, tanto o PC1 quanto o PC2 podem acessar apenas o Portal Server.

#PC1 pode passar a autenticação. Tanto o PC1 quanto o PC2 podem acessar a rede IP.

Device#show portal user 
--------------------
NO 1   : IP_ADDRESS= 129.255.43.1   STATUS= Authorized    USER_NAME=   admin            
         INTERFACE=  gi0/2          CTRL_METHOD= L2_MAC   AUTH_STATE=  AUTHENTICATED
         BACK_STATE= AAA_SM_IDLE    VLAN= 129             MAC_ADDRESS= 00E0.4C47.01DB
                                    
  Total: 1    Authorized: 1    Unauthorized/Guest/Critical: 0/0/0

Configurar autenticação baseada em Mac da autenticação do portal L2

Requisitos de rede

  • PC1 e PC2 em uma LAN estão conectados à rede IP via dispositivo, habilitam a função de autenticação L2 Portal no dispositivo e configuram o modo de autenticação como baseado em Mac.
  • O modo de autenticação adota a autenticação RADIUS.
  • O usuário não autenticado pode acessar apenas o Portal Server e o usuário autenticado pode acessar a Rede IP.
  • Depois que um usuário na LAN passa a autenticação, o usuário pode acessar a rede IP e os outros usuários na LAN podem acessar a rede IP depois de passar a autenticação.

Topologia de rede

Figura 13 -7 Rede de configuração da autenticação baseada em Mac da autenticação L2 Portal

Etapas de configuração

  • Passo 1:Configure a VLAN e o tipo de link de porta no dispositivo.

#Criar VLAN129 no dispositivo.

Device#configure terminal

Device(config)#vlan 129 
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN129.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 129
Device(config-if-gigabitethernet0/2)#exit

#Configure o tipo de link de porta em gigabitethernet 0/3-gigabitethernet 0/5 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN129 (omitido).

  • Passo 2:Configure o endereço IP da interface do Dispositivo.

#Configure o endereço IP da VLAN129 como 129.255.43.10/24.

Device(config)#interface vlan 129
Device(config-if-vlan129)#ip address 129.255.43.10 255.255.255.0
Device(config-if-vlan129)#exit
  • Passo 3:Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, o endereço do servidor RADIUS é 129.255.43.90/24, o valor da chave é admin e a prioridade é 1.

Device#configure terminal
Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 129.255.43.90 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#Configure o nome de usuário, a senha e o valor da chave como admin no servidor AAA (omitido).

  • Passo 5:Configure a autenticação do portal L2.

#No Dispositivo, configure o servidor do Portal denominado server1.

Device(config)# portal server server1 ip 129.255.43.99 key admin url http://129.255.43.99:8080/portal

#No dispositivo, habilite a autenticação do portal L2 e o modo de autenticação é baseado em Mac.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#portal server server1 method layer2
Device(config-if-gigabitethernet0/2)#authentication port-method macbased
Device(config-if-gigabitethernet0/2)#exit
  • Passo 6:Configure o servidor do Portal.

#No servidor do Portal, configure o endereço IP, o endereço do dispositivo e a chave do PC1 como admin (omitido).

  • Passo 7:Confira o resultado.

#Antes de passar a autenticação, tanto o PC1 quanto o PC2 podem acessar apenas o Portal Server.

#PC1 pode passar a autenticação. O PC1 pode acessar a rede IP e o PC2 não pode acessar a rede IP.

Device#show portal user 
--------------------
NO 1   : IP_ADDRESS= 129.255.43.1   STATUS= Authorized    USER_NAME=   admin            
         INTERFACE=  gi0/2          CTRL_METHOD= L2_MAC   AUTH_STATE=  AUTHENTICATED
         BACK_STATE= AAA_SM_IDLE    VLAN= 129             MAC_ADDRESS= 00E0.4C47.01DB
  Total: 1    Authorized: 1    Unauthorized/Guest/Critical: 0/0/0

Configurar autenticação de portal L3 comum

Requisitos de rede

  • PC1 e PC2 em uma LAN estão conectados à rede IP via dispositivo e habilitam a autenticação normal do portal L3 no dispositivo.
  • O modo de autenticação adota a autenticação RADIUS.
  • Antes de passar a autenticação, o PC1 só pode acessar o Servidor de Atualização. Depois de passar a autenticação, o PC1 pode acessar a rede IP.
  • PC2 pode acessar o servidor de atualização.

Topologia de rede

Figura 13 -8 Rede de configuração da autenticação do Portal L3 comum

Etapas de configuração

  • Passo 1: Crie as VLANs

#No dispositivo, crie VLAN128, VLAN129, VLAN130 e VLAN131.

Device#configure terminal

Device(config)#vlan 128,129,130,131
Device(config)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN128.

Device#configure terminal

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 128
Device(config-if-gigabitethernet0/2)#end

#Configure o tipo de link de porta em gigabitethernet0/1 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN131. Configure o tipo de link de porta em gigabitethernet0/3 do Dispositivo como Acesso, permitindo a passagem dos serviços da VLAN130. Configure o tipo de link de porta em gigabitethernet0/4-gigabitethernet 0/5 do dispositivo como acesso, permitindo a passagem dos serviços da VLAN129. (omitido)

  • Passo 2:Configure o endereço IP da interface do Dispositivo, garantindo que a rota de rede seja alcançável.

#Configure o endereço IP da VLAN128 como 128.255.36.10/24.

Device#configure terminal
Device(config)#interface vlan 128
Device(config-if-vlan128)#ip address 128.255.36.10 255.255.255.0
Device(config-if-vlan128)#end

#Configure o endereço IP da VLAN129 como 129.255.43.10/24.

Device#configure terminal
Device(config)#interface vlan 129
Device(config-if-vlan129)#ip address 129.255.43.10 255.255.255.0
Device(config-if-vlan129)#end

#Configure o endereço IP da VLAN130 como 130.255.28.10/24.

Device#configure terminal
Device(config)#interface vlan 130
Device(config-if-vlan130)#ip address 130.255.28.10 255.255.255.0
Device(config-if-vlan130)#end

#Configure o endereço IP da VLAN131 como 131.255.28.10/24.

Device#configure terminal
Device(config)#interface vlan 131
Device(config-if-vlan131)#ip address 131.255.28.10 255.255.255.0
Device(config-if-vlan131)#end
  • Passo 3:Configure a autenticação AAA.

#No dispositivo, habilite a autenticação AAA, adote o modo de autenticação RADIUS, o endereço do servidor RADIUS é 129.255.43.90/24, o valor da chave é admin e a prioridade é 1.

Device#configure terminal
Device(config)#aaa new-model
Device(config)#aaa authentication connection default radius
Device(config)#radius-server host 129.255.43.90 priority 1 key admin
  • Passo 4:Configure o servidor AAA.

#No servidor AAA, configure o nome de usuário, a senha e o valor da chave como admin (omitido).

  • Passo 5:Configure a autenticação do Portal L3 comum.

#No Dispositivo, configure o servidor do Portal denominado server1.

Device(config)# portal server server1 ip 129.255.43.99 key admin url http://129.255.43.99:8080/portal

#No Dispositivo, habilite a autenticação do Portal L3 comum.

Device#configure terminal
Device(config)#interface vlan 128
Device(config-if-vlan128)#portal server server1 method layer3 ip
Device(config-if-vlan128)#exit

#Configure um canal seguro denominado canal, permitindo que PC1 e PC2 acessem o Servidor de Atualização.

Device#configure terminal 
Device(config)#hybrid access-list advanced channel
Device(config-adv-hybrid-nacl)#permit ip any any host 130.255.28.20 any

#Aplica o canal seguro chamado channel.

Device#configure terminal
Device(config)#global security access-group channel
Device(config)#exit
  • Passo 6:Configure o servidor do Portal.

#No servidor do Portal, configure o endereço IP, os adders do dispositivo e o valor da chave do PC1 como admin (omitido).

  • Passo 7:Confira o resultado.

#Consulte as informações de configuração do canal seguro. Device#show portal global config

  portal global configuration information:
  authentication method list   : default
  accounting method list       : default
                                    
  global security access-group : channel

#Antes de passar a autenticação, o PC1 pode acessar o servidor de atualização e não pode acessar a rede IP.

#PC1 pode passar a autenticação e pode acessar o servidor de atualização e a rede IP. PC2 pode acessar o servidor de atualização e não pode acessar a rede IP.

Device#show portal user
--------------------
NO 1:IP_ADDRESS= 128.255.36.1   STATUS=      Authorized      USER_NAME=   admin
     INTERFACE=  vlan128        CTRL_METHOD= L3_IP           AUTH_STATE=  AUTHENTICATED
     BACK_STATE= AAA_SM_IDLE
                                    
  Total: 1    Authorized: 1    Unauthorized/Guest/Critical: 0/0/0

Acesso a dispositivos confiáveis

Visão geral

Para proteger a rede principal de ser acessada ilegalmente, o dispositivo de borda da rede principal deve ter alta segurança. Isso requer que outros dispositivos de rede conectados ao dispositivo de borda da rede principal sejam um dispositivo claramente confiável. A função de acesso a dispositivos confiáveis é baseada em um protocolo 802.1X maduro para impedir que dispositivos não autorizados acessem a rede principal. A topologia de rede básica, conforme mostrado na Figura 7-1, inclui três entidades: o Dispositivo de Acesso, o Sistema de Autenticação e o Sistema Servidor de Autenticação.

Figura 14 -1 O diagrama de topologia de acesso do dispositivo confiável

O método específico de acesso ao dispositivo confiável é o seguinte:

  • Ative a função de acesso do dispositivo confiável no dispositivo de acesso e configure as credenciais de identidade necessárias e os parâmetros relacionados no dispositivo de acesso e no servidor de autenticação.
  • Habilite a função de autenticação do dispositivo 802.1X no dispositivo de autenticação, a porta conectada ao dispositivo de acesso torna-se a porta controlada aguardando o acesso do dispositivo de acesso.
  • O dispositivo de acesso inicia automaticamente a autenticação 802.1X após conectar o dispositivo de autenticação. Depois de passar a autenticação 802.1X, o dispositivo de autenticação abre a porta controlada e o dispositivo de acesso é conectado à rede com sucesso.
  • O dispositivo de acesso executa regularmente a autenticação de manutenção de atividade para o dispositivo de autenticação ao definir o período de manutenção de atividade do dispositivo de autenticação.

Configuração da função de acesso a dispositivos confiáveis

Tabela 14 – 1 Lista de configuração da função de acesso de dispositivo confiável

Tarefa de configuração
Configure o acesso do dispositivo confiável Configure o nome de usuário e a senha do acesso ao dispositivo confiável
Configure o formato do nome de usuário do acesso ao dispositivo confiável
Configure o período de disparo do acesso ao dispositivo confiável
Ative a função de acesso do dispositivo confiável
Configure a autenticação do dispositivo 802.1X Habilite a função de autenticação do dispositivo 802.1X
Configure o período keepalive da autenticação do dispositivo 802.1X

Configurar acesso a dispositivos confiáveis

Condição de configuração

Nenhum

Configurar nome de usuário e senha de acesso a dispositivos confiáveis

Para conectar o dispositivo de acesso à rede com sucesso, você precisa configurar o nome de usuário e a senha do acesso do dispositivo confiável na porta conectada ao dispositivo de autenticação. O nome de usuário e a senha configurados são enviados ao dispositivo de autenticação para autenticação como credencial de autenticação do dispositivo de acesso através do protocolo 802.1X (modo MD5-Challenge)

Tabela 14 – 2 Configure o nome de usuário e a senha de acesso ao dispositivo confiável

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o nome de usuário e a senha do acesso ao dispositivo confiável dot1x client user username password 0 password Obrigatório Por padrão, a porta não está configurada com o nome de usuário ou senha de acesso ao dispositivo confiável.

Em uma porta, você pode configurar apenas um nome de usuário e senha para o acesso ao dispositivo. Em uma porta, o novo nome de usuário e senha cobrirão o nome de usuário e a senha originais na porta.

Configurar o formato do nome de usuário de acesso do dispositivo confiável

A autenticação 802.1X determina se o peer que inicia a autenticação é um dispositivo ou um terminal se o pacote de protocolo EAP-Response/Identity carrega o ID do dispositivo. Quando o nome de usuário de acesso do dispositivo confiável em uma porta carrega o ID do dispositivo, a autenticação iniciada pela porta é a autenticação do dispositivo 802.1X. Quando o nome de usuário de acesso do dispositivo confiável em uma porta não carrega o ID do dispositivo, a autenticação iniciada pela porta é a autenticação do terminal 802.1X.

Tabela 14 – 3 Configure o formato do nome de usuário do acesso ao dispositivo confiável

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o formato do nome de usuário do acesso ao dispositivo confiável dot1x client user-name-format { with-dev-flag | without-dev-flag } Obrigatório Por padrão, o nome de usuário do acesso do dispositivo confiável na porta carrega o ID do dispositivo.

Configurar período de acionamento de acesso a dispositivos confiáveis

Antes de passar a autenticação, o dispositivo acessado inicia ativamente o pacote EAPoL-Start para realizar a autenticação do dispositivo 802.1X de acordo com o período de disparo de acesso configurado, garantindo que o dispositivo acessado possa se conectar à rede rapidamente.

Tabela 14 – 4 Configure o período de disparo do acesso ao dispositivo confiável

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o período de disparo do acesso ao dispositivo confiável dot1x client auth-interval interval-value Obrigatório Por padrão, o período de disparo do acesso do dispositivo confiável na porta é de 15s.

Ativar função de acesso do dispositivo confiável

Depois de habilitar a função de acesso do dispositivo, o dispositivo acessado executa ativamente a autenticação do dispositivo 802.1X antes de passar pela autenticação. Depois de passar a autenticação do dispositivo 802.1X, o dispositivo autenticado habilita a porta controlada e o dispositivo acessado conecta-se com sucesso à rede.

Tabela 14 – 5 Habilite a função de acesso do dispositivo confiável

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Ative a função de acesso do dispositivo confiável dot1x client { enable | disable } Obrigatório Por padrão, a função de acesso do dispositivo confiável na porta está desabilitada.

Você não pode habilitar a função de acesso e a função de autenticação 802.1X do dispositivo confiável em uma porta ao mesmo tempo. Você não pode habilitar a função de acesso e a função de autenticação de endereço MAC do dispositivo confiável em uma porta ao mesmo tempo. Você não pode habilitar a função de acesso e a função de autenticação de canal seguro do dispositivo confiável em uma porta ao mesmo tempo.

Configurar autenticação de dispositivo 802.1X

Condição de configuração

Nenhum

Ative a função de autenticação do dispositivo 802.1X

Para que a função de autenticação do dispositivo 802.1X entre em vigor no dispositivo de autenticação, você precisa habilitar a autenticação 802.1X e a função de autenticação do dispositivo 802.1X ao mesmo tempo. Depois que a autenticação do dispositivo entra em vigor, a porta conectada do dispositivo de autenticação e o dispositivo de acesso tornam-se a porta controlada. Depois que a autenticação do dispositivo for bem-sucedida, o dispositivo de autenticação habilitará a porta controlada e o dispositivo de acesso conectará a rede com sucesso.

Tabela 14 – 6 Habilite a função de autenticação do dispositivo 802.1X

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Habilite a autenticação 802.1X dot1x port-control { enable | disable } Obrigatório Por padrão, a função de autenticação 802.1X em uma porta está desabilitada.
Habilite a autenticação do dispositivo 802.1X dot1x device-auth { enable | disable } Obrigatório Por padrão, a função de autenticação de dispositivo 802.1X em uma porta está desabilitada.

Você não pode habilitar a função de autenticação e a função de autenticação de endereço MAC do dispositivo 802.1X em uma porta ao mesmo tempo. Você não pode habilitar a função de autenticação e a função de autenticação de canal seguro do dispositivo 802.1X em uma porta ao mesmo tempo.

Configurar o período Keepalive da autenticação do dispositivo 802.1X

Para detectar se o dispositivo de acesso está online, após passar pela autenticação, o dispositivo de autenticação entrega o período de manutenção da atividade da autenticação do dispositivo 802.1X configurado para o dispositivo de acesso e o dispositivo de acesso inicia a autenticação de manutenção de atividade pelo período de manutenção de atividade. Se o dispositivo de autenticação não receber a autenticação keepalive do dispositivo de acesso dentro de três vezes do período keepalive, considera-se que o dispositivo de acesso não está online e altera o status da porta para o estado controlado.

Tabela 14 – 7 Configure o período keepalive da autenticação do dispositivo 802.1X

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente só pode ter efeito na interface atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente só pode ter efeito no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o período keepalive da autenticação do dispositivo 802.1X dot1x device-auth keepalive period-value Obrigatório Por padrão, o período keepalive da autenticação do dispositivo 802.1X em uma porta é de 600 segundos.

