交換機的安全配置

作為交換機可謂網絡結構的骨干關節，強化交換機的安全，對于保證網絡安全運行是極為重要的。因為各種網絡設備都是連接到交換機上的，網絡流量必須通過交換機才可以發送和接收。

對網管員來說，對交換機進行各種安全配置可以有效保護其正常運行。要想實現對交換機的安全管理，還必須與其他安全控制設備緊密配合。例如，使用ISE設備就可以很好的保護交換機接入的安全性等。這里就以思科Catalyst 3560系列交換機為例，來說明具體的配置方法。

認證、授權、訪問權限配置

全局啟用Dot1x認證

在該系列某交換機上進入全局配置模式，執行“aaa new-model”，“aaa authentication login noacs line none”，“aaa session-id common”，“aaa authentication dot1x default group radius”，“aaa authorization network default group radius”，“aaa acconut dot1x default start-stop group radius”，“dot1x system-auth-control”等命令，來全局啟用Dot1x認證，授權和審計功能，并啟用了3A線下保護功能。

執 行“aaa server radius dynamic-auther”，“client xxx.xxx.xxx.xxx server-key cisco1”命令，啟用COA功能，其中的“xxx.xxx.xxx.xxx”為AAA服務器的IP。其中的“cisco1”為密碼，注意其必須與Radius的密碼一致。

COA授權更改功能

COA指的是授權改變功能，COA主要用于設備識別和準入控制之用。當PC等設備接入交換機后，會將其信息提交給AAA服務器。

如果AAA服務器檢測到其安全性無法滿足要求（例如系統版本過低，沒有安裝補丁和安全軟件等），就將其規劃到特殊的VLAN中，該VLAN會受到嚴格的權限控制。當該機經過升級等操作后，滿足了安全性要求，AAA服務器就可以將其指派到合法的VLAN中。

于是，通過Radius主要推送相關的授權信息給交換機，來實現上述要求，讓該機獲得合適的網絡訪問權限。在這種情況下，AAA服務就成為了交換機的Client端，即交換機要對AAA服務器進行認證。

配置最小網絡訪問權限

在交換機上執行“radius-server attribute 6 on-for-login-auth”命令，表示進行認證時，交換機會在Radius的第一個請求包中不僅會將用戶名和密碼發送給AAA服務器，還會將標號為6的服務類型信息也發送過去，AAA服務器會根據該信息來匹配對應的策略。 執 行“radius-server attribute 8 include-inaccess-req”命令，可以在Radius的第一個請求包中將設備的IP地址一并發送過去。這樣，AAA服務器可以根據其IP進行相應的控制。

執 行“radius-server dead-criteria time 5 tries 3”命令，表示在間隔五秒的情況下連續三次發送信息給AAA服務器，如果其沒有應答說明AAA服務器已經宕機。執行“radiusserver host xxx.xxx.xxx.xxx”，“radius-server key cisco”命令，指定AAA服務器的IP和 密碼。為了合理控制設備的網絡權限，需要配置基本的ACL列表，在交換機上執行“ip access-list extended ACL-DEFAULT”，“permit usp any eq bootpc any eq bootps”，“permit udp any any eq domain”，“permit icmp any any”，“permit udp any any eq tftp”，“deny ip any any log”，“exit”命令。配置名為“ACL-DEFAULT”的擴展ACL列表，僅僅放行DHCP、DNS、Ping、TFTP的流量。這樣，如果設備沒有經過認證，那么其只能擁有這些網絡訪問權限。

配置MAB

配置MAB認證策略

例如在上述Fa 0/2上連接了一臺路由器R1，其不支持DotX認證，所有可以使用MAB認證模式。這樣，交換機就會將其MAC地址作為賬戶名和密碼，將其提交給AAA設備進行認證。要想讓其通過MAB認證，必須在AAA服務器上為其配置對應測策略。這里以ISE設備作為AAA服務器，登錄到ISE設備上，在其管理界面依次點擊菜單“Operation”、“Authentications” 項 可查看認證信息。點擊菜單“Policy” 、“Authenti catuins”項，在默認策略中可看到其可以匹配默認的MAB策略。并可以將其發送到內部終端數據庫上進行認證，但默認的數據庫中并沒有其認證信息。

