L005Netgear交换机的安全功能配置

如对你有帮助,请购买下载打赏,谢谢!

NETGEAR交换机动手操作实验(五)

Netgear交换机的安全设置

2007年1月

目 录

1. 实验目的 .................................................... 错误!未定义书签。 1.1实验条件 ............................................... 错误!未定义书签。 2. 实验内容 .................................................... 错误!未定义书签。 2.1 配置基于端口的MAC地址绑定 ........... 错误!未定义书签。 2.1.1 网络结构图 .................................. 错误!未定义书签。 2.1.2 FS700TS系列智能交换机上端口和MAC地址绑定配置 ............................................................. 错误!未定义书签。 2.1.3 GSM7300/FSM7300系列交换机的端口和MAC地址绑定的配置 ............................................... 错误!未定义书签。 2.2 配置IP和MAC地址绑定 .................... 错误!未定义书签。 2.3 配置基于端口的带宽控制 ..................... 错误!未定义书签。 2.3.1 网络结构图 .................................. 错误!未定义书签。 2.3.2 GSM7300/FSM7300系列交换机的带宽控制配置错误!未定义书签。

2.3.3 FS700TS系列交换机的带宽控制配置错误!未定义书签。

2.4 交换机的802.1x设置 .......................... 错误!未定义书签。 2.4.1 NETGEAR 7000系列交换机802.1x设置错误!未定义

如对你有帮助,请购买下载打赏,谢谢!

书签。

2.4.2 FS700TS系列交换机的802.1x设置错误!未定义书签。

1. 实验目的

现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火

墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过交换机解决安全问题抱积极态度,近75%的用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。本文将针对NETGEAR的智能及网管型交换机,详细介绍各种关于网络安全设置的办法。

目前,业界普遍认为有效的网络安全设置有: 1. 基于交换机端口和主机MAC地址的绑定。 2. 基于主机IP和MAC地址的绑定

3. 基于端口的交换机流量控制 (Rate Limiting) 4. 基于802.1x的端口认证

美国网件公司出品智能交换机FS700TS系列,及网管型交换机FSM700系列,三层交换机FSM7300,GSM7300系列交换机均支持一系列的网络安全设置。但不同系列的交换机所支持的功能和设置均有所区别,先文将作详细介绍。

1.1实验条件

实验所需的设备如下: 设备名称 FS700TS系列交换机 GSM7300系列交换机 个人电脑 数量 1 1 若干台 操作系统/固件版本 1.0.1.23 6.2.0.14 WIN98/2000/XP 2. 实验内容

2.1 配置基于端口的MAC地址绑定

2.1.1 网络结构图

以下是我们要达到实验目的的网络示意图:如图1, 图2。

图1:合法用户可以通过交换机连接到企业内部网络

图2:非法用户的连接请求将会被交换机拒绝

如图所显,拥有合法的MAC地址的用户可以通过交换机连接到企业的内部网络,而没有合法MAC地址的用户将会被交换机拒绝。经过这样的配置后,网络里面只有唯一合法主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。该功能主要用户防止非

如对你有帮助,请购买下载打赏,谢谢!

法用户使用网络,同时亦由于MAC地址的唯一性,网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。

美国网件公司出品智能交换机FS700TS系列,及网管型交换机FSM700系列,三层交换机FSM7300,GSM7300系列交换机均支持端口MAC地址绑定。

2.1.2 FS700TS系列智能交换机上端口和MAC地址绑定配置

本文以FS728TS为例子,对其端口1进行IP及MAC地址绑定的设置:

1. 首先通过管理地址,并点击左边工具栏的Switch Status菜单以确定交换机的固件版本。如图3:

图3:Switch status

2.点击菜单Switch-Security-Traffics-Port security,如图4:

图4:Port Security

3.点击Interface下的1/e1端口(代表端口一),将该端口设置于锁定状态,通过该设置后,该端口将不会再学习新的MAC地址。如图5:

图5:Modify Port Security

? ? ? ?

在Interface 上选择1/e1。

在Lock interface旁的复选框上打钩,以锁定端口。

在Learning Mode 模式下选择Classic lock使端口不再学习新的MAC地址。 在Action on Violation下拉对话框中,选择 discard 使非法的MAC地址不能接入网络。

4.点击System-Address table-static address,以增加合法的MAC地址,只有在该列表里显示的MAC地址的主机才能接入网络。如图6:

图6:Static address

5.点击Add,增加一个合法的MAC地址,如图7

图7:Add Static address

? ? ? ?

在Interface 上选择1/e1。

在Mac address上填入相应的MAC地址。 在VLAN 下还可以选择该MAC对应的VLAN

在Status下选择Secure,使该静态列表和Port Secure里面的设置相关连。

6.最后,可以通过System-Address Table-Dynamic address,查看MAC地址的学习情况。如图8:

图8:Dynamic address

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4