Monitoramento e manutenção de acesso a dispositivos confiáveis

Tabela 14 – 8 Monitoramento e manutenção do acesso ao dispositivo confiável

Comando Descrição
show dot1x client config { interface interface-name | link-aggregation link-aggregation-id } Exibir as informações de configuração
show dot1x client user { interface interface-name | link-aggregation link-aggregation-id } Exibir as informações de acesso
show dot1x user [ mac-address | auth-type {device | user } | interface interface-name | link-aggregation link-aggregation-id | summary ] Exibir as informações do usuário

Exemplo de configuração típico de acesso a dispositivos confiáveis

Requisitos de rede

  • O dispositivo de acesso Device1 está conectado à rede IP através do dispositivo de autenticação Device2; Device2 adota o controle de acesso de autenticação do dispositivo.
  • O dispositivo de acesso Device1 inicia regularmente a autenticação keepalive.
  • Durante a autenticação, use o modo de autenticação RADIUS.
  • Depois de passar a autenticação do dispositivo de acesso, o PC permite o acesso à rede.

Topologia de rede

Figura 14 -2 Rede de configuração de acesso a dispositivos confiáveis

Etapas de configuração

  • Passo 1:Em Device1, configure o tipo de link da VLAN e da porta.

#No gigabitethernet 0/2 do Device1, configure o tipo de link da porta como Access, permitindo a passagem dos serviços da VLAN2.

Device1(config)#interface gigabitethernet 0/2
Device1(config-if-range)#switchport mode access
Device1(config-if-range)#switchport access vlan 2
Device1(config-if-range)#exit

#No gigabitethernet 0/1 do Device1, configure o tipo de link de porta como Híbrido, e a porta é adicionada à VLAN2 no modo Tagged.

Device1(config)#interface gigabitethernet 0/1
Device1(config-if-range)#switchport mode hybrid
Device1(config-if-range)#switchport hybrid tagged vlan 2
Device1(config-if-range)#exit
  • Passo 2:No Device2, configure o tipo de link da VLAN e da porta.

#No Dispositivo2, crie VLAN2~VLAN3.

Device2#configure terminal
Device2(config)#vlan 2-3
Device2(config)#exit

#No gigabitethernet 0/1 do Device2, configure o tipo de link da porta como Híbrido, e a porta será adicionada à VLAN2 no modo Tagged.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-range)#switchport mode hybrid
Device2(config-if-range)# switchport hybrid tagged vlan 2
Device2(config-if-range)#exit

#No gigabitethernet 0/2-gigabitethernet 0/3 do Device2, configure o tipo de link da porta como Access, permitindo que os serviços de VLAN2~VLAN3 passem. (omitido)

  • Passo 3:Configure o endereço IP da interface do Device2.

#No Device2, configure o endereço IP da VLAN3 como 130.255.167.1/24.

Device2(config)#interface vlan 3
Device2(config-if-vlan3)#ip address 130.255.167.1 255.255.255.0
Device2(config-if-vlan3)#exit
  • Passo 4:No Device, configure a autenticação AAA.

#No Device2, habilite a autenticação AAA, adote o modo de autenticação RADIUS, a chave do servidor é admin, a prioridade é 1 e o endereço do servidor RADIUS é 130.255.167.167/24.

Device2(config)#aaa new-model
Device2(config)#aaa authentication connection default radius
Device2(config)#radius-server host 130.255.167.167 priority 1 key admin
  • Passo 5:Configure o servidor AAA.

# No servidor AAA, configure o nome de usuário, senha e chave como admin. (Omitido)

  • Passo 6:Em Device1, configure o acesso ao dispositivo confiável.

#No Dispositivo1, configure o nome de usuário e a senha da autenticação de acesso ao dispositivo confiável.

Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#dot1x client user admin password 0 admin
Device1(config-if-gigabitethernet0/1)#exit

#No Device1, configure iniciando o pacote eapol-start ativamente com um intervalo de 10s para realizar a autenticação do dispositivo 802.1X.

Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#dot1x client auth-interval 10
Device1(config-if-gigabitethernet0/1)#exit

#No Dispositivo1, habilite a função de acesso do dispositivo confiável.

Device1(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x client enable
Device2(config-if-gigabitethernet0/1)#exit
  • Passo 7:Em Device2, configure a autenticação do dispositivo 802.1X.

#No Dispositivo2, habilite a autenticação 802.1X.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x port-control enable
Device2(config-if-gigabitethernet0/1)#exit

#No Dispositivo2, habilite a autenticação do dispositivo 802.1X.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x device-auth enable
Device2(config-if-gigabitethernet0/1)#exit

#No Device2, configure o período keepalive da autenticação do dispositivo 802.1X como 120s.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#dot1x device-auth keepalive 120
Device2(config-if-gigabitethernet0/1)#exit
  • Passo 8:Confira o resultado.

#Antes de passar a autenticação do dispositivo de acesso, o PC não pode acessar a rede. Depois de passar a autenticação, o PC pode acessar a rede normalmente.

Device1#show dot1x client user 
 Interface           : gi0/1
 Status              : Authorized
 State Machine State : AUTHENTICATED
 Keep Alive Interval : 120 sec (802.1X Server)
                                    
                                    
Device2#show dot1x user auth-type device 
--------------------
NO 1   : MAC_ADDRESS= 3883.45ef.7984    STATUS=      Authorized     USER_NAME=   admin
         VLAN=        2                 INTERFACE=   gi0/1          USER_TYPE=   DOT1X 
         AUTH_STATE=  AUTHENTICATED     BACK_STATE=  IDLE           IP_ADDRESS=  Unknown
         Online time: 0 week 0 day 0 hour 0 minute 53 seconds
                                    
 Total: 1   Authorized: 1   Unauthorized/guest/critical: 0/0/0 Unknown: 0

Configuração de ACL

Visão geral

Visão geral da ACL

Uma ACL (Access Control List) compreende uma série de regras. Cada regra é uma sentença de permissão, recusa ou observação, indicando a condição e ação correspondentes. A regra ACL filtra os pacotes combinando algum campo no pacote.

ACL pode incluir várias regras. O conteúdo correspondente especificado por cada regra é diferente e o conteúdo correspondente em regras diferentes pode se sobrepor ou entrar em conflito. A correspondência de regras de ACL obedece estritamente à ordem da sequência de pequeno a grande. A regra com sequência menor entra em vigor mais cedo. Sequência significa o número de ordem da regra na ACL while.

Existe uma regra de recusar todos os pacotes ocultos após a última regra da ACL e a sequência é maior do que todas as outras regras da ACL. A regra oculta é invisível e descarta os pacotes que não correspondem às regras anteriores, ou seja, quando o pacote não corresponde às regras anteriores, ele corresponde à regra padrão e é descartado.

De acordo com o uso da ACL, podemos dividir a ACL em sete tipos, ou seja, ACL padrão IP, ACL estendida IP, ACL padrão MAC, ACL estendida MAC, ACL estendida híbrida, ACL padrão IPv6 e ACL estendida IPv6. O nome da ACL pode usar o número e também pode usar a cadeia de caracteres personalizada. Quando o nome da ACL usa o número, o tipo de ACL correspondente e o intervalo de valores numéricos são os seguintes:

  • ACL padrão IP: 1-1000;
  • ACL estendida de IP: 1001-2000;
  • ACL padrão MAC: 2001-3000;
  • MAC ACL estendido: 3001-4000;
  • ACL estendida híbrida: 5001-6000.
  • ACL estendida IPv6: 7001-8000
  • ACL padrão MPLS: 8001-9000

Quando o nome da ACL adota a cadeia de caracteres personalizada, todas as ACLs compartilham um espaço de nome, ou seja, se a ACL padrão IP usar um nome, os outros tipos de ACL não poderão usar o nome.

ACL também pode executar o grupo de ação correspondente de acordo com a correspondência. Para obter detalhes, consulte o “Manual de configuração de QoS”.

Visão geral do domínio do tempo

O domínio do tempo é o conjunto dos segmentos de tempo. Um domínio de tempo pode conter de zero a vários segmentos de tempo. O intervalo de tempo do domínio do tempo é a união dos segmentos de tempo.

O segmento de tempo tem os dois tipos a seguir:

  • Segmento de tempo periódico: Segmento de tempo periódico significa selecionar um dia ou vários dias de segunda a domingo, e o ponto de tempo inicial até o ponto de tempo final como o segmento de tempo, tendo efeito todas as semanas repetidamente.
  • Segmento de tempo absoluto: O segmento de tempo absoluto significa entrar em vigor dentro do intervalo de data e hora especificado

O usuário geralmente tem as seguintes demandas:

O PC de um segmento de rede pode acessar o servidor apenas no horário de trabalho do dia de trabalho (exceto em todos os feriados); na tarde de sábado, permitir que todos os PCs se comuniquem com a Internet externa.

As demandas de controle de comunicação com base no tempo podem ser atendidas vinculando o domínio do tempo na regra ACL ou ACL.

Configuração da função ACL

Tabela 15 - 1 lista de configuração da função ACL

Tarefa de configuração
Configurar a ACL padrão IP Configurar a ACL padrão IP
Configure a ACL padrão IP nomeada por números
Configurar a ACL estendida IP Configurar a ACL estendida IP
Configure a ACL estendida IP nomeada por números
Configurar a ACL padrão MAC Configurar a ACL padrão MAC
Configure a ACL padrão MAC nomeada por números
Configurar a ACL estendida MAC Configurar a ACL estendida MAC
Configure a ACL estendida MAC nomeada por números
Configurar a ACL estendida híbrida Configurar a ACL estendida híbrida
Configure a ACL estendida híbrida nomeada por números
Configurar a ACL padrão IPv6 Configurar a ACL padrão IPv6
Configure a ACL padrão IPv6 nomeada por números
Configurar ACL estendida IPv6 Configurar ACL estendida IPv6
Configurar ACL estendida IPv6 nomeada por números
Configure a limitação de quantidade das regras de ACL Configure a limitação de quantidade das regras de ACL
Configurar o domínio do tempo Configurar o domínio do tempo
Configurar o segmento de tempo periódico
Configurar o segmento de tempo absoluto
Configurar o período de atualização
Configurar o deslocamento máximo de tempo
Configure o domínio de tempo a ser vinculado à regra ACL
Configure o domínio de tempo a ser vinculado à ACL
Configurar o aplicativo ACL Configure o IP ACL a ser aplicado à porta
Configure o MAC ACL a ser aplicado à porta
Configure o IP ACL a ser aplicado à VLAN
Configure o IP ACL para ser aplicado globalmente
Configure a ACL híbrida para ser aplicada globalmente
Configure o IP ACL a ser aplicado à interface
Configure o MAC ACL para ser aplicado à interface
Configure o IPv6 ACL a ser aplicado à porta
Configure o IPv6 ACL para ser aplicado à interface

Configurar ACL padrão IP

A ACL padrão IP faz as regras de acordo com o endereço IP de origem para filtrar os pacotes.

Condição de configuração

Nenhum

Configurar ACL padrão IP

O nome ACL padrão IP pode usar o número e também pode usar a cadeia de caracteres personalizada. Se o nome da ACL padrão IP adotar os números, podemos configurar a limitação de quantidade máxima da ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado.

Tabela 15 -2 Configurar a ACL padrão IP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL padrão IP ip access-list standard { access-list-number | access-list-name } Obrigatório Por padrão, a ACL padrão IP não está configurada. O intervalo de números da ACL padrão IP é 1-1000.
Configurar a regra de permissão da ACL [ sequence ] permit { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de permissão ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações da regra ACL não são configuradas.

Ao usar o ip lista de acesso padrão comando para criar a ACL padrão IP, a ACL pode ser criada somente após configurar as regras no modo de configuração ACL padrão IP. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar IP padrão ACL nomeado por números

A ACL padrão IP nomeada por números pode permitir que o usuário identifique o tipo da ACL rapidamente. No entanto, a ACL padrão IP nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada.

Tabela 15 -3 Configurar a ACL padrão IP nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL padrão IP nomeada por números access-list access-list-number { permit | deny } { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Obrigatório Por padrão, a ACL padrão IP nomeada por números não está configurada. O intervalo de sequência da ACL padrão IP é 1-1000.
Configure as observações da ACL padrão IP nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL padrão IP nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar ACL estendida de IP

A ACL estendida de IP pode fazer a regra de classificação de acordo com o número do protocolo IP, endereço IP de origem, endereço IP de destino, número da porta TCP/UDP de origem, número da porta TCP/UDP de destino, prioridade do pacote, tag TCP e tag de fragmento para filtrar os pacotes .

Condição de configuração

Nenhum

Configurar ACL estendida de IP

O nome da ACL estendida de IP pode usar o número e também pode usar a cadeia de caracteres personalizada. Se o nome da ACL estendida IP adotar os números, podemos configurar a limitação de quantidade máxima da ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado. A ACL estendida de IP é mais rica, mais correta e mais flexível do que o conteúdo definido pela ACL padrão de IP.

Tabela 15 -4 Configurar a ACL estendida de IP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL estendida IP ip access-list extended { access-list-number | access-list-name } Obrigatório Por padrão, a ACL estendida de IP não está configurada. O intervalo de sequência da ACL estendida de IP é 1001-2000.
Configurar a regra de permissão da ACL [ sequence ] permit protocol { any | source-addr source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr destination-wildcard | host destination-addr } [ operator destination-port ] [ ack | fin | psh | rst | syn | urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [log] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de permissão do ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny protocol { any | source-addr source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr destination-wildcard | host destination-addr } [ operator destination-port ] [ ack | fin | psh | rst | syn | urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [log] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações da ACL não são configuradas.

Ao usar o ip lista de acesso estendido comando para criar a ACL estendida de IP, a ACL pode ser criada somente após configurar as regras no modo de configuração da ACL estendida de IP. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar ACL estendida IP nomeada por números

A ACL estendida de IP nomeada por números pode permitir que o usuário identifique o tipo da ACL rapidamente. No entanto, a ACL estendida de IP nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada. A ACL estendida de IP é mais rica, mais correta e mais flexível do que o conteúdo definido pela ACL padrão de IP.

Tabela 15 -5 Configurar a ACL estendida de IP nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL estendida IP nomeada por números access-list access-list-number { permit | deny } protocol { any | source-addr source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr destination-wildcard | host destination-addr } [ operator destination-port ] [ ack | fin | psh | rst | syn | urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [log] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Obrigatório Por padrão, a ACL estendida de IP nomeada por números não está configurada. O intervalo de sequência da ACL estendida de IP é 1001-2000.
Configure as observações da ACL estendida IP nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL estendida IP nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar ACL padrão MAC

O padrão MAC ACL faz as regras de acordo com o endereço MAC de origem para filtrar os pacotes.

Condição de configuração

Nenhum

Configurar ACL padrão MAC

O nome ACL padrão MAC pode usar o número e também pode usar a cadeia de caracteres personalizada. Se o nome da ACL padrão MAC adotar os números, podemos configurar a limitação de quantidade máxima da ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado.

Tabela 15 -6 Configurar a ACL padrão MAC

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL padrão MAC mac access-list standard { access-list-number | access-list-name } Obrigatório Por padrão, a ACL padrão MAC não está configurada. O intervalo de sequência da ACL padrão MAC é 2001-3000.
Configurar a regra de permissão da ACL [ sequence ] permit { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de permissão do ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações do ACL não são configuradas.

Ao usar o mac lista de acesso comando padrão para criar a ACL padrão MAC, a ACL pode ser criada somente após configurar as regras no modo de configuração ACL padrão MAC. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar a ACL padrão MAC nomeada por números

A ACL padrão MAC nomeada por números pode permitir que o usuário identifique rapidamente o tipo da ACL. No entanto, a ACL padrão MAC nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada.

Tabela 15 -7 Configure a ACL padrão MAC nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL padrão MAC nomeada por números access-list access-list-number { permit | deny } { any | source-addr source-wildcard | host source-addr } [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Obrigatório Por padrão, a ACL padrão MAC nomeada por números não está configurada. O intervalo de sequência da ACL padrão MAC é 2001-3000.
Configure as observações da ACL padrão MAC nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL padrão MAC nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar ACL Estendido MAC

A ACL estendida MAC pode fazer a regra de classificação de acordo com o tipo de protocolo Ethernet, endereço MAC de origem, endereço MAC de destino, ID de VLAN e prioridade 802.1p, para filtrar os pacotes.

Condição de configuração

Nenhum

Configurar ACL Estendido MAC

O nome da ACL estendida MAC pode usar o número e também pode usar a cadeia de caracteres personalizada. Se o nome da ACL estendida MAC adotar os números, podemos configurar a limitação de quantidade máxima da ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado. A ACL estendida MAC é mais rica, correta e flexível do que o conteúdo definido pela ACL padrão MAC.

