[精选]交换机端口安全技术讲义.pptx
《[精选]交换机端口安全技术讲义.pptx》由会员分享,可在线阅读,更多相关《[精选]交换机端口安全技术讲义.pptx(65页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、交换机端口平安技术交换机端口平安技术日期:杭州华三通信技术 版权所有,未经授权不得使用与传播n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录802.1x协议起源协议起源 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制
2、端口访问节点来提供无线局域网用户接入认证和平安性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1x现在已经开始被应用于一般的有线LAN的接入。802.1x协议简介协议简介l802.1x协议首先是一个认证协议,是一种对用户进行认证的方法和策略l802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准l802.1x的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“翻开这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭,此时只允许802.1x的认证报文EAPOL Extensible Authenticatio
3、n Protocol over LAN通过。802.1x协议简介协议简介802.1x认证系统组成认证系统组成SupplicantEAPOLAuthenticatorAuthentication ServerEAP Over Radius OR Standard Radius802.1x体系结构体系结构Supplicant SystemAuthenticator SystemAuthentication Server SystemPAE:认证机制中负责处理算法和协议的实体。EAP:Extensible Authentication Protocol802.1x体系结构体系结构受控端口受控端口设备
4、端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口1.非受控端口:始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。2.受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。802.1x体系结构体系结构端口受控方向端口受控方向192.168.1.1192.168.1.2E3/0/1E3/0/2单向双向Internet我司产品在实现时,对端口在非授权状态下,实行入方向单向受控,即禁止从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的IPT
5、V客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终IPTV被中断 双向受控双向受控单向受控单向受控双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口802.1x的工作方式的工作方式1.客户端和设备端通过EAPOL帧来交互消息2.设备端和认证效劳器端可以通过EAP中继方式或EAP终结方式交互信息3.设备端和认证效劳器端可以分布在两个不同的实体上也可以集中在同一个实体上客户端PAE设备端PAE认证服务器EAPOLRADIUS 协议承载的EAP/PAP/CHAP 交换802.1x端口受控方
6、式端口受控方式基于基于MAC的认证方式的认证方式启用802.1X认证的端口下只要有一个用户通过了认证则该端口翻开,其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式基于端口的认证方式两种端口受控方式:1.基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。2.基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络。通过认证的用户可以使用网络资源,没有通过的用户则不能,即使他们都接入了同一个端口802.1x报文发送方式报文发送方式Assi
7、gnmentValuePAE group address01-80-C2-00-00-03组播方式组播方式客户端程序可以选择采用组播报文发送,此时客户端发送的所有EAPoL报文封装组播地址,有些情况下客户端程序也可以选择单播报文发送,此时客户端初次发送EAPoL-Start报文封装组播地址,回应设备端的response报文封装设备的端口地址采用单播发送,对于设备端发送的报文,假设设备端知道客户端的地址,则封装客户端的地址采用单播发送,否则封装组播地址,采用组播发送播送方式播送方式客户端也可以选择播送方式发送报文,这时客户端初次发送EAPoL-Start报文封装播送地址,其余报文可以采用单播发送
8、802.1x报文封装报文封装EAPOL的报文格式的报文格式PAE Ethernet typeProtocol versionTypeLengthPacket Body2 3 4 6 N0PAE Ethernet Type占2字节,固定为0 x888EProtocol Version占1字节,固定为1Type占1字节,EAP-Packet00EAPOL-Start01EAPOL-Logoff02EAPOL-Key03EAPOL-Encapsulated-ASF-Alert04Length占2字节,指定packet body字段的长度Packet Body当Packet Type字段为EAPoL-
9、Start或EAPoL-Logoff时,此字段为空802.1x报文封装报文封装EAPOL报文例如报文例如802.1x报文封装报文封装EAP的报文格式的报文格式Code域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定意义如下 Code1Request Code2Response Code3Success Code4FailureIndentifier域为一个字节,辅助进行request和response的匹配。每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了一个对应关系Length域为两个字节,说明了EAP数据包的长度,包括Cod
10、e、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充padding在接收时将被忽略掉。Data域为0个或者多个字节,Data域的格式由Code的值来决定。当Code为3或4时,data域为0个字节。CodeIdentifierLengthData0 1 2 4 N802.1x报文封装报文封装Request/Respone报文报文Data域域Type:占1个字节,该字段值指定Request或Response的 类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1 Identity 2 Notification
11、 3 Nak Response only 4 MD5-Challenge 5 One-Time Password OTP RFC 1938 6 Generic Token CardType data:内容随不同类型的Request和Response而不同。TypeType Data0 1 N802.1x报文封装报文封装EAP报文例如报文例如802.1x认证过程认证过程两种两种EAP认证方式认证方式EAP中继方式中继方式EAP终结方式终结方式用来对用户口令信息进行加密处理的随机加密字由Radius效劳器生成,交换机只是负责将EAP报文透传Radius效劳器,EAP中继方式要求Radius效劳器支
12、持EAP属性:EAP-Message值为79和Message-Authenticator值为80,整个认证处理都由Radius效劳器来完成。EAP中继方式有四种认证方法:EAP-MD5、EAP-TLSTransport Layer Security,传输层平安、EAP-TTLSTunneled Transport Layer Security,隧道传输层平安和PEAPProtected Extensible Authentication Protocol,受保护的扩展认证协议。用来对用户口令信息进行加密处理的随机加密字由交换机生成,之后交换时机通过标准Radius报文把用户名、随机加密字和客户
