版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、二层以太网交换机的4种安全技术,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,以太网交换机作为企业内部网络通讯的关键设备,有必要在企业网内部提供充分的安全保护功能。 用户只要能接入以太网交换机,就可以访问Internet网上的设备或资源,使局域网上的安全性问题更显突出。 HXXX系列以太网交换机针对网络安全问题提供了多种网络安全机制。,引子,学习完本课程,您应该能够:,了解以太网安全技术的基本内容 掌握地址绑定及端口隔离的原理与配置 掌握Portal认证的基本原理与配置 掌握访问控制列表进行报文过滤的原理与配置,地址绑定技术的作用,为了防止内部人员进行非法IP盗用,可以将内部网络的I
2、P地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败; 由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。,MAC、IP与端口绑定,进行绑定操作后,只有指定MAC地址和IP地址的计算机发出的报文才能通过制定端口转发,提高了系统的安全性,增强了对网络安全的监控 。 该计算机可以在没有设置绑定的其他端口上使用。,MAC、IP与端口绑定的基本配置,对同一个MAC地址,系统只允许进行一次绑定操作 。,MAC、IP与端口绑定的配置显示,地址绑定技术案例,为了防止校园网内有恶意用户盗用PC1的IP地址,将PC1的MAC地址和IP地
3、址绑定到Switch A 的Ethernet1/0/1端口上。,Switch A,Switch B,PC1,PC2,E1/0/1,MAC:0001-0002-0003 IP Address:,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,端口隔离概述,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,增强了网络的安全性。 端口隔离特性与以太网端口所属的VLAN无关。,端口隔离技术基本配置,端口隔离的配置显示,端口隔离技术案例,小区用户PC1、PC2、PC3分别与交换机的以太网端口E1/0/2、E1/0/3、
4、E1/0/4相连 。 交换机通过E1/0/1端口与外部网络相连 。 小区用户PC1、PC2和PC3之间不能互通 。,Internet,PC1,PC2,PC3,Switch,E1/0/1,E1/0/2,E1/0/3,E1/0/4,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,网络认证技术,常用的网络认证技术包括: Portal认证 802.1x认证,Portal认证的基本原理,Portal认证的基本原理:未认证的Portal用户用户只能访问特定的站点服务器,其它任何访问都被无条件地重定向到Portal服务器;只有在认证通过后,用户才能访问Internet。,Portal认证的优点,Po
5、rtal认证的优点包括: Poratl认证无需安装客户软件,终端用户使用方便。 Portal认证对新业务支撑的能力强大。利用Portal认证的门户功能,运营商还可以将小区广播、广告、信息查询、网上购物等业务放到Portal上,用户上网时就会强制地看到上述信息。,Portal的系统组成,认证客户机 NAS接入设备 Portal服务器 认证/计费服务器,认证/计费服务器,Portal服务器,NAS接入设备,认证客户机C,认证客户机B,认证客户机A,Portal认证的过程,NAS首次接收到登录用户的HTTP报文时,判断该登录用户是否为Portal用户。 对于Portal用户访问其他站点的HTTP报文
6、,交换机通过TCP仿冒将其重定向到Portal服务器; 用户在Portal服务器提供的Web页面输入用户名和密码,输入的用户名和密码会通过Portal服务器转发到NAS; NAS将用户名和密码发到认证服务器进行认证,认证通过后,NAS允许用户访问Internet,之后不再对该用户的HTTP报文进行重定向。,Portal的运行方式,Portal有三种运行方式 直接认证方式 二次地址分配方式 三层Portal认证方式 注意: 出于安全性考虑,直接认证方式和二次地址分配方式都要求检查用户的MAC地址,因此只能在用户接入的第一个三层接口上启用Portal,即在用户和接入设备之间不能跨越启用三层协议的网
7、络设备。 三层Portal认证方式不检查用户的MAC地址,安全性有所降低。在安全性要求较高的场合,不建议使用三层Portal认证方式。,Portal免认证用户和免费IP,免认证用户 不需要进行Portal认证即可访问Internet的用户。 免费IP 用户可以不受限制访问的IP地址。 免费IP可以设置为DNS服务器的IP地址,或者ISP提供的免费访问网站的IP地址,Portal的基本配置(一),Portal的基本配置(二),Portal的配置信息的显示与清除,Portal免认证用户和免费IP配置,删除Portal用户的配置,Portal认证典型配置,VLAN34内的客户机需通过Portal服务