Tabela 15 -8 Configurar a ACL estendida MAC

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL estendida MAC mac access-list extended { access-list-number | access-list-name } Obrigatório Por padrão, a ACL estendida MAC não está configurada. O intervalo de sequência da ACL estendida MAC é 3001-4000.
Configurar a regra de permissão da ACL [ sequence ] permit { any | source-addr source-wildcard | host source-addr } { any | destination-addr destination-wildcard | host destination-addr } [ ether-type type ] [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de permissão do ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny { any | source-addr source-wildcard | host source-addr } { any | destination-addr destination-wildcard | host destination-addr } [ ether-type type ] [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações do ACL não são configuradas.

Ao usar o Mac lista de acesso estendido comando para criar o MAC Extended ACL, o ACL pode ser criado somente após configurar as regras no modo de configuração MAC Extended ACL. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar ACL estendida MAC nomeada por números

A ACL estendida MAC nomeada por números pode permitir que o usuário identifique o tipo da ACL rapidamente. No entanto, a ACL estendida MAC nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada. A ACL estendida MAC é mais rica, correta e flexível do que o conteúdo definido pela ACL padrão MAC.

Tabela 15 -9 Configurar a ACL estendida MAC nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL estendida MAC nomeada por números access-list access-list-number { permit | deny } { any | source-addr source-wildcard | host source-addr } { any | destination-addr destination-wildcard | host destination-addr } [ ether-type type ] [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [log] [ l2-action-group l2-action-group-name ] [ egr-action-group egr-action-group-name ] [ vfp-action-group vfp-action-group-name ] Obrigatório Por padrão, a ACL estendida MAC nomeada por números não está configurada. O intervalo de sequência da ACL estendida MAC é 3001-4000.
Configure as observações da ACL estendida MAC nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL estendida MAC nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras. Depois de configurar o comando acl match ipv6 packet , o pacote ipv6 pode ser combinado.

Configurar ACL estendida híbrida

A ACL estendida híbrida pode fazer a regra de classificação de acordo com o endereço MAC de origem, endereço MAC de destino, tipo de Ethernet, tipo de protocolo IP, endereço IP de origem, endereço IP de destino, prioridade de pacote, ID de VLAN e prioridade 802.1p, de modo a filtrar o pacotes.

Condição de configuração

Nenhum

Configurar ACL estendida híbrida

híbrida pode usar o número e também a cadeia de caracteres personalizada. Se o nome da ACL estendida Híbrida adotar os números, podemos configurar a limitação de quantidade máxima da ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado. A ACL estendida híbrida é mais rica, mais correta e mais flexível do que usar o conteúdo definido por IP ACL e MAC ACL separadamente .

Tabela 15 -10 Configurar a ACL estendida híbrida

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL estendida híbrida hybrid access-list extended { access-list-number | access-list-name } Obrigatório Por padrão, a ACL estendida híbrida não está configurada. A faixa de sequência da ACL estendida híbrida é 5001-6000.
Configurar a regra de permissão da ACL [ sequence ] permit { any | source-mac -addr source-wildcard | host source-mac-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] [ethter-type] { etherne-type | ipv4 protocol } { any | source-ip-addr source-wildcard | host source-ip-addr } { any | destination -ip-addr destination -wildcard | host destination-ip-addr }[ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] Opcional Por padrão, a regra de permissão do ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny { any | source-mac -addr source-wildcard | host source-mac-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] [ethter-type] { etherne-type | ipv4 protocol } { any | source-ip-addr source-wildcard | host source-ip-addr } { any | destination -ip-addr destination -wildcard | host destination-ip-addr }[ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações do ACL não são configuradas.

Ao usar o híbrido lista de acesso comando estendido para criar a ACL estendida híbrida, a ACL pode ser criada somente após a configuração das regras no modo de configuração da ACL estendida híbrida. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar ACL estendida híbrida nomeada por números

A ACL estendida híbrida nomeada por números pode permitir que o usuário identifique o tipo da ACL rapidamente. No entanto, a ACL estendida híbrida nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada.

Tabela 15 -11 Configurar a ACL estendida híbrida nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL estendida híbrida nomeada por números access-list access-list-number { permit | deny } { any | source-mac -addr source-wildcard | host source-mac-addr } { any | destination-mac-addr destination-wildcard | host destination-mac-addr } [ cos cos ] [ vlan-id vlan ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] [ethter-type] { etherne-type | ipv4 protocol } { any | source-ip-addr source-wildcard | host source-ip-addr } { any | destination -ip-addr destination -wildcard | host destination-ip-addr }[ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments ] [ time-range time-range-name ] [egr-action-group egr-action-group-name] Obrigatório Por padrão, a ACL estendida híbrida nomeada por números não está configurada. A faixa de sequência da ACL estendida híbrida é 5001-6000.
Configure as observações da ACL estendida híbrida nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL estendida híbrida nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar ACL padrão IPv6

A ACL padrão IPv6 faz as regras de classificação de acordo com o endereço IPv6 de origem para filtrar os pacotes.

Condição de configuração

Nenhum

Configurar ACL padrão IPv6

O nome ACL padrão IP pode usar os números e também pode usar a cadeia de caracteres personalizada. Ao usar os números, você pode configurar o número máximo de ACLs. Ao adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado.

Tabela 15 -12 Configurar a ACL padrão IPv6

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL padrão IPv6 ipv6 access-list standard { access-list-number | access-list-name } Obrigatório Por padrão, a ACL padrão IPv6 não está configurada.
Configurar a regra de permissão da ACL [ sequence ] permit { any | source-addr/source-wildcard | host source-addr } [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] Opcional Por padrão, a regra de permissão ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny { any | source-addr/source-wildcard | host source-addr } [ time-range time-range-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ pbr-action-group pbr-action-group-name ] Opcional Por padrão, não configure a regra de recusa ACL.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, não configure as observações da regra ACL.

Ao usar o comando ipv6 access-list standard para criar a ACL padrão IPv6, a ACL pode ser criada somente após configurar as regras no modo de configuração ACL padrão IPv6. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar a ACL padrão IPv6 nomeada por números

A ACL padrão IPv6 nomeada por números pode permitir que o usuário identifique rapidamente o tipo da ACL. No entanto, a ACL padrão IPv6 nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada.

Tabela 15 -13 Configurar a ACL padrão IPv6 nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL padrão IPv6 nomeada por números access-list access-list-number { permit | deny } { any | source-addr/source-wildcard | host source-addr } [ time-range time-range-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] [ pbr-action-group pbr-action-group-name ] Obrigatório Por padrão, a ACL padrão IPv6 nomeada por números não está configurada. O intervalo de sequência da ACL padrão do IPv6 é 6001-7000.
Configure as observações da ACL padrão do IPv6 nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL padrão IPv6 nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar ACL estendida IPv6

A ACL estendida IPv6 pode fazer a regra de classificação de acordo com o número do protocolo IPv6, endereço IPv6 de origem, endereço IPv6 de destino, número da porta TCP/UDP de origem, número da porta TCP/UDP de destino, prioridade do pacote, tag de fragmento e tag TCP, de modo a filtrar os pacotes.

Condição de configuração

Nenhum

Configurar ACL estendida IPv6

O nome da ACL estendida IPv6 pode usar o número e também pode usar a cadeia de caracteres personalizada. Se o nome da ACL estendida IPv6 adotar os números, podemos configurar a limitação de quantidade máxima de ACL; se adotar a cadeia de caracteres personalizada, não há limitação para a quantidade máxima de ACL. O usuário pode selecionar o nome da ACL conforme desejado.

Tabela 15 -14 Configurar a ACL estendida IPv6

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a ACL estendida IPv6 ipv6 access-list extended { access-list-number | access-list-name } Obrigatório Por padrão, a ACL estendida do IPv6 não está configurada.
Configurar a regra de permissão da ACL [ sequence ] permit protocol { any | source-addr/source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr/destination-wildcard | host destination-addr } [ operator destination-port ] [ ack / fin / psh / rst / syn / urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] Opcional Por padrão, a regra de permissão do ACL não está configurada.
Configure a regra de recusa de ACL [ sequence ] deny protocol { any | source-addr/source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr/destination-wildcard | host destination-addr } [ operator destination-port ] [ ack / fin / psh / rst / syn / urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] Opcional Por padrão, a regra de recusa do ACL não está configurada.
Configurar as observações da ACL [ sequence ] remark comment Opcional Por padrão, as observações da ACL não são configuradas.

Ao usar o IPv6 lista de acesso estendido comando para criar a ACL estendida do IPv6, a ACL pode ser criada somente após a configuração das regras no modo de configuração da ACL estendida do IPv6. Sequência significa o número de ordem da regra na ACL. ACL combina e filtra o pacote estritamente de acordo com a ordem da sequência pequena para a sequência grande. A regra com a sequência pequena entra em vigor primeiro. Quando todas as regras não corresponderem, execute a ação de descarte padrão, ou seja, todos os pacotes não autorizados a passar são descartados.

Configurar ACL estendida IPv6 nomeada por números

A ACL estendida IPv6 nomeada por números pode permitir que o usuário identifique rapidamente o tipo da ACL. No entanto, a ACL estendida IPv6 nomeada por números tem algumas limitações. Por exemplo, a quantidade de ACL é limitada.

Tabela 15 -15 Configurar a ACL estendida IPv6 nomeada por números

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL estendida IPv6 nomeada por números access-list access-list-number { permit | deny } protocol { any | source-addr/source-wildcard | host source-addr } [ operator source-port ] { any | destination-addr/destination-wildcard | host destination-addr } [ operator destination-port ] [ ack / fin / psh / rst / syn / urg ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [fragments] [ time-range time-range-name ] [ pbr-action-group pbr-action-group-name ] [ l3-action-group l3-action-group-name ] [ egr-action-group egr-action-group-name ] Obrigatório Por padrão, a ACL estendida IPv6 nomeada por números não está configurada. O intervalo de sequência da ACL estendida do IPv6 é 7001-8000.
Configure as observações da ACL estendida IPv6 nomeada por números access-list access-list-number remark comment Opcional Por padrão, as observações da ACL estendida IPv6 nomeada por números não são configuradas.

Se a ACL com a sequência especificada não existir, crie uma nova ACL e adicione novas regras. Se a ACL com o número especificado existir, basta adicionar novas regras.

Configurar operação de confirmação

O comando de operação de confirmação serve para confirmar as regras ACL configuradas e confirmar se as regras adicionadas ou excluídas entram em vigor. Depois de adicionar ou excluir regras de ACL, você deve executar a operação de confirmação. Caso contrário, as regras adicionadas ou excluídas não terão efeito. Ao salvar a configuração, as regras não confirmadas não serão salvas no arquivo de inicialização.

Condição de configuração

Configurar ACL

Configurar operação de confirmação

Depois de configurar a regra de ACL, você precisa executar a operação de confirmação para enviar as regras de ACL adicionadas ou excluídas.

Tabela 15 -16 Configurar a operação de confirmação da regra ACL

Etapa Comando Descrição
Entre no modo de configuração ACL ip access-list standard { access-list-number | access-list-name } Obrigatório Por padrão, não configure a ACL padrão IP. O intervalo de números da ACL padrão IP é 1-1000. O modo de configuração da ACL não está limitado à ACL padrão IP, e a operação de confirmação suporta todos os modos de configuração da ACL.
Envie a operação de regra ACL commit Obrigatório Por padrão, a regra adicionada ou excluída não é Commit.

Configurar limitação de quantidade de regras de ACL

Condição de configuração

Nenhum

Configurar limitação de quantidade de regras de ACL

Depois de habilitar a limitação de quantidade de regras de ACL, o número máximo de regras que podem ser configuradas em uma ACL é 1024.

Tabela 15 -17 Configurar a limitação de quantidade da regra ACL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Desabilitar/habilitar a limitação de quantidade da regra ACL access-list rule-limit { enable | disable } Obrigatório Por padrão, está desabilitado, ou seja, o número máximo de regras que podem ser configuradas em uma ACL não se limita a 1024.

Configurar domínio de tempo

O domínio do tempo é o conjunto dos segmentos de tempo. Um domínio de tempo pode conter de zero a vários segmentos de tempo. O intervalo de tempo do domínio do tempo é a união dos segmentos de tempo. O domínio de tempo pode ser vinculado com a regra ACL ou ACL, pois a condição de se a regra ACL ou ACL entra em vigor.

Condição de configuração

Antes de configurar a função de domínio do tempo, primeiro conclua a seguinte tarefa:

  • Configurar ACL

Configurar domínio de tempo

Configure se o objeto de aplicativo do domínio de tempo é limitado pelo domínio de tempo. Quando habilitado, o objeto do aplicativo é limitado pelo domínio do tempo. Pelo contrário, não é limitado pelo domínio do tempo.

Tabela 15 -18 Configurar o domínio do tempo

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar desabilitar/habilitar o domínio do tempo set time-range { disable | enable } Obrigatório Por padrão, está habilitada.

Configurar segmento de tempo periódico

Segmento de tempo periódico: Segmento de tempo periódico significa selecionar um dia ou vários dias de segunda a domingo, e o ponto de tempo inicial até o ponto de tempo final como o segmento de tempo, tendo efeito todas as semanas repetidamente.

Tabela 15 -19 Configurar o segmento de tempo periódico

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o domínio do tempo time-range time-range-name Obrigatório Por padrão, não configure o domínio de tempo.
Configurar o segmento de tempo periódico [ sequence ] periodic [ day-of-the-week ] [ hh: mm [ : ss ] ] to [ day-of-the-week ] [ hh: mm [ : ss ] ] Qualquer Por padrão, não configure o segmento de tempo periódico. O comando anterior pode especificar o intervalo de tempo como um dia (como segunda-feira) ou vários dias (como segunda-feira, sexta-feira). O último comando pode especificar o intervalo de tempo como todos os dias, fins de semana ou dias úteis.
[ sequence ] periodic { weekdays | weekend | daily } [ hh: mm [ : ss ] ] to [ hh: mm [ : ss ] ]

Configurar segmento de tempo absoluto

O segmento de tempo absoluto significa entrar em vigor dentro do intervalo de data e hora especificado.

Tabela 15 -20 Configurar o segmento de tempo absoluto

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o domínio do tempo time-range time-range-name Obrigatório Por padrão, não configure o domínio de tempo.
Configure o segmento de tempo absoluto do domínio do tempo [ sequence ] absolute start hh: mm [ : ss ] [ day [ month [ year ] ] ] end hh: mm [ : ss ] [ day [ month [ year ] ] ] Obrigatório Por padrão, não configure o segmento de tempo absoluto do domínio de tempo.

Configurar período de atualização

O status do domínio do tempo inclui efetivo e ineficaz. O período de atualização de status do domínio de tempo é de 1 minuto por padrão. Atualizar automaticamente de acordo com a hora atual do sistema. Portanto, ao atualizar o status, pode haver um atraso de 0 a 60 segundos em comparação com a hora do sistema.

Tabela 15 -21 Configurar o período de atualização

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o período de atualização do domínio de tempo set time-range frequency { frequency-min | seconds frequency-sec} Obrigatório O valor padrão é 1 minuto. O período de atualização é o intervalo entre duas atualizações e a unidade é minuto ou segundo.

Configurar compensação de tempo máximo

O deslocamento máximo significa o deslocamento máximo entre o tempo de acumulação do contador e o tempo do sistema. Quando as estatísticas de tempo excederem o deslocamento, rejulgue o status do domínio de tempo e atualize durante a próxima atualização para que as estatísticas de tempo sejam mais corretas.

Tabela 15 -22 Configurar o deslocamento de tempo máximo

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o deslocamento de tempo máximo do domínio de tempo set time-range max-offset max-offset-number Obrigatório O valor padrão é 100. A unidade do deslocamento de tempo é o segundo e o intervalo de valores é de 1 a 300.

Configurar domínio de tempo e vinculação de regras de ACL

Quando for necessário controlar um usuário para acessar os recursos da rede dentro do segmento de tempo especificado, podemos definir a regra ACL com base no domínio do tempo para filtrar os pacotes. Se o domínio de tempo entra em vigor afeta diretamente a regra ACL associada.

Tabela 15 -23 Configure o domínio de tempo a ser vinculado à regra ACL

Etapa Comando Descrição
Configure a vinculação com a regra de ACL padrão de IP Refer to “Configure IP Standard ACL” -
Configure a vinculação com a regra de ACL estendida de IP Refer to “Configure IP Extended ACL” -
Configure a ligação com a regra ACL padrão MAC Refer to “Configure MAC Standard ACL” -
Configure a ligação com a regra de ACL estendida MAC Refer to “Configure MAC Extended ACL” -
Configurar a vinculação com a regra de ACL estendida híbrida Refer to “Configure Hybrid Extended ACL” -
Configure a vinculação com a regra de ACL padrão IPv6 Refer to “Configure IPv6 standard ACL” -
Configure a vinculação com a regra de ACL estendida IPv6 Refer to “Configure IPv6 extended ACL” -

Quando o domínio de tempo vinculado à regra ACL não existe, a regra ACL está no estado efetivo.