13、端加密后的口令信息一起送给Radius效劳器,进行相关的认证处理。802.1x认证过程认证过程EAP中继方式中继方式客户端交换机RADIUS服务器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(EAP-Response/Identity)RADIUS Access-Challenge(EAP-Request/MD5 Challenge)RADIUS Ac
14、cess-Accept(EAP-Success)RADIUS Access-Request(EAP-Response/MD5 Challenge)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权802.1x认证过程认证过程EAP终结方式终结方式客户端交换机RADIUS服务器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-R
15、esponse/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challenge)RADIUS Access-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权802.1X典型配置案例典型配置案例802.1X典型配置案例典型配置案例#开启全局802.1x 特性。system-viewSystem View:return to User View with Ctrl+Z.Sysnam
16、e dot1x#开启指定端口Ethernet 1/0/1 的802.1x 特性。Sysname dot1x interface Ethernet 1/0/1#设置接入控制方式该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC 地址的。Sysname dot1x port-method macbased interface Ethernet 1/0/1#创立RADIUS 方案radius1 并进入其视图。Sysname radius scheme radius1802.1X典型配置案例典型配置案例#设置主认证/计费RADIUS 效劳器的IP 地址。Sysname-radius-rad
17、ius1 primary authentication 10.11.1.1Sysname-radius-radius1 primary accounting 10.11.1.2#设置备份认证/计费RADIUS 效劳器的IP 地址。Sysname-radius-radius1 secondary authentication 10.11.1.2Sysname-radius-radius1 secondary accounting 10.11.1.1#设置系统与认证RADIUS 效劳器交互报文时的加密密码。Sysname-radius-radius1 key authentication name
18、#设置系统与计费RADIUS 效劳器交互报文时的加密密码。Sysname-radius-radius1 key accounting money#设置系统向RADIUS 效劳器重发报文的时间间隔与次数。Sysname-radius-radius1 timer 5Sysname-radius-radius1 retry 5802.1X典型配置案例典型配置案例#设置系统向RADIUS 效劳器发送实时计费报文的时间间隔。Sysname-radius-radius1 timer realtime-accounting 15#指示系统从用户名中去除用户域名后再将之传给RADIUS 效劳器。Sysname
19、-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit#创立域 并进入其视图。Sysname domain #指定radius1 为该域用户的RADIUS 方案,假设RADIUS 效劳器无效,则使用本地认证方案。Sysname-isp- scheme radius-scheme radius1 local#设置该域最多可容纳30 个用户。Sysname-isp- access-limit enable 30802.1X典型配置案例典型配置案例#启动闲置切断功能并设置相关参数。Sysname-isp-
20、idle-cut enable 20 2000Sysname-isp- quit#配置域 为缺省用户域。Sysname domain default enable #添加本地接入用户。Sysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpassn第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口
21、隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录MAC地址认证概述地址认证概述两种认证方式的的工作流程两种认证方式的的工作流程MAC地址认证的配置命令地址认证的配置命令MAC认证的典型配置案例认证的典型配置案例#开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。system-viewSysname mac-authentication interface Ethernet 1/0/2#配置采用MAC 地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。Sy
22、sname mac-authentication authmode usernameasmacaddress usernameformat with-hyphenlowercaseMAC认证的典型配置案例认证的典型配置案例#添加本地接入用户。配置本地用户的用户名和密码:Sysname local-user 00-0d-88-f6-44-c1Sysname-luser-00-0d-88-f6-44-c1 password simple 00-0d-88-f6-44-c1设置本地用户效劳类型为lan-access:Sysname-luser-00-0d-88-f6-44-c1 service-ty
23、pe lan-accessSysname-luser-00-0d-88-f6-44-c1 quit#创立MAC 地址认证用户所使用的域。Sysname domain New Domain added.#配置域 采用本地认证方式。Sysname-isp- scheme localSysname-isp- quitMAC认证的典型配置案例认证的典型配置案例#配置MAC 地址认证用户所使用的域名为。Sysname mac-authentication domain #开启全局MAC 地址认证特性接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络。Sysna
24、me mac-authenticationn第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录端口隔离简介端口隔离简介端口隔离基本配置端口隔离基本配置端口隔离配置举例端口隔离配置举例n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端
25、口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录端口绑定技术简介端口绑定技术简介端口绑定基本配置端口绑定基本配置端口绑定典型配置举例端口绑定典型配置举例n第一节第一节 802.1X认证基本原理及配置认证基本原理及配置n第二节第二节 MAC地址认证基本原理及配置地址认证基本原理及配置n第三节第三节 端口隔离技术及配置端口隔离技术及配置n第四节第四节 端口绑定技术及配置端口绑定技术及配置n第五节第五节 ARP防攻击相关技术及配置防攻击相关技术及配置目录目录ARPARP攻击原理介绍攻击原理介绍n ARPAddr
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 交换机 端口 安全技术 讲义
限制150内