ip ssh server ! no ip telnet server ! |
Включение SSH-сервера Отключение Telnet-сервера |
ip ssh server ! no ip telnet server ! |
Включение SSH-сервера Отключение Telnet-сервера |
ip ssh server ! no ip telnet server ! |
Включение SSH-сервера Отключение Telnet-сервера |
DHCP Snooping предназначен для защиты сети от атак с использование протокола DHCP.
ip dhcp snooping
ip dhcp snooping vlan 100
!
interface range gigabitethernet1/0/1-24
ip dhcp snooping limit clients {количество клиентов}
exit
!
interface Port-Channel1
ip dhcp snooping trust
exit
! |
Включение функционала DHCP Snooping глобально Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN) Ограничение количества клиентов за портом, от которых могут быть переданы DHCP-запросы (защита от атаки DHCP starvation) Указание, что интерфейс Port-Channel 1 является доверенным, т. е. пришедшие на него "сверху" ответы от DHCP-сервера могут пересылаться "вниз" |
Dynamic ARP Inspection (DAI) предназначен для защиты сети от атак с использованием протокола ARP (например, ARP Spoofing).
| DAI в работе использует таблицу DHCP Snooping, поэтому необходимо глобально включить DHCP Snooping и указать VLAN аналогично настройке функционала DHCP Snooping. |
ip arp inspection ip arp inspection vlan 100 ! interface Port-Channel1 ip arp inspection trust ip dhcp snooping trust exit ! |
Включение DAI глобально Указание VLAN, в которой будет работать DAI Указание, что интерфейс Port-Channel 1 является доверенным для DAI Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping |
802.1x — стандарт для управления сетевым доступом, обеспечивающий аутентификацию клиентов.
vlan database
vlan 150
exit
!
interface vlan 150
name Guest
exit
!
dot1x system-auth-control
!
encrypted radius-server host 100.100.100.1 key {секретный ключ}
!
interface range gigabitethernet1/0/1-24
dot1x host-mode multi-sessions
dot1x guest-vlan enable
dot1x authentication 802.1x mac
dot1x port-control auto
dot1x radius-attributes vendor-specific data-filter
dot1x radius-attributes vlan static
exit
! |
Создание Guest VLAN Включение функционала dot1x на коммутаторе глобально Указание IP-адреса RADIUS-сервера и секретного ключа Включение режима авторизации каждой сессии за указанным портом Включение функционала Guest VLAN на интерфейсе Указание используемых методов авторизации: 802.1x (логин и пароль — для клиента) и MAC-авторизация (для телефона) Использование функционала dot1x для изменения состояния клиента между авторизованным и неавторизованным Включение функции динамического добавления ACL на порт через сообщения от RADIUS-сервера Включение обработки опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера |
Функция защиты IP-адреса предназначена для фильтрации IP-трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard.
ip source-guard ! interface range gigabitethernet1/0/1-24 ip source-guard exit ! |
Включение IPSG глобально Включение IPSG на интерфейсе |