Configurar domínio de tempo e vinculação de ACL

Quando for necessário controlar um usuário para acessar os recursos da rede dentro do segmento de tempo especificado, podemos definir a regra ACL com base no domínio do tempo para filtrar os pacotes. Se o domínio do tempo entra em vigor afeta diretamente as regras contidas em toda a ACL.

Tabela 15 -24 Configurar o domínio de tempo e a ligação ACL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o domínio de tempo a ser vinculado com IP ACL ip time-range time-range-name access-list { access-list-number | access-list-name } Obrigatório Por padrão, não configure o domínio de tempo para ser vinculado ao IP ACL.
Configure o domínio de tempo a ser vinculado com MAC ACL mac time-range time-range-name access-list { access-list-number | access-list-name } Obrigatório Por padrão, não configure o domínio de tempo para ser vinculado com MAC ACL.
Configure o domínio de tempo a ser vinculado à ACL híbrida hybrid time-range time-range-name access-list { access-list-number | access-list-name } Obrigatório Por padrão, não configure o domínio de tempo para ser vinculado à ACL híbrida.
Configure o domínio de tempo a ser vinculado com IPv6 ACL ipv6 time-range time-range-name access-list { access-list-number | access-list-name } Obrigatório Por padrão, não configure o domínio de tempo para ser vinculado à ACL IPv6.

Quando o domínio de tempo vinculado à regra ACL não existe, a regra ACL está no estado efetivo.

Configurar aplicativo ACL

ACL pode ser aplicado globalmente, para VLAN, VLAN RANGE, porta e interface. MAC ACL, IP ACL e IPV6 ACL podem ser aplicados globalmente, VLAN, IPV6 ACL, entrada e saída da porta e interface; A ACL híbrida só pode ser aplicada globalmente.

Se a ACL for aplicada globalmente, filtre todos os pacotes de entrada da porta do dispositivo; se a ACL for aplicada à VLAN, filtre todos os pacotes de entrada da porta na VLAN e os pacotes de encaminhamento de saída; Se a ACL for aplicada à VLAN RANGE, ela entrará em vigor para as VLANs na VLAN RANGE; se o ACL for aplicado à porta, filtre todos os pacotes de entrada da porta e os pacotes de encaminhamento de saída; se o ACL for aplicado à interface, filtre os pacotes de encaminhamento L3.

A correspondência de ACL tem a ordem de prioridade. A prioridade de alta para baixa deve ser aplicada à porta, aplicada à VLAN e aplicada globalmente.

Se as ACLs aplicadas a VLAN e VLAN RANGE existirem ao mesmo tempo, as regras de ACL aplicadas à VLAN serão combinadas primeiro. Depois que as regras aplicadas à VLAN forem correspondidas, as regras no intervalo da VLAN não serão mais correspondentes. Se as ACLs aplicadas à VLAN e à VLAN da interface L3 existirem ao mesmo tempo, as regras da ACL da VLAN da interface L3 serão combinadas primeiro. Depois que as regras aplicadas à VLAN da interface L3 corresponderem, as regras na VLAN não serão mais correspondentes.

Se o pacote corresponder à regra ACL de aplicação à porta, VLAN e globalmente ao mesmo tempo, o pacote cujo resultado do filtro de alta prioridade é permitir é encaminhado para a ACL de próxima prioridade para filtragem. O pacote cujo resultado do filtro de alta prioridade é negado é descartado diretamente e não é mais encaminhado para a ACL de próxima prioridade para processamento.

Condição de configuração

Antes de configurar a função do aplicativo ACL, primeiro conclua a seguinte tarefa:

  • Configurar ACL

Configurar IP ACL para ser aplicado à porta

Aplique IP ACL à porta. O pacote que passa pela porta é analisado e processado de acordo com o IP ACL.

Tabela 15 -25 Configure o IP ACL a ser aplicado à porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2/L3 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2/L3, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure a aplicação de IP ACL à porta ip access-group { access-list-number | access-list-name } { in | out | vfp} Obrigatório Por padrão, o IP ACL não é aplicado à porta.

Se a ACL aplicada à porta não existir, todos os pacotes que passam pela porta são permitidos.

Configurar MAC ACL para ser aplicado à porta

Aplique MAC ACL à porta. O pacote que passa pela porta é analisado e processado de acordo com o MAC ACL.

Tabela 15 -26 Configure o MAC ACL a ser aplicado à porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação interface link-aggregation link-aggregation-id
Configure o MAC ACL a ser aplicado à porta mac access-group { access-list-number | access-list-name } { in | out| vfp } Obrigatório Por padrão, o MAC ACL não é aplicado à porta.

Se a ACL aplicada à porta não existir, todos os pacotes que passam pela porta são permitidos. A MAC ACL só pode corresponder ao pacote IPv4 e não pode corresponder a outros tipos de pacotes.

Configurar IP ACL para ser aplicado à VLAN

Aplique IP ACL à VLAN. O pacote que passa pela porta é analisado e processado de acordo com o IP ACL.

Tabela 15 -27 Configurar IP ACL a ser aplicado à VLAN

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração VLAN vlan vlan-id -
Configure o IP ACL a ser aplicado à VLAN ip access-group { access-list-number | access-list-name } { in | out | vfp } Obrigatório Por padrão, a VLAN não é aplicada ao IP ACL.

Se a ACL aplicada à VLAN não existir, todos os pacotes que passam pela VLAN são permitidos.

Configurar MAC ACL para ser aplicado ao VLAN RANGE

Aplique MAC ACL ao VLAN RANGE. Os pacotes que passam VLAN RANGE são analisados e processados de acordo com MAC ACL.

Tabela 15 -28 Configurar MAC ACL a ser aplicado ao VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o MAC ACL para ser aplicado ao VLAN RANGE mac access-group { access-list-number | access-list-name } { in | out } vlan range <1-4094> Obrigatório Por padrão, o MAC ACL não é aplicado ao VLAN RANGE.

Se o ACL aplicado ao VLAN RANGE não existir, todos os pacotes que passam pelo VLAN RANGE são permitidos.

Configurar IP ACL para ser aplicado ao VLAN RANGE

Aplique IP ACL ao VLAN RANGE. Os pacotes que passam VLAN RANGE são analisados e processados de acordo com o IP ACL.

Tabela 15 -29 Configurar IP ACL a ser aplicado ao VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o IP ACL a ser aplicado ao VLAN RANGE ip access-group { access-list-number | access-list-name } { in | out } vlan range <1-4094> Obrigatório Por padrão, o IP ACL não é aplicado ao VLAN RANGE.

Se o ACL aplicado ao VLAN RANGE não existir, todos os pacotes que passam pelo VLAN RANGE são permitidos.

Configurar IPv6 ACL para ser aplicado ao VLAN RANGE

Aplique IPv6 ACL ao VLAN RANGE. Os pacotes que passam VLAN RANGE são analisados e processados de acordo com IPv6 ACL.

Tabela 15 -30 Configurar IPv6 ACL a ser aplicado ao VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o IPv6 ACL para ser aplicado ao VLAN RANGE ipv6 access-group { access-list-number | access-list-name } { in | out } vlan range <1-4094> Obrigatório Por padrão, o IPv6 ACL não é aplicado ao VLAN RANGE.

Se o ACL aplicado ao VLAN RANGE não existir, todos os pacotes que passam pelo VLAN RANGE são permitidos.

Configure o MAC ACL para ser aplicado à L3 Interface VLAN RANGE

Aplique MAC ACL ao intervalo de VLAN da interface L3. Os pacotes que passam pela interface L3 VLAN RANGE são analisados e processados de acordo com o MAC ACL.

Tabela 15 -31 Configurar MAC ACL a ser aplicado à interface L3 VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o MAC ACL para ser aplicado à interface L3 VLAN RANGE mac access-group { access-list-number | access-list-name } { in | out } interface vlan range <1-4094> Obrigatório Por padrão, o MAC ACL não é aplicado ao VLAN RANGE da interface L3.

Se a ACL aplicada à interface L3 VLAN RANGE não existir, todos os pacotes que passam pela VLAN RANGE são permitidos.

Configure o IP ACL para ser aplicado à L3 Interface VLAN RANGE

Aplique IP ACL ao intervalo de VLAN da interface L3. Os pacotes que passam pela interface L3 VLAN RANGE são analisados e processados de acordo com o IP ACL.

Tabela 15 -32 Configurar IP ACL a ser aplicado à interface L3 VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o IP ACL a ser aplicado à interface L3 VLAN RANGE ip access-group { access-list-number | access-list-name } { in | out } interface vlan range <1-4094> Obrigatório Por padrão, o IP ACL não é aplicado ao VLAN RANGE da interface L3.

Se a ACL aplicada à interface L3 VLAN RANGE não existir, todos os pacotes que passam pela VLAN RANGE são permitidos.

Configurar IPv6 ACL para ser aplicado ao L3 Interface VLAN RANGE

Aplique IPv6 ACL a L3 interface VLAN RANGE. Os pacotes que passam pela interface L3 VLAN RANGE são analisados e processados de acordo com o IPv6 ACL.

Tabela 15 -33 Configurar IPv6 ACL a ser aplicado à interface L3 VLAN RANGE

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure IPv6 ACL para ser aplicado à interface L3 VLAN RANGE ipv6 access-group { access-list-number | access-list-name } { in | out } interface vlan range <1-4094> Obrigatório Por padrão, o IPv6 ACL não é aplicado ao VLAN RANGE da interface L3.

Se a ACL aplicada à interface L3 VLAN RANGE não existir, todos os pacotes que passam pela VLAN RANGE são permitidos.

Configurar IP ACL para ser aplicado globalmente

Aplique IP ACL globalmente. Os pacotes que passam por todas as portas são analisados e processados de acordo com o IP ACL.

Tabela 15 -34 Configure o IP ACL para ser aplicado globalmente

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure o IP ACL para ser aplicado globalmente global ip access-group { access-list-number | access-list-name } in Obrigatório Por padrão, o IP ACL não é aplicado globalmente.

Se a ACL aplicada globalmente não existir e todas as portas não estiverem configuradas com ACL, todos os pacotes que passarem pela porta serão permitidos.

Configurar a ACL híbrida para ser aplicada globalmente

Aplique a ACL híbrida globalmente. Os pacotes que passam por todas as portas são analisados e processados de acordo com o Hybrid ACL.

Tabela 15 -35 Configure a ACL híbrida para ser aplicada globalmente

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a ACL híbrida para ser aplicada globalmente global hybrid access-group { access-list-number | access-list-name } in Obrigatório Por padrão, a ACL híbrida não é aplicada globalmente.

Se a ACL aplicada globalmente não existir e todas as portas não estiverem configuradas com ACL, todos os pacotes que passarem por todas as portas serão permitidos. Ao configurar o Hybrid ACL para ser aplicado globalmente, a função global do IP Source Guard precisa ser desabilitada.

Configurar IP ACL para ser aplicado a uma interface

Aplique IP ACL a uma interface. O pacote que passa pela porta é analisado e processado de acordo com o IP ACL.

Tabela 15 -36 Configurar IP ACL a ser aplicado à interface

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Configure o IP ACL a ser aplicado à interface ip access-group { access-list-number | access-list-name } { in | out | self } Obrigatório Por padrão, o IP ACL não é aplicado à interface.

Se a ACL aplicada à interface não existir, todos os pacotes que passam pela interface são permitidos.

Configurar MAC ACL para ser aplicado a uma interface

Aplique MAC ACL a uma interface. O pacote que passa pela porta é analisado e processado de acordo com o MAC ACL.

Tabela 15 -37 Configure o MAC ACL para ser aplicado à interface

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Configure o MAC ACL para ser aplicado à interface mac access-group { access-list-number | access-list-name } { in | out } Obrigatório Por padrão, o MAC ACL não é aplicado à interface.

Se a ACL aplicada à interface não existir, todos os pacotes que passam pela interface são permitidos.

Configurar IPv6 ACL para ser aplicado a uma porta

Aplique IPv6 ACL a uma porta. O pacote que passa pela porta é analisado e processado de acordo com o IPv6 ACL.

Tabela 15 -38 Configurar IPv6 ACL para ser aplicado a uma porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação link-aggregation link-aggregation-id
Configure o IPv6 ACL para ser aplicado a uma porta ipv6 access-group { access-list-number | access-list-name } { in | out } Obrigatório Por padrão, a ACL IPv6 não é aplicada à porta.

Se a ACL aplicada à porta não existir, todos os pacotes que passam pela porta são permitidos.

Configurar IPv6 ACL para ser aplicado a uma interface

Aplique IPv6 ACL a uma interface. O pacote que passa pela interface é analisado e processado de acordo com o IPv6 ACL.

Tabela 15 -39 Configurar IPv6 ACL para ser aplicado a uma interface

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Aplicar IPv6 ACL a uma interface ipv6 access-group { access-list-number | access-list-name } { in | out } Obrigatório Por padrão, a ACL IPv6 não é aplicada à interface.

Se a ACL aplicada à interface não existir, todos os pacotes que passam pela interface são permitidos.

Configurar o modo ACL

Há dois modos quando a mesma ACL é aplicada a portas diferentes. Um é o modo de porta. No modo Porta, a mesma ACL usa recursos ACL diferentes em portas diferentes e o tráfego de portas diferentes usa recursos diferentes para corresponder. O outro é o modo bitmap. No modo bitmap, a mesma ACL usa os mesmos recursos ACL em portas diferentes, a correspondência de portas é realizada por bitmap e o tráfego de portas diferentes é correspondido por recursos relacionados. Dessa forma, o modo bitmap pode economizar recursos. Por padrão, o ACL está no modo de porta.

Condição de configuração

Nenhum

Configurar o modo ACL

Quando a mesma ACL é usada em portas diferentes, o modo pode ser usado para ajustar se a ACL entrega recursos separadamente nas portas ou se os recursos são compartilhados pelo BitMap.

Tabela 15 -40 Configurar o modo ACL

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar o modo ACL acl mode { port | bitmap } Obrigatório Por padrão, a ACL está no modo Porta.

Monitoramento e manutenção de ACL

Tabela 15 -41 Monitoramento e Manutenção de ACL

Comando Descrição
show access-list [ access-list-number | access-list-name ] Exiba as informações de configuração da ACL
show acl-object [ global | interface [ vlan [ in | out ] | switchport [ in | out | vfp ]] | vlan [ in | out ] | vlan-range [ in | out ] ] Exiba a VLAN, porta, ACL global aplicada, VLAN de interface, VLAN RANGE e informações de VLAN de interface .
show ip access-list [ access-list-number | access-list-name ] Exiba as informações de configuração do IP ACL
show hybrid access-list [ access-list-number | access-list-name ] Exibe as informações de configuração da ACL estendida e avançada do Hybird
show ip interface list Exiba as informações do IP ACL aplicado à interface
show ipv6 access-list [ access-list-number | access-list-name ] Exiba as informações de configuração da ACL IPv6
show mac access-list [ access-list-number | access-list-name ] Configure as informações de configuração do MAC ACL
show mac interface list Exiba as informações do MAC ACL aplicado à interface
show time-range [ time-range-name ] Exibir as informações de configuração e status do domínio de tempo
show time-range-state [ time-range-name ] Exibir as informações de status do domínio do tempo
show acl mode Exibir as informações do modo ACL

Exemplo de configuração típica de ACL

Configurar ACL padrão IP

Requisitos de rede

  • PC1, PC2 e PC3 estão conectados à rede IP via dispositivo.
  • Configure a regra ACL padrão IP, percebendo que PC1 pode acessar a rede IP, PC2 e PC3 não podem acessar a rede IP.

Topologia de rede

Figura 15 – 1 Rede de configuração da ACL padrão IP

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Criar VLAN.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:Configure a interface VLAN correspondente e o endereço IP no dispositivo. (Omitido)
  • Passo 3:Configure a ACL padrão IP.

#Configure a ACL padrão IP com o número de série 1 no dispositivo.

Device(config)#ip access-list standard 1

# Configure a regra, permitindo que PC1 acesse a rede IP.

Device(config-std-nacl)#permit host 131.44.1.1

#Configure a regra, evitando que o segmento de rede 131.44.2.0/24 acesse a Rede IP.

Device(config-std-nacl)#deny 131.44.2.0 0.0.0.255

#Envie a regra configurada

Device(config-std-nacl)#commit
Device(config-std-nacl)#exit

#Visualize as informações da ACL com número de série 1 no dispositivo.

