如果R2访问R1,首先需要通过TELNET路由器获得认证,一旦获得,路由器建立一临时访问表使用户能够到达目的主机。
通过LOCK-AND-KEY安全,可以指定允许哪些用户访问哪些源或目的主机。
LOCK-AND-KEY工作过程
1)R2通过虚拟的终端接口远程登陆到R1
2)R1打开远程对话框并提示输入用户密码,如果通过,允许访问。
3)R2随后知道退出对话框,动态表中建立一临时条目项。
4)然后R2来的数据流就能够到R1
5)预定义超时后,临时表删除。
R1
hostname r1
!
logging rate-limit console 10 except errors
!
username r2 password 0 r2 用户认证
username r2 autocommand access-enable timeout 5 时间限制
ip subnet-zero
no ip finger
ip telnet source-interface Ethernet0 将所有的TELNET数据包的源设置为E0
IP为1。1。1。1
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface Ethernet0
ip address 1.1.1.1 255.255.255.0
no keepalive
!
interface Serial0
ip address 170.1.12.1 255.255.255.0
ip access-group 100 in
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
ip kerberos source-interface any
no ip classless
ip route 2.2.2.0 255.255.255.0 Serial0
no ip http server
!
access-list 1 permit 2.2.2.2
access-list 100 dynamic tempaccess permit tcp host 2.2.2.2 host 1.1.1.1 eq telnet log
access-list 100 permit tcp any host 170.1.12.1 eq telnet log
access-list 100 deny ip any any log
!
!
line con 0
exec-timeout 0 0
logging synchronous
transport input none
line aux 0
line vty 0 4
login local 在登陆时启用本地的密码验证
!
end
r2#
r2#sh ru
Building configuration...
Current configuration : 738 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname r2
!
logging rate-limit console 10 except errors
!
ip subnet-zero
no ip finger
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface Ethernet0
ip address 2.2.2.2 255.255.255.0
no keepalive
!
interface Serial0
ip address 170.1.12.2 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip kerberos source-interface any
no ip classless
ip route 1.1.1.0 255.255.255.0 Serial0
no ip http server
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
transport input none
line aux 0
line vty 0 4
login
!
end
验证检测
r2# telnet 170.1.12.1
Trying 170.1.12.1 ... Open
User Access Verification
Username: r2
Password:
List#100-tempaccess already contains this IP address pair
r1#sh ip access-lists
Standard IP access list 1
permit 2.2.2.2
Extended IP access list 100
Dynamic tempaccess permit tcp host 2.2.2.2 host 1.1.1.1 eq telnet log
permit tcp host 170.1.12.2 host 1.1.1.1 eq telnet log (time left 128)
permit tcp any host 170.1.12.1 eq telnet log (159 matches)
deny ip any any log
利用端口安全这个特性,你可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报文。此外,你还可以限制一个端口上能包含的安全地址最大个数,如果你将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全MAC地址)将独享该端口的全部带宽。
为了增强安全性,你可以将地址和地址绑定起来作为安全地址。当然你也可以只指定地MACIPMAC址而不绑定地址。IP如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将产生。当安全违例将产生时,你可以选择多种方式来处理违例,比如丢弃接收到的报文,发送违例通知或关闭相应端口等。
当你设置了安全端口上安全地址的最大个数后,你可以使用下面几种方式加满端口上的安全地址:
你可以使用接口配置模式下的命令switchport port-security mac-address mac-address来手工配置端口的所有安全地址。
你也可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。
当违例产生时,你可以设置下面几种针对违例的处理模式:
protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包
restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。
步骤1
configure terminal 进入全局配置模式。
步骤2
interface interface-id 进入接口配置模式。
步骤3
switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)
步骤4
switchport port-security 打开该接口的端口安全功能
步骤5
switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-128,缺省值为128。(此处好像和CISCO有些不同)
步骤6
switchport port-security violation{protect | restrict | shutdown}
设置处理违例的方式:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
步骤7
end 回到特权模式。
步骤8
show port-security interface 验证你的配置。
步骤9
copy running-config startup-config 保存配置可选。()
在端口安全里,还可以绑定IP或MAC或一起绑定,还可以设置安全地址的老化时间等。具体还有很多的应用,可以参考相关的操作手册。
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效,因为一般不同VLAN访问都做了路由.而相同VLAN内的保护端口是不能访问的了.