层以太网交换机的4种安全技术.ppt

1、二层以太网交换机的4种安全技术,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,以太网交换机作为企业内部网络通讯的关键设备，有必要在企业网内部提供充分的安全保护功能。 用户只要能接入以太网交换机，就可以访问Internet网上的设备或资源，使局域网上的安全性问题更显突出。 HXXX系列以太网交换机针对网络安全问题提供了多种网络安全机制。,引子,学习完本课程，您应该能够：,了解以太网安全技术的基本内容 掌握地址绑定及端口隔离的原理与配置 掌握Portal认证的基本原理与配置 掌握访问控制列表进行报文过滤的原理与配置,地址绑定技术的作用,为了防止内部人员进行非法IP盗用，可以将内部网络的I

2、P地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败; 由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。,MAC、IP与端口绑定,进行绑定操作后，只有指定MAC地址和IP地址的计算机发出的报文才能通过制定端口转发，提高了系统的安全性，增强了对网络安全的监控 。 该计算机可以在没有设置绑定的其他端口上使用。,MAC、IP与端口绑定的基本配置,对同一个MAC地址，系统只允许进行一次绑定操作 。,MAC、IP与端口绑定的配置显示,地址绑定技术案例,为了防止校园网内有恶意用户盗用PC1的IP地址，将PC1的MAC地址和IP地

3、址绑定到Switch A 的Ethernet1/0/1端口上。,Switch A,Switch B,PC1,PC2,E1/0/1,MAC:0001-0002-0003 IP Address:,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,端口隔离概述,通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，增强了网络的安全性。 端口隔离特性与以太网端口所属的VLAN无关。,端口隔离技术基本配置,端口隔离的配置显示,端口隔离技术案例,小区用户PC1、PC2、PC3分别与交换机的以太网端口E1/0/2、E1/0/3、

4、E1/0/4相连 。 交换机通过E1/0/1端口与外部网络相连 。 小区用户PC1、PC2和PC3之间不能互通 。,Internet,PC1,PC2,PC3,Switch,E1/0/1,E1/0/2,E1/0/3,E1/0/4,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,网络认证技术,常用的网络认证技术包括： Portal认证 802.1x认证,Portal认证的基本原理,Portal认证的基本原理：未认证的Portal用户用户只能访问特定的站点服务器，其它任何访问都被无条件地重定向到Portal服务器；只有在认证通过后，用户才能访问Internet。,Portal认证的优点,Po

5、rtal认证的优点包括： Poratl认证无需安装客户软件，终端用户使用方便。 Portal认证对新业务支撑的能力强大。利用Portal认证的门户功能，运营商还可以将小区广播、广告、信息查询、网上购物等业务放到Portal上，用户上网时就会强制地看到上述信息。,Portal的系统组成,认证客户机 NAS接入设备 Portal服务器 认证/计费服务器,认证/计费服务器,Portal服务器,NAS接入设备,认证客户机C,认证客户机B,认证客户机A,Portal认证的过程,NAS首次接收到登录用户的HTTP报文时，判断该登录用户是否为Portal用户。 对于Portal用户访问其他站点的HTTP报文

6、，交换机通过TCP仿冒将其重定向到Portal服务器； 用户在Portal服务器提供的Web页面输入用户名和密码，输入的用户名和密码会通过Portal服务器转发到NAS； NAS将用户名和密码发到认证服务器进行认证，认证通过后，NAS允许用户访问Internet，之后不再对该用户的HTTP报文进行重定向。,Portal的运行方式,Portal有三种运行方式 直接认证方式 二次地址分配方式 三层Portal认证方式 注意： 出于安全性考虑，直接认证方式和二次地址分配方式都要求检查用户的MAC地址，因此只能在用户接入的第一个三层接口上启用Portal，即在用户和接入设备之间不能跨越启用三层协议的网

7、络设备。 三层Portal认证方式不检查用户的MAC地址，安全性有所降低。在安全性要求较高的场合，不建议使用三层Portal认证方式。,Portal免认证用户和免费IP,免认证用户 不需要进行Portal认证即可访问Internet的用户。 免费IP 用户可以不受限制访问的IP地址。 免费IP可以设置为DNS服务器的IP地址，或者ISP提供的免费访问网站的IP地址,Portal的基本配置（一）,Portal的基本配置（二）,Portal的配置信息的显示与清除,Portal免认证用户和免费IP配置,删除Portal用户的配置,Portal认证典型配置,VLAN34内的客户机需通过Portal服务