Device#show ip access-list 1
ip access-list standard 1
 10 permit host 131.44.1.1
 20 deny 131.44.2.0 0.0.0.255
  • Passo 4:Configure a aplicação da ACL padrão IP.

#Aplique a ACL padrão IP com número de série 1 à entrada da porta gigabitethernet0/1 no dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip access-group 1 in
Device(config-if-gigabitethernet0/1)#exit

#Visualize a informação da ACL aplicada à porta no dispositivo.

Device#show acl-object interface 
-----------Interface-----Bind-----Instance--------------
Interface----------------Direction----AclType----AclName
gi0/1                    IN           IP         1
-----------Interface-----Bind-----Instance--------------
Interface VlanId---------Direction----AclType----AclName
Device#     
  • Passo 5:Confira o resultado.

# PC1 pode acessar a rede IP; PC e PC3 não podem acessar a rede IP.

Configurar ACL estendida de IP com domínio de tempo

Requisitos de rede

  • PC1, PC2 e PC3 estão conectados à rede IP via dispositivo.
  • Configure a regra de ACL estendida de IP, percebendo que o PC1 pode acessar a rede IP dentro do tempo especificado, o PC2 pode acessar o serviço FTP na rede IP e o PC3 não pode acessar a rede IP.

Topologia de rede

Figura 15 – 2 Rede de configuração de ACL estendida de IP com domínio de tempo

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Criar VLAN.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1, gigabitethernet0/2 como acesso, permitindo os serviços de VLAN2 para passar.

Device(config)#interface gigabitethernet 0/1,0/2
Device(config-if-range)#switchport mode access   
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
  • Passo 2:Configure a interface VLAN correspondente e o endereço IP no dispositivo. (Omitido)
  • Passo 3:Configure o domínio do tempo.

#Configure o domínio de tempo “time-range-work” no dispositivo e o intervalo é das 08:00:00 às 18:00:00 todos os dias.

Device(config)#time-range time-range-work
Device(config-time-range)#periodic daily 08:00:00 to 18:00:00 Device(config-time-range)#exit

#Visualize a hora atual do sistema no dispositivo.

Device#show clock 
                                    
UTC FRI APR 05 15:26:31 2013

#Visualize as informações do domínio de tempo definido “ time-range-work” no dispositivo.

Device#show time-range time-range-work
Timerange name:time-range-work  (STATE:active)
  10  periodic daily 08:00:00 to 18:00:00 (active)
  • Passo 4:Configure a ACL estendida IP.

#Configure a ACL estendida de IP com o número de série 1001 no dispositivo.

Device(config)#ip access-list extended 1001

#Configure a regra, evitando que o segmento de rede 131.44.2.0/24 acesse a Rede IP.

Device(config-ext-nacl)#deny ip 131.44.2.0 0.0.0.255 any

#Configure a regra, permitindo que o PC2 acesse o serviço FTP da Rede IP.

Device(config-ext-nacl)#permit tcp host 131.44.1.2 any eq ftp 
Device(config-ext-nacl)#permit tcp host 131.44.1.2 any eq ftp-data

#Configure a regra, permitindo que o PC1 acesse a rede IP no domínio de tempo definido “ time-range-work” intervalo.

Device(config-ext-nacl)#permit ip host 131.44.1.1 any time-range time-range-work

#Envie a regra configurada

Device(config-ext-nacl)#commit
Device(config-ext-nacl)#exit

#Visualize as informações da ACL com número de série 1001 no dispositivo.

Device#show ip access-list 1001
ip access-list extended 1001
 10 deny ip 131.44.2.0 0.0.0.255 any
 20 permit tcp host 131.44.1.2 any eq ftp
 30 permit tcp host 131.44.1.2 any eq ftp-data
 40 permit ip host 131.44.1.1 any time-range time-range-work (active)  
  • Passo 5:Configure a aplicação da ACL estendida de IP.

#Aplique a ACL estendida de IP com número de série 1001 à saída da porta gigabitethernet0/1 no dispositivo.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip access-group 1001 out
Device(config-if-gigabitethernet0/1)#exit

#Visualize a informação da ACL aplicada à porta no dispositivo.

Device#show acl-object interface 
-----------Interface-----Bind-----Instance--------------
Interface----------------Direction----AclType----AclName
gi0/1                    OUT          IP         1001
-----------Interface-----Bind-----Instance--------------
Interface VlanId---------Direction----AclType----AclName
  • Passo 6:Confira o resultado.

#PC1 pode acessar a Rede IP das 08:00 às 18:00 de todos os dias; PC2 pode acessar qualquer servidor FTP em Rede IP; PC3 não pode acessar a rede IP.

Configurar ACL padrão MAC

Requisitos de rede

  • PC1, PC2 e PC3 estão conectados à rede IP via dispositivo.
  • Configure a regra ACL padrão MAC, percebendo que PC1 pode acessar a rede IP, PC2 e PC3 não podem acessar a rede IP.

Topologia de rede

Figura 15 – 3 Rede de configuração da ACL padrão MAC

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Criar VLAN.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/2 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access   
Device(config-if-gigabitethernet0/2)#switchport access vlan 2
Device(config-if-gigabitethernet0/2)#exit
  • Passo 2:Configure a interface VLAN correspondente e o endereço IP no dispositivo. (Omitido)
  • Passo 3:Configure a ACL padrão MAC.

#Configure a ACL padrão MAC com número de série 2001 no dispositivo.

Device(config)#mac access-list standard 2001

# Configure a regra, permitindo que PC1 acesse a rede IP.

Device(config-std-mac-nacl)#permit host 0001.0001.0001

#Configure a regra, impedindo que o segmento de rede com endereço MAC 0002.0002.0000 e máscara ffff.ffff.0000 acesse a rede IP.

Device(config-std-mac-nacl)#deny 0002.0002.0000 0000.0000.ffff

#Envie a regra configurada

Device(config-ext-nacl)#commit

#Visualize as informações da ACL com número de série 2001 no dispositivo.

Device#show mac access-list 2001
mac access-list standard 2001
10 permit host 0001.0001.0001 20 deny 0002.0002.0000 0000.0000.ffff
  • Passo 4:Configure a aplicação da ACL padrão MAC.

#Aplique a ACL padrão MAC com número de série 2001 ao ingresso da porta gigabitethernet0/2 no dispositivo.

Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac access-group 2001 in
Device(config-if-gigabitethernet0/2)#exit

#Visualize a informação da ACL aplicada à porta no dispositivo.

Device#show acl-object interface 
-----------Interface-----Bind-----Instance--------------
Interface----------------Direction----AclType----AclName
gi0/2                    IN           MAC        2001
-----------Interface-----Bind-----Instance--------------
Interface VlanId---------Direction----AclType----AclName     
  • Passo 5:Confira o resultado.

# PC1 pode acessar a rede IP; PC2 e PC3 não podem acessar a rede IP.

Configurar ACL Estendido MAC

Requisitos de rede

  • PC1, PC2 e Telefone IP estão conectados à Rede IP via Dispositivo1.
  • Configure a regra de ACL estendida MAC no Device2, percebendo que o usuário da VLAN2 não pode acessar a rede IP e, exceto os usuários de voz, todos os outros usuários da VLAN3 podem acessar a rede IP.

Topologia de rede

Figura 15 – 4 Rede de configuração da ACL estendida MAC

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no Device2.

#Cria VLAN2 e VLAN3.

Devic2e#configure terminal 
Device2(config)#vlan 2
Device2(config-vlan2)#exit
Device2#configure terminal 
Device2(config)#vlan 3
Device2(config-vlan3)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Trunk, permitindo a passagem dos serviços de VLAN2 e VLAN3.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#switchport mode trunk
Device2(config-if-gigabitethernet0/1)#switchport trunk vlan 2-3
Device2(config-if-gigabitethernet0/1)#exit
  • Passo 2:Configure a interface VLAN correspondente e o endereço IP em Device1 e Device2. (Omitido)
  • Passo 3:Configure o Voice-VLAN para definir o valor COS do pacote do Telefone IP como 7 no Dispositivo1. (Omitido)
  • Passo 4:Configure a ACL estendida MAC.

#Configure o MAC Extended ACL com o número de série 3001 no Device2.

Device2(config)#mac access-list extended 3001

# Configure a regra, evitando que os usuários da VLAN2 acessem a rede IP.

Devic2(config-ext-mac-nacl)#deny any any vlan-id 2

#Configure a regra, evitando que os usuários de voz na VLAN3 acessem a rede IP.

Device2(config-ext-mac-nacl)#deny any any cos 7 vlan-id 3

#Configure a regra, permitindo que os demais usuários da VLAN3 acessem a rede IP.

Device2(config-ext-mac-nacl)#permit any any vlan-id 3

#Envie a regra configurada

Device2(config-ext-nacl)#commit

#Visualize as informações da ACL com número de série 3001 no Device2.

Device2#show access-list 3001
mac access-list extended 3001
 10 deny any any vlan-id 2
 20 deny any any cos 7 vlan-id 3
 30 permit any any vlan-id 3
  • Passo 5:Configure a aplicação da ACL estendida MAC.

#Aplique o MAC Extended ACL com número de série 3001 ao ingresso da porta gigabitethernet0/1 no Device2.

Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#mac access-group 3001 in
Device2(config-if-gigabitethernet0/1)#exit

#Visualize as informações da ACL aplicada à porta no Device2.

Device#show acl-object interface 
-----------Interface-----Bind-----Instance--------------
Interface----------------Direction----AclType----AclName
gi0/1                    IN           MAC        3001
-----------Interface-----Bind-----Instance--------------
Interface VlanId---------Direction----AclType----AclName
  • Passo 6:Confira o resultado.

# PC2 pode acessar a rede IP; O PC1 e o Telefone IP não podem acessar a Rede IP.

Para a configuração do Voice-VLAN, consulte o capítulo Voice-VLAN do manual de configuração.

Configurar ACL estendida híbrida

Requisitos de rede

  • PC1, PC2 e PC3 estão conectados à rede IP via dispositivo.
  • Configure a regra de ACL estendida híbrida, percebendo que PC1 pode acessar a rede IP dentro do tempo especificado, PC2 e PC3 não podem acessar a rede IP.

Topologia de rede

Figura 15 - 5 Rede de configuração de ACL estendida híbrida

Etapas de configuração

  • Passo 1:Configure o tipo de link de VLAN e porta no dispositivo.

#Criar VLAN.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta gigabitethernet0/1 como Acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access   
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
  • Passo 2:Configure a interface VLAN correspondente e o endereço IP no dispositivo. (Omitido)
  • Passo 3:Configure o domínio do tempo.

#Configure o domínio de tempo “time-range-work” no dispositivo e o intervalo é das 08:00 às 18:00 todos os dias.

Device(config)#time-range time-range-work
Device(config-time-range)#periodic daily 08:00 to 18:00 	
Device(config-time-range)#exit

#Visualize a hora atual do sistema no dispositivo.

Device#show clock 
                                    
UTC FRI APR 05 15:26:31 2013

#Visualize as informações do domínio de tempo definido “time-range-work” no dispositivo.

Device#show time-range time-range-work
Timerange name:time-range-work (STATE:active) 10 periodic daily 08:00 to 18:00 (active)
  • Passo 4:Configure a lista de ACL estendida híbrida.

#Configure a ACL estendida híbrida com o número de série 5001 no dispositivo.

Device(config)#hybrid access-list extended 5001

#Configure a regra, permitindo que o PC1 acesse a rede IP no domínio de tempo definido “ time-range-work” intervalo.

Device(config-hybrid-nacl)# permit host 0001.0001.0001 any ether-type ipv4 ip any any time-range time-range-work

#Configure a regra, evitando que o segmento 131.44.0.0/16 acesse a Rede IP.

Device(config-hybrid-nacl)# deny any any ether-type ipv4 ip 131.44.0.0 0.0.255.255 any

#Configure a regra, permitindo que todos os pacotes da Rede IP passem pelo Device.

Device(config-hybrid-nacl)# permit any any ether-type ipv4 ip any any

#Envie a regra configurada

Device(config-hybrid-nacl)#commit
Device(config-hybrid-nacl)#exit

#Visualize as informações da ACL com número de série 5001 no dispositivo.

Device#show hybrid access-list 5001
hybrid access-list extended 5001
 
10 permit host 0001.0001.0001 any ether-type ipv4 ip any any time-range time-range-work (active)
 20 deny any any ether-type ipv4 ip 131.44.0.0 0.0.255.255 any
 30 permit any any ether-type ipv4 ip any any 
  • Passo 5:Configure a aplicação da ACL estendida híbrida.

#Aplique a ACL estendida híbrida com número de série 5001 ao ingresso globalmente.

Device(config)#global hybrid access-group 5001 in

#Visualize as informações da ACL aplicada globalmente no dispositivo.

Device#show acl-object global 
                                    
----------------Global-----Bind-----Instance-----------
Global-------------------Direction----AclType----AclName
global                   IN           HYBRID     5001 
  • Passo 6:Confira o resultado.

#PC1 pode acessar a rede IP das 08:00 às 18:00 todos os dias; PC2 e PC3 não podem acessar a rede IP.

URPF

Visão geral

Na Internet atual, muitos ataques de rede usam o pacote de ataque de endereço IP de origem falsa. Por um lado, pode evitar que o próprio endereço IP seja rastreado; por outro lado, o endereço IP de origem do pacote, como ataque Land e Smurf, é o endereço IP do objeto de ataque. Para limitar o dano causado pelo ataque de endereço de origem falso e rastrear a origem do ataque, avance para filtrar o tráfego de endereço IP de origem falso no ISP ou dispositivo de acesso à rede de borda em rfc2827 e rfc3704, suprimindo o ataque na fonte de geração do pacote de ataque .

A principal função do URPF (Unicast Reverse Path Forwarding) é impedir a ação de ataque à rede com base na falsificação de endereço de origem falso. Durante o encaminhamento de pacotes, execute a tabela de rota reversa procurando o endereço de origem do pacote e julgue se permite a passagem do pacote de acordo com o resultado da pesquisa da tabela de rotas, de modo a evitar o spoofing do endereço IP, especialmente válido para o Ataque DoS (Denial of Service) do endereço de origem falso. A verificação URPF tem dois modos, ou seja, estrito e solto.

O ataque à rede já causa a séria ameaça à segurança da rede. O URPF filtra o pacote de ataque de rede do endereço IP de origem falso no ISP ou dispositivo de acesso de borda, para suprimir o dano causado pelo pacote de ataque de rede. É um método válido de prevenir o ataque à rede.

Configuração da função URPF

Tabela 16 -1 lista de configuração da função UPPF

Tarefa de configuração
Configurar a função URPF Configurar a verificação de URPF

Configurar função URPF

Condição de configuração

Nenhum

Configurar verificação de URPF

Configurando o URPF, verifique-o para filtrar o pacote de ataque com base no endereço IP de origem falso na interface de recebimento. O URPF suporta os modos estrito e solto. No modo solto, o URPF executa a tabela de rotas procurando o endereço IP de origem do pacote recebido. Se encontrar a rota, permitir que o pacote passe, enquanto no modo estrito, não precisamos apenas encontrar a rota, mas também a interface de saída e a interface de recebimento de pacotes precisam ser as mesmas para que o pacote possa passar .

Tabela 16 -2 Configurar a verificação de URPF

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Habilite a verificação global de URPF ip urpf [ allow-default-route ] Obrigatório
Entre no modo de configuração da porta interface interface-name -
Habilite a verificação de URPF da porta ip urpf { loose | strict } Obrigatório Por padrão, a porta não habilita a verificação de URPF. A verificação de URPF da porta pode ter efeito somente após habilitar a verificação de URPF global.

Habilitar a função URPF fará com que o número máximo de tabelas de rotas suportadas por todo o dispositivo seja reduzido pela metade.

Monitoramento e Manutenção de URPF

Tabela 16 -3 Monitoramento e Manutenção de URPF

Comando Descrição
show ip urpf brief Exibir as informações de configuração do URPF
show ip urpf config Exiba as informações de configuração de URPF globais e de interface

Exemplo de configuração típica de URPF

Configurar o modo estrito de URPF

Requisitos de rede

  • O PC está conectado à Rede IP via Dispositivo; configure o modo estrito URPF no dispositivo.
  • O PC simula o invasor para enviar o pacote inválido com o endereço de origem falso para acessar a rede IP. A função URPF do dispositivo descarta o pacote.

Topologia de rede

Figura 16 – 1 Rede de configuração do modo estrito de URPF

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP e a rota da interface; é necessário que o PC possa acessar a rede IP via dispositivo. (Omitido)
  • Passo 3:Configure o modo estrito de URPF.

#Ative a função URPF no dispositivo e configure o modo estrito do URPF na porta gigabitethernet0/1.