8、器认证后方可访问其他网络资源。,Internet,Portal Server IP:3,Web Server IP:,VLAN1 E0/2,VLAN1 E0/3,VLAN10 E0/10 /24,VLAN1 E0/1E/0/4 /24,VLAN34 E0/34E/38 /24,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,报文过滤技术概述,报文过滤根据报文的源IP地址、目的IP地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。 实现报文过滤的核心技术就是AC
9、L(Access Control List,访问控制列表)。,ACL分类,ACL分为下面几种 基本ACL 高级ACL 二层ACL 用户自定义ACL,ACL的作用,可以限制网络流量、提高网络性能 提供对通信流量的控制手段 是提供网络安全访问的基本手段 可以在端口处决定哪种类型的通信流量被转发或被丢弃,ACL的配置,访问控制列表的配置包括: 配置时间段(可选) 定义访问控制列表 应用访问控制列表 以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后应用访问控制列表,使其生效。,ACL中时间段的配置,对时间段的配置有如下内容:配置周期时间段和绝对时间段。,
10、ACL中时间段的配置举例,配置周期时间段,取值为周一到周五每天8:00到18:00 system-view HXXX time-range test 8:00 to 18:00 working-day,配置绝对时间段,取值为2000年1月28日15:00起至2004年1月28日15:00结束 system-view HXXX time-range test from 15:00 1/28/2000 to 15:00 1/28/2004,定义基本ACL规则的配置,基本ACL的编号号取值范围为20002999。,基本ACL的配置举例,配置一个ACL 2000,禁止源地址为的报文通过
11、system-view HXXX acl number 2000 HXXX-acl-basic-2000 rule deny source 0 HXXX-acl-basic-2000 display acl 2000 Basic ACL 2000, 1 rule Acls step is 1 rule 0 deny source 0,定义高级ACL规则的配置,高级ACL的编号号取值范围为30003999。,高级ACL的配置举例,配置ACL 3000,允许从网段的主机向网段的主机发送的端口号为80的TCP报文通过 syst
12、em-view HXXX acl number 3000 HXXX-acl-adv-3000 rule permit tcp source 55 destination 55 destination-port eq 80 HXXX-acl-adv-3000 display acl 3000 Advanced ACL 3000, 1 rule Acls step is 1 rule 0 permit tcp source 55 destination 0.
13、0.0.255 destination-port eq www,定义二层ACL规则的配置,二层ACL的编号取值范围为40004999。,二层ACL的配置举例,配置ACL 4000,禁止从MAC地址000d-88f5-97ed发送到MAC地址011-4301-991e且802.1p优先级为3的报文通过 system-view HXXX acl number 4000 HXXX-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff
14、HXXX-acl-ethernetframe-4000 display acl 4000 Ethernet frame ACL 4000, 1 rule Acls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff,用户自定义ACL规则的配置,用户自定义ACL的编号取值范围为50005999。,用户自定义ACL的配置举例,配置ACL 5001,禁止所有的TCP报文通过(假设没有端口启动VLAN VPN功能) syste
15、m-view HXXX time-range t1 18:00 to 23:00 sat HXXX acl number 5001 HXXX-acl-user-5001 rule 25 deny 06 ff 27 time-range t1 HXXX-acl-user-5001 display acl 5001 User defined ACL 5001, 1 rules Acls step is 1 rule 25 deny 06 ff 27 time-range t1 (Inactive),在端口上应用ACL规则的配置,基于VLAN的ACL规则配置,基本ACL典型配置,通过基本ACL,实现在每天8:0018:00时间段内对源IP为主机发出的报文过滤(该主机从交换机的GigabitEthernet1/1/1接入),S3600,Internet,高级ACL典型配置,校园网通过HXXX S3600系列以太网交换机的端口实现各
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论