接入交換機常用安全準入配置

交換機作為最常用的網絡設備，具有簡單、低價、高端口密度、高性能等優點，承擔著終端接入、流量匯聚和轉發、隔離控制等功能。但是，由于以太網交換機不對接入用戶進行合法性驗證，所以存在未經授權的用戶接入交換機訪問網絡的風險。

以太網是通過IP標識終端并進行通信的。終端配置IP一般有兩種方式，手工配置靜態IP地址和自動獲取IP地址兩種方式。

一、終端配置靜態IP地址

終端通過手工配置IP地址接入網絡時，我們可以通過在交換機配置IP Source Guard，對源IP、源MAC地址和接入VLAN任意綁定組合檢查的方式防止基于源地址欺騙的非法接入行為。組網如下圖所示：

基本配置如下：

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10 //全局綁定表項

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] ip source check user-bind enable //端口下使能IPSG

二、終端通過DHCP自動獲取IP地址

自動獲取IP地址的情況下，交換機設備無法區分合法和非法終端，可在DHCP服務器上對合法終端進行DHCP靜態綁定，使非法終端無法獲取IP地址。終端自動獲取IP地址組網如圖所示：

基本配置如下（DHCP服務器配置略）：

[Switch] dhcp enable //使能dhcp服務

[Switch] dhcp snooping enable //全局使能dhcp-snooing功能

[Switch] vlan 10

[Switch-vlan10] dhcp snooping enable //vlan使能dhcp-snooping功能

[Switch-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //配置dhcp-snooping信任端口

[Switch-vlan10] ip source check user-bind enable //使能IPSG檢查

三、配合終端準入系統實現用戶接入管理

接入交換機和終端數量較多時，配置費時費力，而且配置錯誤會導致合法終端無法接入網絡。所以中、大規模網絡準入控制場景下，最好部署準入控制系統，可實現有線、無線、啞終端等設備的網絡準入控制統一管理、終端自動綁定和網絡權限控制等功能。

除做好網絡準入控制外，對于交換機上不用的端口，應及時關閉，切斷未經授權的用戶接入網絡的途徑。