Device#configure terminal
Device(config)#ip urpf
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip urpf strict
Device(config-if-gigabitethernet0/1)#exit
  • Passo 4:Confira o resultado.

#PC acessa a rede IP via dispositivo e o endereço de origem é 120.5.0.2.

Há a rota para 120.5.0.2 ao dispositivo e a interface de saída da rota é VLAN2. A interface de saída de rota para o endereço de origem e a interface para receber o pacote são a mesma interface VLAN2. Após passar na verificação estrita do URPF, o pacote é encaminhado pelo dispositivo e o PC pode acessar a rede IP.

#PC simula que o invasor envie o pacote inválido com o endereço de origem falso; acessar Rede IP via Dispositivo; o endereço de origem é 120.10.0.2.

Não há rota para 120.10.0.2 no Dispositivo; O URPF descarta o pacote e o PC não pode acessar a rede IP.

Configurar o modo solto URPF

Requisitos de rede

  • PC1 acessa PC2 via Device1, Device2 e Device 3 inno ambiente de rede; o pacote de resposta do PC2 chega ao PC1 via Device3 e Device1.
  • Configure o modo solto URPF no Device3.
  • O PC1 simula o invasor para enviar o pacote inválido com o endereço de origem falso para acessar o PC2. A função URPF do Device3 descarta o pacote.

Topologia de rede

Figura 16 - 2 Rede de configuração do modo solto URPF

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configure a rota estática na rede, fazendo com que o PC1 acesse o PC2 via Device1, Device2 e Device3; o pacote de resposta do PC2 chega ao PC1 via Device3 e Device1.

#Configure a rota estática de Device1, Device2 e Device3; construir o ambiente de rede nos requisitos de rede.

Device1#configure terminal
Device1(config)#ip route 120.1.0.0 255.255.255.0 120.3.0.2
Device1(config)#ip route 120.2.0.0 255.255.255.0 120.3.0.2
Device2#configure terminal
Device2(config)#ip route 120.1.0.0 255.255.255.0 120.2.0.2
Device3#configure terminal
Device3(config)#ip route 120.5.0.0 255.255.255.0 120.4.0.1

#Visualize as tabelas de rotas de Device1, Device2 e Device3.

Device1#show ip route
Codes: C - connected, S - static, R - RIP,  O - OSPF, OE-OSPF External, M - Management
       D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP, i-ISIS 
                                                                                        
Gateway of last resort is not set
                                                                                        
S   120.1.0.0/24 [1/10] via 120.3.0.2, 00:10:49, vlan3
S   120.2.0.0/24 [1/10] via 120.3.0.2, 00:11:19, vlan3
C 120.3.0.0/24 is directly connected, 00:19:15, vlan3 C 120.4.0.0/24 is directly connected, 00:15:00, vlan4 C 120.5.0.0/24 is directly connected, 00:07:36, vlan2 C 127.0.0.0/8 is directly connected, 357:23:02, lo0 Device2#show ip route Codes: C - connected, S - static, R - RIP, O - OSPF, OE-OSPF External, M - Management D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP, i-ISIS Gateway of last resort is not set S 120.1.0.0/24 [1/10] via 120.2.0.2, 00:15:37, vlan3
C 120.2.0.0/24 is directly connected, 00:17:17, vlan3
C 120.3.0.0/24 is directly connected, 00:25:21, vlan2 C 127.0.0.0/8 is directly connected, 00:38:29, lo0 Device3#show ip route Codes: C - connected, S - static, R - RIP, O - OSPF, OE-OSPF External, M - Management D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP, i-ISIS Gateway of last resort is not set C 120.1.0.0/24 is directly connected, 00:17:01, vlan4 C 120.2.0.0/24 is directly connected, 00:19:13, vlan2 C 120.4.0.0/24 is directly connected, 00:18:50, vlan3 S 120.5.0.0/24 [1/10] via 120.4.0.1, 00:17:19, vlan3 C 127.0.0.0/8 is directly connected, 00:26:16, lo0
  • Passo 4:Configure o modo solto URPF no Device3.

#Habilite a função URPF no Device3 e configure o modo solto URPF na porta gigabitethernet0/1.

Device3#configure terminal
Device3(config)#ip urpf
Device3(config)#interface gigabitethernet 0/1
Device3(config-if-gigabitethernet0/1)#ip urpf loose
Device3(config-if-gigabitethernet0/1)#exit
  • Passo 5:Confira o resultado.

#PC1 pingar PC2

O pacote de solicitação de ping do PC1 chega ao PC2 via Device1, Device2 e Device3; o pacote de resposta de ping do PC2 chega ao PC1 via Device3 e Device1.

#PC1 acessa PC2 e o endereço de origem é 120.5.0.2.

Há a rota para 120.5.0.2 no Device3 e a interface de saída da rota é VLAN3. A interface de saída de rota para o endereço de origem VLAN3 e a interface para receber o pacote VLAN2 não são a mesma interface, mas após a verificação de URPF, o pacote é encaminhado pelo Device3, o PC1 pode acessar o PC2 e o pacote de resposta do PC2 chega ao PC1 via Dispositivo3 e Dispositivo1.

#PC1 simula o invasor enviar o pacote inválido com o endereço de origem falso para acessar o PC2 e o endereço de origem é 120.10.0.2.

Não há rota para 120.10.0.2 no Device3; URPF descarta o pacote; PC1 não pode acessar PC2.

O descarte de pacote gerado pela detecção não gera as informações de log ou estatísticas. A diferença dos modos estrito e solto do URPF: No modo solto, o URPF executa a tabela de rotas procurando o endereço IP de origem do pacote recebido. Se encontrar a rota, permitir que o pacote passe, enquanto no modo estrito, não precisamos apenas encontrar a rota, mas também a interface de saída e a interface de recebimento de pacotes precisam ser as mesmas para que o pacote possa passar . Geralmente aplica o modo estrito. O modo solto é aplicado ao ambiente de rede do caso semelhante “A rota de chegada e a rota de retorno são inconsistentes”.

Detecção de Ataque

Visão geral

A detecção de ataques é uma função importante para manter a segurança da rede. Ele analisa o conteúdo do pacote processado pelo dispositivo, avalia se o pacote possui o recurso de ataque e executa algumas precauções para o pacote com o recurso de ataque de acordo com a configuração, como interceptar o pacote de ataque e registrar o log do pacote de ataque. Configurar a função de detecção de ataque no dispositivo, por um lado, pode evitar que o dispositivo se torne anormal devido ao ataque à rede, melhorando a capacidade anti-ataque do dispositivo; por outro lado, pode interceptar o tráfego de ataque encaminhado pelo dispositivo, evitando que os demais dispositivos da rede não funcionem normalmente por terem sido atacados.

Configuração da função de detecção de ataque

Tabela 17 -1 A lista de configuração da função de detecção de ataque

Tarefa de configuração
Configure a função de detecção de ataque de software Configure a interceptação do pacote com comprimento de IP muito pequeno
Configure a interceptação dos pacotes de fragmentos irracionais
Configure a interceptação do pacote de ataque Land
Configure a interceptação do pacote de ataque Fraggle
Configure a interceptação do pacote de ataque de inundação ICMP
Configure a interceptação do pacote de ataque de inundação TCP SYN
Configure a interceptação do pacote de ataque de varredura de endereço e porta
Configurar a gravação do log de detecção de ataque de software
Configurar a função de detecção de ataque de hardware Configure a interceptação do pacote de fragmento ICMP do protocolo IPv4&6
Configure a interceptação do pacote com o mesmo MAC de origem e destino
Configure a interceptação do pacote com o mesmo IP de origem e destino
Configure a interceptação do pacote TCP com a mesma porta de origem e destino
Configure a interceptação do pacote UDP com a mesma porta de origem e destino
Configure a interceptação do pacote IPv4&6 com o campo de controle TCP (flags) e o número de série seq como 0
Configure a interceptação do ataque IPv4&6 com TCP FIN, URG e PSH como 1, mas sequência como 0
Configure a interceptação do pacote IPv4&6 com os sinalizadores TCP SYN e FIN definidos ao mesmo tempo

A função de detecção de ataque de software é válida apenas para o pacote para o dispositivo local; a função de detecção de ataque de hardware é válida para todos os pacotes recebidos pela porta de comutação. A detecção de ataque de software suporta as estatísticas e a gravação de log para os empacotadores descartados; a detecção de ataque de hardware é realizada pelo chip de comutação e não suporta as estatísticas e a gravação de log para os pacotes descartados.

Configurar a função de detecção de ataque de software

A função de detecção de ataque de software é realizada adotando o modo de software, realizando a detecção de ataque apenas para o pacote com o endereço de destino como o próprio dispositivo, para evitar que o dispositivo receba o ataque de rede.

Condição de configuração

Antes de configurar as funções de interceptação de inundação ICMP e detecção de ataque de inundação TCP SYN, primeiro conclua as seguintes tarefas:

  • Configurar ACL

Configurar pacote de interceptação com comprimento de IP muito pequeno

Quando o dispositivo recebe o pacote IP com o comprimento IP (incluindo o cabeçote IP e a carga) menor que o comprimento configurado, descarte o pacote.

Tabela 17 -2 Configure a interceptação do pacote com comprimento de IP muito pequeno

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote com comprimento de IP muito pequeno anti-attack drop small-packet [ length ] Obrigatório Por padrão, não configure a função de interceptar o pacote com comprimento de IP muito pequeno. Após configurar a função e se não especificar o comprimento, intercepte o pacote com comprimento de IP menor que 64 bytes por padrão.

Após configurar o comando, o pacote BFD pode ser descartado.

Configurar pacote de fragmento irracional de interceptação

Quando o dispositivo receber o pacote de fragmento IP e o deslocamento do fragmento mais seu próprio comprimento de carga exceder o comprimento configurado, descarte o pacote.

Tabela 17 -3 Configurar interceptação de pacote de fragmento irracional

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
de pacote de fragmento irracional anti-attack drop fragment [ max-off length ] Obrigatório Por padrão, não configure a função de interceptar o pacote de fragmento não razoável. Depois de configurar a função e se não especificar o comprimento, intercepte o fragmento cujo deslocamento mais seu próprio comprimento de carga excede 65535 por padrão.

Configurar Interceptação de Pacote ICMP Especificado

Quando o dispositivo receber o pacote ICMP especificado para filtrar, descarte-o.

Tabela 17 -4 Configurar a interceptação do pacote ICMP especificado

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote ICMPv4 do tipo especificado para o dispositivo local anti-attack drop icmp type{ ECHOREPLY | UNREACH | SOURCEQUENCH | REDIRECT | ECHO | ROUTERADVERT | ROUTERSOLICIT | TIMXCEED | PARAMPROB | TSTAMP | TSTAMPREPLY | IREQ | IREQREPLY | MASKREQ | MASKREPLY} Obrigatório Por padrão, não configure a interceptação do pacote ICMPv4 do tipo especificado para o dispositivo local.

Configurar o código ICMP de interceptação do pacote diferente de zero

Quando o dispositivo receber os pacotes ICMP_ECHO, ICMP_MASKREQ e ICMP_TSTAMP, descarte-os.

Tabela 17 -5 Configure a interceptação do pacote não zero de código ICMP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Interceptar o pacote de solicitação ICMP com o campo de código diferente de zero para o dispositivo local anti-attack drop icmp code none-zero Obrigatório Por padrão, não configure a interceptação do pacote de solicitação ICMP com o campo de código diferente de zero para o dispositivo local.

Configurar pacote de ataque terrestre de interceptação

O ataque terrestre adota o mesmo IP e porta de origem e destino para enviar o pacote TCP SYN para a máquina alvo, fazendo com que o sistema alvo com o furo crie uma conexão TCP vazia consigo mesmo, resultando até mesmo na quebra do sistema alvo.

Quando o dispositivo recebe o pacote TCP SYN com o mesmo IP de origem e destino e a mesma porta de origem e destino, descarte o pacote.

Tabela 17 -6 Configurar interceptação do pacote de ataque Land

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de ataque Land anti-attack detect tcp-land Obrigatório Por padrão, não configure a interceptação do pacote de ataque Land.

Configurar pacote de ataque Fraggle de interceptação

O ataque Fraggle usa a porta de destino 19 ou 7 do pacote UDP para atacar.

Quando o dispositivo recebe o pacote UDP e a porta de destino é 19 ou 7, ele é considerado o pacote de ataque Fraggle e é descartado.

Tabela 17 -7 Configurar interceptação do pacote de ataque Fraggle

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de ataque Fraggle anti-attack detect fraggle access-list-name } [ masklen length ] Obrigatório Por padrão, não configure a função de interceptação do pacote de ataque Fraggle.

Configurar pacote de ataque de inundação ICMP de interceptação

O ataque de inundação ICMP envia muitas solicitações de eco ICMP ao host de destino para bloquear a rede do host de destino. O host de destino consome muitos recursos para responder e não pode fornecer serviços normalmente.

Quando o número de pacotes ICMP com o mesmo IP de destino recebido pelo dispositivo em um segundo excede o limite, os pacotes que excedem o limite são descartados.

Tabela 17 -8 Configurar interceptação do pacote de ataque de inundação ICMP

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de ataque de inundação ICMP anti-attack flood icmp list { access-list-number | access-list-name } [ maxcount number ] Obrigatório Por padrão, não configure a função de interceptação do pacote de ataque de inundação ICMP. Após configurar a função e se não especificar o limite, o valor padrão é 500.

Ao configurar a interceptação do pacote de ataque de inundação ICMP, primeiro é necessário criar a ACL, usada para especificar o fluxo de dados protegido. Verificamos se é o pacote de ataque de inundação ICMP apenas para o fluxo de dados permitido pela ACL. Caso contrário, permita que o pacote passe.

Configurar o pacote de ataque de inundação TCP SYN de interceptação

O ataque TCP SYN Flood envia muitas solicitações TCP SYN para o host de destino, mas não responde à mensagem ACK. Como resultado, o host de destino tem muitas semi-conexões aguardando o recebimento da mensagem ACK do solicitante, que ocupam os recursos disponíveis do host de destino. Como resultado, o host de destino não pode fornecer os serviços de rede normais.

Quando o número de pacotes TCP SYN com o mesmo IP de destino recebido pelo dispositivo em um segundo excede o limite, os pacotes que excedem o limite são descartados.

Tabela 17 -9 Configurar interceptação do pacote de ataque de inundação TCP SYN

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de ataque de inundação TCP SYN anti-attack flood tcp list { access-list-number | access-list-name } [ maxcount number ] Obrigatório Por padrão, não configure a função de interceptar o pacote de ataque de inundação TCP SYN. Após configurar a função e se não especificar o limite, o valor padrão é 500.

Ao configurar a interceptação do pacote de ataque de inundação TCP SYN, primeiro é necessário criar a ACL, usada para especificar o fluxo de dados protegido. Verificamos se é o pacote de ataque de inundação TCP SYN apenas para o fluxo de dados permitido pela ACL. Caso contrário, permita que o pacote passe.

Configurar o pacote de ataque de varredura de endereço e porta de interceptação

O ataque de varredura de endereço significa que o invasor envia os pacotes CMP para detectar o host ativo na rede, enquanto a varredura de porta significa que o invasor envia o pacote TCP ou UDP para detectar a porta habilitada do host ativo na rede. Com a varredura de endereço e porta, o invasor pode obter as informações do host ativo na rede. Normalmente, a varredura de endereço e porta é o presságio do invasor iniciando o ataque à rede.

Quando o número de pacotes ICMP com o mesmo IP e IPs de destino diferentes recebidos pelo dispositivo em um segundo excede o limite, é considerado o ataque de varredura de endereço e os pacotes que excedem o limite são descartados. Quando o número de pacotes TCP ou UDP com o mesmo IP de origem e diferentes portas de destino recebidos pelo dispositivo dentro de um segundo excede o limite, é considerado o ataque de varredura de porta e os pacotes que excedem o limite são descartados.

Tabela 17 -10 Configurar interceptação do pacote de ataque de varredura de endereço e porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface interface interface-name -
Configure a interceptação do pacote de ataque de varredura de endereço e porta anti-attack scanprotect { default | interval { default | interval-value } addr-limit { default | max-addr-value } port-limit { default | max-port-value } ban-timeout { default | max-ban-timeout } } Obrigatório Por padrão, não configure a função de interceptar os pacotes de ataque de varredura de endereço e porta. Depois de configurar a função, o intervalo padrão é 1s, o limite de varredura de endereço padrão é 10 IPs diferentes e o limite de varredura de porta padrão é 10 portas de destino diferentes.

Configurar gravação de log de detecção de ataque de software

Quando a detecção de ataque de software do dispositivo interceptar o pacote de ataque, registre as informações de log.

Tabela 17 -11 Configurar a gravação do log de detecção de ataque de software

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configurar a gravação do log de detecção de ataque de software anti-attack log Obrigatório Por padrão, não configure a função de log de detecção de ataque de software.

