版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、层以太网交换机的4种安全技术1二层以太网交换机的二层以太网交换机的4 4种安全技术种安全技术层以太网交换机的4种安全技术2地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术层以太网交换机的4种安全技术3 以太网交换机作为企业内部网络通讯的关键设备,有必要在企以太网交换机作为企业内部网络通讯的关键设备,有必要在企业网内部提供充分的安全保护功能业网内部提供充分的安全保护功能。 用户只要能接入以太网交换机,就可以访问用户只要能接入以太网交换机,就可以访问internetinternet网上的设网上的设备或资源,使局域网上的安全性问题更显突出。备或资源,使
2、局域网上的安全性问题更显突出。 hxxxhxxx系列以太网交换机针对网络安全问题提供了多种网络安全系列以太网交换机针对网络安全问题提供了多种网络安全机制。机制。引子引子层以太网交换机的4种安全技术4学习完本课程,您应该能够:学习完本课程,您应该能够: 了解以太网安全技术的基本内容了解以太网安全技术的基本内容 掌握地址绑定及端口隔离的原理与配置掌握地址绑定及端口隔离的原理与配置 掌握掌握portalportal认证的基本原理与认证的基本原理与配置配置 掌握访问控制列表进行报文过滤的原理与配置掌握访问控制列表进行报文过滤的原理与配置层以太网交换机的4种安全技术5地址绑定技术的作用为了防止内部人员进
3、行非法ip盗用,可以将内部网络的ip地址与mac地址绑定,盗用者即使修改了ip地址,也因mac地址不匹配而盗用失败;由于网卡mac地址的唯一确定性,可以根据mac地址查出使用该mac地址的网卡,进而查出非法盗用者。层以太网交换机的4种安全技术6mac、ip与端口绑定进行绑定操作后,只有指定mac地址和ip地址的计算机发出的报文才能通过制定端口转发,提高了系统的安全性,增强了对网络安全的监控 。该计算机可以在没有设置绑定的其他端口上使用。层以太网交换机的4种安全技术7mac、ip与端口绑定的基本配置n对同一个mac地址,系统只允许进行一次绑定操作。操作操作命令命令说明说明进入系统视图 syste
4、m-viewsystem-view - 将合法用户的mac地址和ip地址绑定到指定端口上 am user-bind mac-addram user-bind mac-addr mac-address ip-addrip-addr ip-address interfaceinterface interface-type interface-number 可选 进入以太网端口视图 interfaceinterface interface-type interface-number - 将合法用户的mac地址和ip地址绑定到当前端口上 am user-bind mac-addr am user-bi
5、nd mac-addr mac-address ip-addr ip-addr ip-address 可选层以太网交换机的4种安全技术8mac、ip与端口绑定的配置显示操作操作命令命令说明说明显示端口绑定的配置信息 display am user-bind display am user-bind interface interface interface-type interface-number | mac-addr mac-addr mac-addr | ip- ip-addr addr ip-addr displaydisplay命令可以在任意视图下执行 层以太网交换机的4种安全技术9
6、地址绑定技术案例为了防止校园网内有恶意用户盗用pc1的ip地址,将pc1的mac地址和ip地址绑定到switch a 的ethernet1/0/1端口上。 switch aswitch bpc1pc2e1/0/1mac:0001-0002-0003ip address:层以太网交换机的4种安全技术10地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术层以太网交换机的4种安全技术11端口隔离概述通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,增强了网络的安全性。端口隔离特
7、性与以太网端口所属的vlan无关。层以太网交换机的4种安全技术12端口隔离技术基本配置操作操作命令命令说明说明进入系统视图 system-viewsystem-view - 进入以太网端口视图 interfaceinterface interface-type interface-number - 将以太网端口加入到隔离组中 port isolateport isolate 必选缺省情况下,隔离组中没有加入任何以太网端口 层以太网交换机的4种安全技术13端口隔离的配置显示操作操作命令命令说明说明显示已经加入到隔离组中的以太网端口信息 display isolate port display i
8、solate port displaydisplay命令可以在任意视图下执行 层以太网交换机的4种安全技术14端口隔离技术案例小区用户pc1、pc2、pc3分别与交换机的以太网端口e1/0/2、e1/0/3、e1/0/4相连 。 交换机通过e1/0/1端口与外部网络相连 。小区用户pc1、pc2和pc3之间不能互通 。internetpc1pc2pc3switche1/0/1e1/0/2e1/0/3e1/0/4层以太网交换机的4种安全技术15地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术层以太网交换机的4种安全技术16网络认证技术常用的网络认证
9、技术包括:portal认证802.1x认证层以太网交换机的4种安全技术17portal认证的基本原理portal认证的基本原理:未认证的portal用户用户只能访问特定的站点服务器,其它任何访问都被无条件地重定向到portal服务器;只有在认证通过后,用户才能访问internet。 层以太网交换机的4种安全技术18portal认证的优点portal认证的优点包括:poratl认证无需安装客户软件,终端用户使用方便。portal认证对新业务支撑的能力强大。利用portal认证的门户功能,运营商还可以将小区广播、广告、信息查询、网上购物等业务放到portal上,用户上网时就会强制地看到上述信息。
