Приведем схему и пример настройки:

Настройка коммутаторов уровня ядра

Отключение доступа по Telnet и включение доступа по SSH

Конфигурация_MES_Ядро 
ip ssh server
!
no ip telnet server
!
Пояснения 
Включение SSH-сервера

Отключение Telnet-сервера


Настройка коммутаторов уровня агрегации

Отключение доступа по Telnet и включение доступа по SSH

Конфигурация_MES_Агрегация 
ip ssh server
!
no ip telnet server
!
Пояснения 
Включение SSH-сервера

Отключение Telnet-сервера

Настройка коммутаторов уровня доступа

Отключение доступа по Telnet и включение доступа по SSH

Конфигурация_MES_Доступ 
ip ssh server
!
no ip telnet server
!
Пояснения 
Включение SSH-сервера

Отключение Telnet-сервера

DHCP Snooping

DHCP Snooping предназначен для защиты сети от атак с использованием протокола DHCP.

Конфигурация_MES_Доступ 
ip dhcp snooping
ip dhcp snooping vlan 100
!
interface range gigabitethernet1/0/1-24
 ip dhcp snooping limit clients {количество клиентов}
exit                                                  
!
interface Port-Channel1
 ip dhcp snooping trust
exit
!
Пояснения 
Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)


Ограничение количества клиентов за портом, от которых могут быть переданы DHCP-запросы (защита от атаки DHCP starvation) 


Указание, что интерфейс Port-Channel 1 является доверенным, т. е. пришедшие на него "сверху" ответы от DHCP-сервера могут пересылаться "вниз"

Dynamic ARP Inspection

Dynamic ARP Inspection (DAI) предназначен для защиты сети от атак с использованием протокола ARP (например, ARP Spoofing).

DAI в работе использует таблицу DHCP Snooping, поэтому необходимо глобально включить DHCP Snooping и указать VLAN аналогично настройке функционала DHCP Snooping.
Конфигурация_MES_Доступ 
ip arp inspection
ip arp inspection vlan 100
!
interface Port-Channel1
 ip arp inspection trust
 ip dhcp snooping trust
exit
!
Пояснения 
Включение DAI глобально
Указание VLAN, в которой будет работать DAI


Указание, что интерфейс Port-Channel 1 является доверенным для DAI
Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping

802.1x

802.1x — стандарт для управления сетевым доступом, обеспечивающий аутентификацию клиентов.

Конфигурация_MES_Доступ 
vlan database
 vlan 150
exit
!
interface vlan 150
 name Guest
exit
!
dot1x system-auth-control
!
encrypted radius-server host 100.100.100.1 key {секретный ключ}
!
interface range gigabitethernet1/0/1-24
 dot1x host-mode multi-sessions
 dot1x guest-vlan enable
 dot1x authentication 802.1x mac
 dot1x port-control auto
 dot1x radius-attributes vendor-specific data-filter
 dot1x radius-attributes vlan static
exit
!
Пояснения 
Создание Guest VLAN







Включение функционала dot1x на коммутаторе глобально

Указание IP-адреса RADIUS-сервера и секретного ключа


Включение режима авторизации каждой сессии за указанным портом
Включение функционала Guest VLAN на интерфейсе
Указание используемых методов авторизации: 802.1x (логин и пароль — для клиента) и MAC-авторизация (для телефона)
Использование функционала dot1x для изменения состояния клиента между авторизованным и неавторизованным
Включение функции динамического добавления ACL на порт через сообщения от RADIUS-сервера
Включение обработки опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера
  • Нет меток