Configurar a função de detecção de ataque de hardware

Condições de configuração

Nenhum

Configurar pacote de fragmento ICMP de interceptação do protocolo IPv4 e 6

Quando o dispositivo receber o pacote de fragmento ICMP do protocolo IPv4&6, descarte o pacote.

Tabela 17 -12 Configurar interceptando o pacote de fragmento ICMP do protocolo IPv4&6

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de fragmento ICMP do protocolo IPv4&6 anti-attack detect frag-icmp Obrigatório Por padrão, não configure a interceptação do pacote de fragmento ICMP do protocolo IPv4&6.

Configurar pacote de interceptação com o mesmo MAC de origem e destino

Quando a porta de comutação do dispositivo recebe o pacote com o mesmo MAC de origem e destino, descarte o pacote.

Tabela 17 -13 Configure a interceptação do pacote com o mesmo MAC de origem e destino

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote com o mesmo MAC de origem e destino anti-attack detect src-dst-mac-equal Obrigatório Por padrão, não configure a função de interceptar o pacote com o mesmo MAC de origem e destino

Configurar pacote de interceptação com o mesmo IP de origem e destino

Quando a porta de comutação do dispositivo receber o pacote com o mesmo IP de origem e destino, descarte o pacote.

Tabela 17 -14 Configure a interceptação do pacote com o mesmo IP de origem e destino

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote com o mesmo IP de origem e destino anti-attack detect src-dst-ip-equal Obrigatório Por padrão, não configure a função de interceptar o pacote com o mesmo IP de origem e destino .

Configurar o pacote TCP/UDP de interceptação com a mesma porta de origem e destino

Quando a porta de comutação do dispositivo recebe o pacote TCP/UDP com a mesma porta de origem e destino, descarte o pacote.

Tabela 17 -15 Configure a interceptação do pacote TCP/UDP com a mesma porta de origem e destino

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote TCP/UDP com a mesma porta de origem e destino anti-attack detect src-dst-port-equal Obrigatório Por padrão, não configure a função de interceptação do pacote TCP/UDP com a mesma porta de origem e destino .

Configurar o pacote de interceptação IPv4 e v6 com campo de controle TCP (flags) e número de série (seq) como 0

Quando a porta do switch do dispositivo recebe o pacote IPv4&6 com o campo de controle TCP (flags) e o número de série (seq) como 0, descarte o pacote.

Tabela 17 -16 Configure a interceptação do pacote IPv4&v6 com o campo de controle TCP (flags) e o número de série (seq) como 0

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote IPv4&v6 com o campo de controle TCP (flags) e o número de série (seq) como 0 anti-attack detect tcp-flag-seq-zero Obrigatório Por padrão, não configure a interceptação do pacote IPv4&v6 com o campo de controle TCP (flags) e o número de série (seq) como 0.

Configurar interceptação de ataque IPv4 e 6 com TCP FIN, URG e PSH como 1, mas sequência como 0

Quando a porta do switch do dispositivo recebe o pacote de ataque IPv4&6 com TCP FIN, URG e PSH como 1, mas sequência como 0, descarte o pacote.

Tabela 17 -17 Configure a interceptação do pacote de ataque IPv4&6 com TCP FIN, URG e PSH como 1, mas sequência como 0

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote de ataque IPv4&6 com o TCP FIN, URG e PSH como 1, mas a sequência como 0 anti-attack detect tcp-invalid-flag Obrigatório Por padrão, não configure a interceptação do pacote de ataque IPv4&6 com o TCP FIN, URG e PSH como 1, mas a sequência como 0.

Configurar a interceptação do pacote IPv4&6 com os sinalizadores TCP SYN e FIN definidos ao mesmo tempo

Quando a porta do switch do dispositivo recebe o pacote IPv4&6 com sinalizadores SYN FIN no TCP configurados ao mesmo tempo, descarte o pacote.

Tabela 17 -18 Configure a interceptação do pacote IPv4&6 com sinalizadores SYN FIN em TCP configurados ao mesmo tempo

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Configure a interceptação do pacote IPv4 e 6 com sinalizadores SYN FIN no TCP configurados ao mesmo tempo anti-attack detect tcp-syn-fin Obrigatório Por padrão, não configure a interceptação do pacote IPv4&6 com sinalizadores SYN FIN no TCP configurados ao mesmo tempo.

Monitoramento e manutenção da detecção de ataques

Tabela 17 -19 Monitoramento e manutenção de detecção de ataque

Comando Descrição
clear anti-attack statistic Limpe as informações de estatísticas de detecção de ataque de software
show anti-attack config Exibir o software de detecção de ataque e as informações de configuração de hardware
show anti-attack statistic Exibir as informações de estatísticas de detecção de ataque de software
show anti-attack scanprotect config Exibir as informações de configuração de detecção de ataque de varredura
show anti-attack scanprotect monitor Exibir as informações de estatísticas de detecção de ataque de varredura
clear anti-attack scanprotect Limpar as informações de estatísticas de verificação de ataque de varredura

Exemplo de configuração típico de detecção de ataque

Configurar detecção de ataque anti-DDOS

Requisitos de rede

  • O dispositivo está conectado à rede IP via porta gigabitethernet0/1.
  • O dispositivo configura a função de detecção de ataque anti-DDOS. Ao encontrar o pacote de ataque, alarme e descarte o pacote de ataque, tomando como exemplo o ataque SYN Flood comum, o ataque Ping Flood e o ataque Land.

Topologia de rede

Figura 17 - 1 Rede de configuração da detecção de ataque anti-DDOS

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configure a regra ACL.

#Configure a regra ACL padrão, correspondendo ao endereço do dispositivo a ser protegido.

Device#configure terminal 
Device(config)#ip access-list standard 1
Device(config-std-nacl)#permit host 100.0.0.1
Device(config-std-nacl)#exit
  • Passo 4:Configure a função de detecção de ataque e ative a função de gravação de log.

#Configure a função de detecção de ataque SYN Flood, Ping Flood e Land no dispositivo.

Device(config)# anti-attack detect tcp-land          
Device(config)# anti-attack flood icmp list 1 maxcount 100
Device(config)# anti-attack flood tcp list 1 maxcount 100

#Ative a função de gravação de log de detecção de ataque anti-DDOS no dispositivo.

Device(config)#anti-attack log
  • Passo 5:Confira o resultado.

#Quando o dispositivo recebe o ataque SYN Flood, gera as seguintes informações de log:

%FW FLOOD_WARN-4: vlan2 gigabitethernet0/1 SYN flood attack detected, destination IP 100.0.0.1, overflow 100 packets/second.

#Quando o dispositivo recebe o ataque Ping Flood, produza as seguintes informações de log:

%FW-FLOOD_WARN-4: vlan2 gigabitethernet0/1 ICMP flood attack detected, destination IP 100.0.0.1, overflow 100 packets/second..

#Quando o dispositivo recebe o ataque Land, produza as seguintes informações de log:

%FW-LAND_WARN-4: LAND attack detected at vlan2 gigabitethernet0/1, source IP equals destination IP 100.0.0.1, source port equals destination port 1024.

#Visualize as informações de estatísticas do pacote de detecção de ataque no dispositivo:

IP attack            Drops     
-------------------- ----------
Small IP             0         
Fragment             0         
Tcp-land             6256         
Fraggle              0         
SYN Flood            6200         
ICMP Flood           4893

A função de detecção de ataque DDOS é válida apenas para os pacotes processados pela CPU.

Configurar o ataque de interceptação com o mesmo endereço IP de origem e destino

Requisitos de rede

  • O dispositivo configura a função de detecção de interceptar o ataque com o mesmo endereço IP de origem e destino, detectando o pacote de ataque e descartando-o.

Topologia de rede

Figura 17 – 2 Rede de configuração de interceptação do ataque com o mesmo endereço IP de origem e destino

Etapas de configuração

  • Passo 1:Configure a VLAN e adicione a porta à VLAN correspondente. (Omitido)
  • Passo 2:Configure o endereço IP da interface. (Omitido)
  • Passo 3:Configure a função de detecção de ataque.

#Configure a função de detecção de interceptação do ataque com o mesmo endereço IP de origem e destino.

Device#configure terminal 
Device(config)# anti-attack detect src-dst-ip-equal
  • Passo 4:Confira o resultado.

#Quando o invasor inicia o ataque de pacote com o mesmo endereço IP de origem e destino para o PC, não podemos capturar o pacote de ataque no PC.

A função de detecção de interceptação do ataque com o mesmo endereço IP de origem e destino é válida para os pacotes processados pela CPU e os pacotes de serviço. Quando a função de detecção de interceptar o ataque com o mesmo endereço IP de origem e destino descarta o pacote, não gere as informações de log ou estatísticas.

AARF

Introdução AARF

AARF é a abreviação de Anti Attack Resilient Framework.

Visão geral da AARF

No ambiente de rede, os switches são frequentemente atacados por pacotes maliciosos (ARP, ICMP, etc.). Esses ataques mal-intencionados impõem cargas pesadas ao sistema do switch e tornam o sistema incapaz de continuar em execução. Normalmente, um grande número de pacotes consumirá a utilização da CPU, memória, entradas de tabela ou outros recursos do switch. Como resultado, os outros pacotes de protocolo normais e pacotes de gerenciamento não podem ser processados pelo sistema, ou mesmo toda a rede não pode ser executada.

O AARF pode efetivamente identificar e impedir que o switch seja afetado por esses ataques. Ele pode garantir o funcionamento normal do sistema e proteger a CPU de carga excessiva quando o switch for atacado, para que toda a rede possa funcionar normalmente.

Princípios da AARF

De um modo geral, o princípio do protocolo anti-ataque de pacotes é contar os pacotes enviados para a CPU, calcular a taxa de envio deles e comparar com o limite de ataque definido. Se a taxa atingir o limite de ataque, considera-se que o pacote de protocolo tem comportamento de ataque, e então, realizar algumas restrições para o host com comportamento de ataque, como descarte de CPU, limite de velocidade e filtragem, de forma a proteger a CPU .

De fato, do ponto de vista da implementação, diferentes funções anti-ataque de pacotes de protocolo têm o mesmo método de implementação para estatísticas de pacotes, identificação, aplicação de política de ataque e assim por diante. Abstraímos o mesmo processamento, construímos uma estrutura e formamos o AARF. O AARF é usado para implementar alguns mecanismos de processamento comuns do módulo anti-ataque, de modo a melhorar a escalabilidade do módulo anti-ataque e reduzir a carga de trabalho de desenvolvimento do novo módulo anti-ataque do protocolo.

Atualmente, o AARF suporta o ARP guard (arp-guard).

ARP Anti-Ataque

ARP guard (arp-guard) é uma função de monitoramento em tempo real dos pacotes ARP para a CPU, evitando que um grande número de pacotes ARP afete a CPU e melhorando a segurança do dispositivo.

A proteção ARP inclui proteção ARP baseada em host, proteção ARP baseada em porta e identificação de varredura ARP.

O guarda ARP baseado em host conta os pacotes ARP recebidos e, em seguida, compara o valor das estatísticas com o limite definido. Se exceder o limite, é identificado como excesso de velocidade ou ataque. As estatísticas e a identificação são baseadas no endereço IP de origem/ID da VLAN/porta e no endereço MAC de origem da camada de link/ID da VLAN/porta.

O protetor ARP baseado em porta conta o número de pacotes ARP recebidos pela porta sem ataque ao host. Se exceder o limite definido pela porta, é identificado como excesso de velocidade ou ataque. As estatísticas de porta não incluem os pacotes ARP que foram identificados como ataques de host (as entradas da tabela de host são geradas e as políticas de proteção contra ataques são aplicadas).

A identificação de varredura ARP pode identificar dois tipos de varredura ARP: a varredura ARP com endereço MAC de origem fixo e IP de origem variável e a varredura ARP com MAC de origem fixo e IP de origem e IP de destino variável.

Configuração da Função ARP Guard

Tabela 18 -1 lista de configuração da função de guarda ARP

Tarefas de configuração
Configure as funções básicas do guarda ARP Habilite a função de guarda ARP global
Habilite a função de guarda ARP na porta
Configure a política do monitor do guarda ARP Configurar a política de monitor global
Configure a política do monitor na porta

Configurar as funções básicas do ARP Guard

A função de proteção ARP baseada em porta pode entrar em vigor somente após a função de proteção ARP global ser habilitada.

Condição de configuração

Nenhum

Ativar função de proteção ARP global

Tabela 18 -2 Habilitar a função de guarda ARP global

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração AARF aarf -
Habilite a função de guarda ARP global arp-guard enable Obrigatório Por padrão, não habilite a função de guarda ARP globalmente.

Ativar função de proteção ARP da porta

Tabela 18 -3 Habilitar a função de guarda ARP da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2/L3 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2/L3, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação link-aggregation link-aggregation-id
Habilite a função de guarda ARP da porta aarf arp-guard enable Obrigatório Por padrão, não habilite a função de guarda ARP na porta.

Configurar a política do monitor do ARP Guard

Condição de configuração

Nenhum

Configure a política de monitor do Global ARP Guard

Tabela 18 -4 Configurar a política do monitor da função de guarda ARP global

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração AARF aarf -
Configure a política de monitor do guarda ARP global arp-guard policy { filter | monitor | punish macbased} Por padrão, a política do monitor do protetor ARP global é monitor.

Configurar a política do monitor do protetor ARP da porta

Tabela 18 -5 Configurar a política do monitor do protetor ARP da porta

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de configuração da interface Ethernet L2/L3 interface interface-name Qualquer Depois de entrar no modo de configuração da interface Ethernet L2/L3, a configuração subsequente apenas entra em vigor na porta atual. Depois de entrar no modo de configuração do grupo de agregação, a configuração subsequente apenas entra em vigor no grupo de agregação.
Entre no modo de configuração do grupo de agregação link-aggregation link-aggregation-id
Configure a política do monitor do protetor ARP da porta aarf arp-guard policy { filter | monitor | punish macbased} Por padrão, a política do monitor do protetor ARP da porta não está configurada e a política do monitor do protetor ARP global entra em vigor.

O comando aarf arp-guard policy filter é uma política de proteção para filtrar os hosts aplicados ao host ou porta com ataque ARP sob a porta. Após configurar a política de filtragem, gere o alarme de ataque após detectar o host com excesso de velocidade ARP ou comportamento de ataque sob a porta e, se a velocidade do host que envia pacotes ARP estiver entre o limite de velocidade e o limite de ataque, a velocidade do ARP pacotes para a CPU serão limitados ao limite de velocidade. Os pacotes ARP na direção de encaminhamento serão encaminhados na velocidade de envio do host; se a velocidade do host que envia pacotes ARP exceder o limite de ataque, os pacotes ARP para a CPU serão descartados. Se detectar que a porta tem overspend ou comportamento de ataque (ou seja, a taxa total da porta que recebe os pacotes ARP de todos os hosts sem ataque é maior ou igual ao limite de velocidade da porta ou limite de ataque), gere o alarme de ataque. Se a taxa total da porta que recebe os pacotes ARP dos hosts sem ataque estiver entre o limite de velocidade da porta e o limite de ataque da porta, a taxa total da porta que recebe os pacotes ARP dos hosts sem ataque limita a velocidade do Os pacotes ARP para a CPU pelo limite de velocidade da porta, e os pacotes ARP a serem encaminhados são encaminhados pela velocidade inicial. Se a taxa total da porta que recebe os pacotes ARP de hosts sem ataque for maior ou igual ao limite de ataque da porta, todos os pacotes ARP recebidos pela porta serão descartados na direção de encaminhamento e não serão enviados à CPU.

O comando aarf arp-guard policy monitor é uma política de proteção de monitoramento do host aplicado ao host ou porta com o ataque ARP sob a porta. Após configurar a política de monitoramento, gere o alarme de ataque após detectar o pacote host ou porta com velocidade ARP ou comportamento de ataque detectado na porta, mas o pacote será enviado para a CPU na taxa do limite de velocidade e o ARP pacote além do limite de velocidade será descartado pela CPU; o pacote ARP a ser encaminhado será encaminhado na taxa inicial.

O comando aarf arp-guard policy punir macbased é uma política de proteção de punir o limite de velocidade aplicado aos hosts MAC com os ataques ARP sob a porta. Após configurar a política de punição do limite de velocidade, gere o alarme de ataque ao detectar o pacote host MAC com velocidade ARP ou comportamento de ataque sob a porta. Se a taxa dos pacotes enviados pelo host MAC estiver entre o limite de velocidade e o limite de ataque, a política do monitor entrará em vigor. Se a taxa de pacotes ARP for maior ou igual ao limite de ataque, os pacotes MAC que atacam o host serão enviados à CPU e encaminhados na metade da taxa do limite de velocidade MAC. Se o ataque parar ou a taxa cair abaixo do limite de velocidade MAC, remova a política de proteção do host quando o período de envelhecimento chegar. Além disso, neste modo de política, tanto a porta quanto o host IP usam a política do monitor.