點擊“Administration”、“Groups”項，在打開窗口左側選擇“Endpoint Identity Group”項，在右側工具欄上點擊“Add”按鈕，依次輸入組名（例如“group1”），描述信息等內容，點擊“Submit”提交。之后需創建一個終端用戶，點擊“Administration”、“Identities”項，在 左 側點擊“Endpoints”項，在右側點擊“Add”按鈕，依次輸入該設備（例如路由器R1）的MAC地址，注意格式必須為“xx:xx:xx:xx:xx:xx”。在“I d e n t i t y G r o u p Assignment”列表中顯示所有的組信息，選擇上述“group1”組。

在“Policy Assignment”列表中選擇對應的設備類型，如“Cisco-Router”。點擊“Submit”提交。在R1路由器的全局配置模式下執行“show authentication sessions interface fa0/2”，在返回信息中“mab”欄中顯示“Authc Success”信息，說明其已經通過了MAB認證。也可以在ISE管理界面中點擊菜單“Operations”、“Authentications”項，在日志信息中顯示該設備的MAC地址信息，并提示已經通過安全認證。

配置MAB授權策略

當然，該設備雖然進過了認證，但是卻沒有對其進行任何授權。點擊菜單“Policy”、“Authorization”項，顯示默認的授權策略，對應該設備的是“Wired_MAB”策略，其擁有的只能是“PermitAccess” 授 權策略，幾乎不具備任何網絡訪問權限，因為其會受到 上 述“ACL-DEFAULT”ACL列表的管控。這里以簡單的例子，來說明如何對該設備進行授權。點擊菜單“Policy”、“Results”項，在左側選擇“Authorization”、“Downloadable Profiles”項，在右側工具欄上點擊“Add”按鈕，輸入妨礙DACL的名稱（例如“dacl1”），描述信息等內容，在“*DACL Content”欄中輸入具體的控制內容，例如“permit ip any any”，表示放行該設備的所有流量。注意，源必須為“any”。可是在該控制語句生效時，利用設備地址追蹤功能，可以使用目標設備的實際IP對其進行替換。

當然，在實際的管理中，管理員可以靈活的設計各種ACL語句，對設備進行合理的控制。點擊“Submit”按鈕提交修改。在左側點 擊“Authorization”、“Authorization Profiles”項，在右側點擊“Add”按鈕，輸 入 其 名 稱（例 如“profile1”）和描述信息，在“Common Tasks”欄中選擇“DACL Name”項，并選擇上述“dacl1”項目。選擇“VLAN”項，在右側的“Tag ID”欄中設置合適的VLAN號，這樣當該設備通過授權后，可以被規劃到該VLAN中。其余設置默認，點擊“Submit”按鈕提交修改。點擊“Policy”、“Authorization”項，在 授權管理列表最上一行右側點擊“Edit”旁的倒三角按鈕，在彈出菜單中點擊“Insert New Rule Above”項，在列表頂部添加一條規則。

在“Rule Name”列中輸入 其名 稱（例 如“rule1”），在“Conditions”列中選擇對應的組（如上述“group1”組），并設置合適的條件（例如“Wired_MAB”），可 以 添加多個條件（例如地點1的設備等），彼此間是AND關系等。在授權列中選擇上 述“profile1”授 權 項目。點擊“Done”保存該規則。 點擊“Save”保存 修改。在ISE管理界面中點擊“Operations”、“Authenti cations”項，在日志信息中顯示該設備已獲取了上述授權規則。在該路由器上執行“show authentication sessions interface fa0/2”命令，在返回信息中的“ACS ACL”欄中顯示獲取的授權ACL信息。執行“sh ip device tracking interface fa 0/2”命令，顯示該接口獲取的IP地址信息。執行“show ip access-lists interface fa 0/2”命令，顯示其實際獲取的ACL控制規則。這樣，該設備就可以自由的訪問各種網絡資源了。

更 正

2017年第12期信息安全欄目第121頁《高校宿舍網絡安全問題》一文署名更正為“北京 池新杰”，特此說明，并在此對作者表示歉意。