8、器认证后方可访问其他网络资源。,Internet,Portal Server IP:3,Web Server IP:,VLAN1 E0/2,VLAN1 E0/3,VLAN10 E0/10 /24,VLAN1 E0/1E/0/4 /24,VLAN34 E0/34E/38 /24,地址绑定技术 端口隔离技术 接入认证技术 报文过滤技术,报文过滤技术概述,报文过滤根据报文的源IP地址、目的IP地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。 实现报文过滤的核心技术就是AC

9、L（Access Control List，访问控制列表）。,ACL分类,ACL分为下面几种 基本ACL 高级ACL 二层ACL 用户自定义ACL,ACL的作用,可以限制网络流量、提高网络性能 提供对通信流量的控制手段 是提供网络安全访问的基本手段 可以在端口处决定哪种类型的通信流量被转发或被丢弃,ACL的配置,访问控制列表的配置包括： 配置时间段（可选） 定义访问控制列表 应用访问控制列表 以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后应用访问控制列表，使其生效。,ACL中时间段的配置,对时间段的配置有如下内容：配置周期时间段和绝对时间段。,

10、ACL中时间段的配置举例,配置周期时间段，取值为周一到周五每天8:00到18:00 system-view HXXX time-range test 8:00 to 18:00 working-day,配置绝对时间段，取值为2000年1月28日15:00起至2004年1月28日15:00结束 system-view HXXX time-range test from 15:00 1/28/2000 to 15:00 1/28/2004,定义基本ACL规则的配置,基本ACL的编号号取值范围为20002999。,基本ACL的配置举例,配置一个ACL 2000，禁止源地址为的报文通过

11、system-view HXXX acl number 2000 HXXX-acl-basic-2000 rule deny source 0 HXXX-acl-basic-2000 display acl 2000 Basic ACL 2000, 1 rule Acls step is 1 rule 0 deny source 0,定义高级ACL规则的配置,高级ACL的编号号取值范围为30003999。,高级ACL的配置举例,配置ACL 3000，允许从网段的主机向网段的主机发送的端口号为80的TCP报文通过 syst

12、em-view HXXX acl number 3000 HXXX-acl-adv-3000 rule permit tcp source 55 destination 55 destination-port eq 80 HXXX-acl-adv-3000 display acl 3000 Advanced ACL 3000, 1 rule Acls step is 1 rule 0 permit tcp source 55 destination 0.

13、0.0.255 destination-port eq www,定义二层ACL规则的配置,二层ACL的编号取值范围为40004999。,二层ACL的配置举例,配置ACL 4000，禁止从MAC地址000d-88f5-97ed发送到MAC地址011-4301-991e且802.1p优先级为3的报文通过 system-view HXXX acl number 4000 HXXX-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff

14、HXXX-acl-ethernetframe-4000 display acl 4000 Ethernet frame ACL 4000, 1 rule Acls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff,用户自定义ACL规则的配置,用户自定义ACL的编号取值范围为50005999。,用户自定义ACL的配置举例,配置ACL 5001，禁止所有的TCP报文通过（假设没有端口启动VLAN VPN功能） syste

15、m-view HXXX time-range t1 18:00 to 23:00 sat HXXX acl number 5001 HXXX-acl-user-5001 rule 25 deny 06 ff 27 time-range t1 HXXX-acl-user-5001 display acl 5001 User defined ACL 5001, 1 rules Acls step is 1 rule 25 deny 06 ff 27 time-range t1 (Inactive),在端口上应用ACL规则的配置,基于VLAN的ACL规则配置,基本ACL典型配置,通过基本ACL，实现在每天8:0018:00时间段内对源IP为主机发出的报文过滤（该主机从交换机的GigabitEthernet1/1/1接入）,S3600,Internet,高级ACL典型配置,校园网通过HXXX S3600系列以太网交换机的端口实现各