Monitoramento e manutenção do ARP Guard

Tabela 18 -6 Monitoramento e manutenção de guarda ARP

Comando Descrição
show aarf arp-guard configure Exibir as informações de configuração do guarda ARP
show aarf arp-guard hosts Exibir as informações do host monitorado
show aarf arp-guard ports Exibir as informações da porta monitorada
show aarf arp-guard scan Exibir as informações do host digitalizadas

AARF ARP-Guard Exemplo de Configuração Típica

Configurar as funções básicas do AARF ARP-GUARD

Requisitos de rede

  • PC1, PC2 e PCs são conectados à rede IP via dispositivo.
  • O PC1 envia o pacote ARP para atacar o dispositivo, o dispositivo habilita o AARF ARP-Guard, o dispositivo normalmente identifica o excesso de velocidade do ARP, o ataque ARP, a varredura ARP MAC, a varredura ARP MAC-IP e a política AARF ARP-Guard normalmente entra em vigor.

Topologia de rede

Figura 18 – 1 Rede para configurar a função de guarda ARP

Etapas de configuração

  • Passo 1:Configure a VLAN e o tipo de link de porta no dispositivo.

#Cria VLAN2.

Device#configure terminal 
Device(config)#vlan 2
Device(config-vlan2)#exit

#Configure o tipo de link da porta tengigabitethernet0/1, tengigabitethernet0/2 e tengigabitethernet0/3 como acesso, permitindo a passagem dos serviços da VLAN2.

Device(config)#interface tengigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access 
Device(config-if-range)#switchport access vlan 2
  • Passo 2:Configure os gateways de PC1, PC2 e PC3 no dispositivo.

#Configure a interface VLAN 2 como gateway de PC1, PC2 e PC3.

Device(config)#interface vlan 2
Device(config-if-vlan2)#ip address 192.168.1.254 24
  • Passo 3:Ative o AARF ARP-Guard no dispositivo.

#Ativar AARF ARP-Guard globalmente.

Device(config)#aarf 
Device(config-aarf)#arp-guard enable

#Ative AARF ARP-Guard na porta tengigabitethernet0/1, os limites relacionados são os valores padrão e configure a política como filtro.

Device(config-if-tengigabitethernet0/1)# aarf arp-guard enable
Device(config-if-tengigabitethernet0/1)# aarf arp-guard policy filter
  • Passo 4:Confira o resultado.

#Consulte as informações de configuração do AARF ARP-Guard.

Device#show aarf arp-guard configure  interface tengigabitethernet 0/1
(Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-interface.)
-----------------------------------------------------------------------------------------
Interface/Global  Status    Rate-limit   Attack-threshold   Scan-threshold  Attack-policy  
-----------------------------------------------------------------------------------------
te0/1             Enabled   4/4/100      8/8/200             15               filter   

#Quando a taxa de PC1 enviando o pacote de solicitação ARP para solicitar o endereço IP do gateway de dispositivo for maior ou igual ao limite de velocidade baseado em host 4pps e menor que o limite de ataque baseado em host 8pps, forme as entradas da tabela relacionada e produza o informações de registro. O dispositivo reconhece que o pacote ARP baseado em host está com excesso de velocidade.

Device#show aarf arp-guard hosts
--------------------------------------------------------------------------------
Interface		Vlan				IP			MAC			     Action		Policy
---------------------------------------------------------------------------------
te0/1		     2			192.168.1.1		-				overspeed		monitor
te0/1		     2				-		0012.1011.0001		overspeed		monitor
Total: 2 record(s).  

#O log de saída é:

Dec 20 2016 03:45:28: %AARF-INTERFACE-3:<arp-guard>There are overspeed, attack or scan detected on interface te0/1.(TUE DEC 20 03:45:25 2016)
Dec 20 2016 03:45:28: %AARF-DETECTED-3:<arp-guard>Host<IP=N/A,MAC=0012.1011.0001,interface= te0/1,VLAN=2> overspeed was detected.(TUE DEC 20 03:45:25 2016)
Dec 20 2016 03:45:28: %AARF-DETECTED-3:<arp-guard>Host<IP=192.168.1.1,MAC=N/A,interface= te0/1,VLAN=2> overspeed was detected.(TUE DEC 20 03:45:25 2016)

#Quando a taxa de PC1 enviando o pacote de solicitação ARP para solicitar o endereço IP do gateway do dispositivo é maior que o limite de ataque baseado em host 8pps, o dispositivo filtra o pacote ARP, forma as entradas da tabela relacionada e gera as informações de log. O dispositivo identifica o ataque de pacote ARP baseado em host.

Device#show aarf arp-guard hosts
--------------------------------------------------------------------------------
Interface Vlan IP MAC Action Policy
-------------------------------------------------------------------------------- te0/1 2 192.168.1.1 - attack filter te0/1 2 - 0012.1011.0001 attack filter Total: 2 record(s).

#O log de saída é:

Dec 20 2016 04:30:33: %AARF-INTERFACE-3:<arp-guard>There are overspeed, attack or scan detected on interface te0/1.(TUE DEC 20 04:30:30 2016)
Dec 20 2016 04:30:33: %AARF-FILTER-3:<arp-guard>Host<IP=N/A,MAC=0012.1011.0001,interface=
te0/1,VLAN=2> attack was filter.(TUE DEC 20 04:30:30 2016)
Dec 20 2016 04:30:33: %AARF-FILTER-3:<arp-guard>Host<IP=192.168.1.2,MAC=N/A,interface=
te0/1,VLAN=2> attack was filter.(TUE DEC 20 04:30:30 2016)

#Quando o PC1 envia vários pacotes de solicitação ARP sem ataque e a taxa de envio é maior ou igual ao limite de velocidade baseado em porta 100 e menor que o limite de ataque baseado em porta 200, o dispositivo forma as entradas da tabela relacionada e emite o informações de registro. O dispositivo identifica o excesso de velocidade ARP baseado em porta.

Device#show aarf arp-guard ports 
-----------------------------------------------------------------------------------------
Interface			Hosts			Scan			Action			Policy         
-----------------------------------------------------------------------------------------
te0/1			     0				0			overspeed		     monitor        

#O log de saída é:

Dec 22 2016 06:36:32: %AARF-INTERFACE-3:<arp-guard>Interface te0/1 was overspeed.(THU DEC 22 06:36:29 2016)  

#Quando o PC1 envia vários pacotes de solicitação ARP sem ataque e a taxa de envio é maior ou igual ao limite de ataque baseado em porta 200, o dispositivo filtra todos os pacotes ARP da porta, forma as entradas da tabela relacionada e gera as informações de log. O dispositivo identifica o ataque ARP baseado em porta.

Device#show aarf arp-guard ports 
-----------------------------------------------------------------------------------------
Interface			Hosts			Scan			Action			Policy         
-----------------------------------------------------------------------------------------
te0/1			    0				0			attack			filter         

#O log de saída é:

Dec 22 2016 06:46:58: %AARF-INTERFACE-3:<arp-guard>Interface te0/1 was filter.(THU DEC 22 06:46:57 2016)

#Quando o PC1 envia o pacote de solicitação ARP com o MAC fixo e o IP do remetente crescente, e o número de pacotes de solicitação ARP enviados em 10 segundos excede 15, forme as entradas da tabela relacionada e produza as informações de log. O dispositivo identifica a varredura MAC ARP.

Device#show aarf arp-guard scan 
-----------------------------------------------------------------------------------------
Interface		Vlan				IP				MAC				Time-stamp               
-----------------------------------------------------------------------------------------
te0/1		     2				N/A			0012.1011.0001  THU DEC 22 03:16:30 2016
Total: 1 record(s).

#O log de saída é:

Dec 22 2016 03:16:19: %AARF-INTERFACE-3:<arp-guard>There are overspeed, attack or scan detected on interface te0/1.(THU DEC 22 03:16:16 2016)
Dec 22 2016 03:16:19: %AARF-SCAN-4:<arp-guard>Host<IP=N/A,MAC=0012.1011.0001,interface=
te0/1,VLAN=2> scan was detected.(THU DEC 22 03:16:16 2016)

#Quando o PC1 envia o pacote de solicitação ARP com o MAC fixo e o IP do remetente, e o IP de destino crescente, e o número de pacotes de solicitação ARP enviados em 10s excede 15, forme as entradas da tabela relacionada e produza as informações de log. O dispositivo identifica a varredura MAC-IP ARP.

Device#show aarf arp-guard scan 
-----------------------------------------------------------------------------------------------
Interface		Vlan				IP				MAC				Time-stamp               
-----------------------------------------------------------------------------------------------
te0/1		     2		192.168.1.254			0012.1011.0001  THU DEC 22 03:38:52 2016
Total: 1 record(s).

#O log de saída é:

Dec 22 2016 03:37:33: %AARF-INTERFACE-3:<arp-guard>There are overspeed, attack or scan detected on interface te0/1.(THU DEC 22 03:37:30 2016)
Dec 22 2016 03:37:33:%AARF-SCAN-4:<arp-guard>Host<IP=192.168.1.254,MAC=0012.1011.0001,
interface=te0/1,VLAN=2> scan was detected.(THU DEC 22 03:37:30 2016)

PPPoE+

Visão geral

PPPoE+ (protocolo ponto-ponto sobre Ethernet plus) é o processo de obtenção do pacote de solicitação PPPoE enviado pelo cliente PPPoE, adicionando informações de porta acessadas pelo host do usuário do terminal em seu campo de carga e, em seguida, encaminhando-o para o servidor PPPoE, que realiza -to-point binding entre o terminal do usuário e o servidor.

PPPoE + Princípios

O PPPoE+ obtém o pacote PADI enviado pelo cliente PPPoE, adiciona um ou mais conteúdos de tag PPPoE no campo de informações de carga do pacote e então o envia para o servidor PPPoE por inundação. Quando o servidor receber o pacote PADI com tag, ele enviará um pacote PADO para o cliente PPPoE. Quando o cliente PPPoE receber o pacote PADO, ele enviará um pacote PADR. Neste momento, PPPoE+ obtém o pacote PADR e adiciona um ou mais conteúdos de tag PPPoE no campo de informações de carga do pacote, e então consulta a tabela FDB de acordo com o endereço de destino no pacote e encaminha para o servidor PPPoE. Quando o servidor PPPoE receber o pacote com tag, ele irá gerar aleatoriamente um ID de sessão, que será adicionado no campo PADS packet e enviado ao cliente PPPoE. Dessa forma, a negociação PPP e a interação do pacote PPPoE com os clientes podem ser realizadas.

Breve introdução ao TAG de identificação do fornecedor do pacote PPPoE

Para permitir que o servidor PPPoE obtenha as informações de localização física do cliente PPPoE, a etiqueta de identificação do fornecedor pode ser adicionada ao pacote de solicitação do PPPoE.

Quando o dispositivo interage com o pacote PPPoE, ele pode adicionar algumas informações do dispositivo relacionadas ao usuário ao pacote de solicitação PPPoE na forma de etiqueta de identificação do fornecedor. A opção de tag de ID do fornecedor registra as informações da interface do cliente. O ID do circuito é o ID do circuito e o ID remoto é o ID remoto

Quando o switch PPPoE + enable é ligado, após o dispositivo receber o pacote de solicitação PPPoE, ele pode fornecer o seguinte processamento de acordo com a estratégia de processamento e método de preenchimento da tag de identificação do fornecedor do pacote PPPoE configurado pelo usuário:

Tabela 19 -1 Política de processamento do pacote de solicitação PPPoE

Pacote de solicitação PPPoE Política de processamento Modo de enchimento Princípio de processamento de pacotes
Não contém TAG de ID de fornecedor adicionar
adicionar
Modo de preenchimento padrão
Modo de enchimento estendido
Preencha e encaminhe de acordo com o formato padrão
Preencha e encaminhe pelo formato personalizado
Conter TAG de ID de fornecedor Manter
Filtro
Substituir
Não preencher
Solte o pacote
Formato de preenchimento padrão
Modo de enchimento estendido
Não processe ou encaminhe o pacote PPPoE
Solte o pacote PPPoE
Substitua o conteúdo original da TAG do ID do fornecedor e encaminhe pelo formato padrão
Substitua o pacote TAG original do ID do fornecedor e encaminhe pelo formato personalizado

PPPoE + Configuração básica de funções

Tabela 19 -2 PPPoE + lista de configuração de funções

Tarefas de configuração
Configurar o PPPoE + função Habilite o PPPoE + função da porta
Configure a política de processamento para o PPPoE + pacote Configure a política de processamento da porta para o PPPoE + pacote
Configure o política de preenchimento para o pacote PPPoE Configure o política de preenchimento para o pacote PPPoE
Configure a política de preenchimento para o circuit-id Configure a política de preenchimento para o circuit-id
Configure a política de preenchimento para remote-id Configure a política de preenchimento para remote-id
Configure o valor do ID do fornecedor da porta Configure o valor do ID do fornecedor da porta

Habilitar/Desabilitar PPPoE + Função

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -3 Habilitar/desabilitar o PPPoE + função

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name Habilitar/desabilitar o PPPoE + função no modo de porta
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id Habilitar/desabilitar o PPPoE + função no modo de grupo de agregação
Habilitar/desabilitar o PPPoE + função pppoe relay enable/no pppoe relay enable Por padrão, desative o PPPoE + função

Configurar a política de processamento do PPoE + Função para o pacote PPPoE com tag vendor-id

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -4 Configure a política de processamento para o pacote PPPoE com tag vendor-id

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name A configuração tem efeito no modo de porta.
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id A configuração entra em vigor no modo de grupo de agregação.
Configure a política de processamento para o pacote PPPoE com tag vendor-id pppoe relay information policy {keep|drop|replace} Por padrão, substitua as informações do pacote pela tag vendor-id e encaminhe-a

O comando pppoe relay information policy keep é manter o pacote PPPoE com tag vendor-id no modo porta/grupo de agregação e encaminhá-lo.

O comando pppoe relay information policy drop é filtrar o pacote PPPoE com tag vendor-id no modo port/aggregation group.

O comando pppoe relay information policy replace é substituir o conteúdo da tag vendor-id do pacote PPPoE pela tag vendor-id no modo de grupo de porta/agregação e encaminhá-lo.

Configure a identificação do circuito do campo da tag de identificação do fornecedor

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -5 Configure o conteúdo do circuit-id do campo de tag vendor-id

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name A configuração tem efeito no modo de porta.
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id A configuração entra em vigor no modo de grupo de agregação.
Configure o conteúdo do circuit-id do campo de tag vendor-id pppoe relay information format circuit-id{LINE|default} Por padrão, preencha Vlan -interface no pacote

O comando pppoe relay information format circuit-id LINE é usado pelo usuário para personalizar o conteúdo do circuit-id.

O comando pppoe relay information format circuit-id default é usado para configurar a porta para preencher o circuit-id como vlan-interface.

Configurar remote-id do campo de tag vendor-id

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -6 Configurar remote-id do campo de tag vendor-id

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name A configuração tem efeito no modo de porta.
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id A configuração entra em vigor no modo de grupo de agregação.
Configurar o conteúdo do ID remoto pppoe relay infotmation format remote-id{LINE|default } Por padrão, preencha o endereço MAC da porta do dispositivo no pacote

O comando pppoe relay information format remote-id LINE é usado pelo usuário para personalizar o conteúdo do remote-id.

O comando pppoe relay information format remote-id default é usado para configurar a porta para preencher remote-id como switch-mac.

Configurar a política de preenchimento para o pacote com tag vendor-id

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -7 Configure a política de preenchimento para o pacote com tag vendor-id

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name A configuração tem efeito no modo de porta.
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id A configuração entra em vigor no modo de grupo de agregação.
Configurar o número de subopções da tag do ID do fornecedor pppoe relay information encapsulation {circuit-id|remote-id|both} Por padrão, preencha o circuit-id e o remote-id.

Configurar o valor do ID do fornecedor de preenchimento na tag do ID do fornecedor

Condição de configuração

Interface Ethernet L2 ou modo de grupo de agregação

Tabela 19 -8 Configurar o preenchimento do valor do ID do fornecedor na tag do ID do fornecedor

Etapa Comando Descrição
Entre no modo de configuração global configure terminal -
Entre no modo de interface Ethernet L2 interface interface name A configuração tem efeito no modo de porta.
Insira o grupo de agregação de portas interface link-aggregation link-aggregation-id A configuração entra em vigor no modo de grupo de agregação.
Configurar o valor do ID do fornecedor pppoe relay information vendor-id vendor-id O intervalo de valores é 0-4294967295. Por padrão, o ID do fornecedor é 2011.