10、层以太网交换机的4种安全技术19portal的系统组成认证客户机nas接入设备portal服务器认证/计费服务器认证认证/ /计费服务器计费服务器portalportal服务器服务器nasnas接入设备接入设备认证客户机认证客户机c c认证客户机认证客户机b b认证客户机认证客户机a a层以太网交换机的4种安全技术20portal认证的过程nas首次接收到登录用户的http报文时,判断该登录用户是否为portal用户。对于portal用户访问其他站点的http报文,交换机通过tcp仿冒将其重定向到portal服务器;用户在portal服务器提供的web页面输入用户名和密码,输入的用户名和密码会
11、通过portal服务器转发到nas;nas将用户名和密码发到认证服务器进行认证,认证通过后,nas允许用户访问internet,之后不再对该用户的http报文进行重定向。层以太网交换机的4种安全技术21portal的运行方式portal有三种运行方式直接认证方式二次地址分配方式三层portal认证方式注意:出于安全性考虑,直接认证方式和二次地址分配方式都要求检查用户的mac地址,因此只能在用户接入的第一个三层接口上启用portal,即在用户和接入设备之间不能跨越启用三层协议的网络设备。三层portal认证方式不检查用户的mac地址,安全性有所降低。在安全性要求较高的场合,不建议使用三层port
12、al认证方式。 层以太网交换机的4种安全技术22portal免认证用户和免费ip 免认证用户不不需要进行portal认证即可访问internet的用户。免费ip用户可以不受限制访问的ip地址。免费ip可以设置为dns服务器的ip地址,或者isp提供的免费访问网站的ip地址层以太网交换机的4种安全技术23portal的基本配置(一) 操作操作命令命令说明说明进入系统视图 system-viewsystem-view - 配置portal服务器 portal serverportal server server-name ip ip ip-addressip-address | key| key
13、key-string | | portport port | url| url url-string * * 必选 ;缺省情况下,无portal服务器;当配置一个portal服务器时,key-string缺省为not configured;port缺省为50100;url-string缺省为ip-address的字符串方式 配置portal的运行方式 portal method portal method direct | layer3 | direct | layer3 | redhcp redhcp 可选 ;缺省情况下,portal运行方式为直接认证方式(direct) 配置认证网段 po
14、rtal auth-networkportal auth-network network-address net-mask vlan vlan-id 当配置portal运行方式为三层认证方式(layer3)时,必须配置此命令。其他方式略过此步骤 层以太网交换机的4种安全技术24portal的基本配置(二) 操作操作命令命令说明说明配置与用户pc进行arp握手的时间间隔和允许握手失败的最大次数 portal arp-portal arp-handshake handshake interval interval interval | retry- | retry-times times retr
15、y-times * * 可选 ;此任务仅对直接认证方式和二次地址分配方式有效 进入vlan接口视图 interface vlan-interface vlan-interfaceinterface vlan-id 以下vlan接口视图的显示与输入的vlan-id对应 在vlan接口上使能portal认证 portal portal server-name 必选 层以太网交换机的4种安全技术25portal的配置信息的显示与清除 操作操作命令命令说明说明显示与认证、连接、管理相关的状态机统计信息 display portal acm | server display portal acm | s
16、erver | tcp-cheat statistics | tcp-cheat statistics - 显示portal认证网段相关信息 display portal auth-networkdisplay portal auth-network auth-vlan-id | free-ip | | free-ip | free-user | server free-user | server server-name | vlan | vlan vlan-id - 显示portal用户信息 display portal user display portal user ip ipaddre
17、ss | interface| interface interface-type interface-number | vlan | vlan vlan-id vlan-id - 清除portal的相关统计信息 reset portal acm | server | reset portal acm | server | tcp-cheat statistics tcp-cheat statistics -层以太网交换机的4种安全技术26portal免认证用户和免费ip配置 操作操作命令命令说明说明进入系统视图 system-view system-view - 配置免费ip portal f
18、ree-ipportal free-ip ip-address mask | mask-length 最多可以配置免费ip数由nas设备决定,portal服务器自动占用一个免费ip 配置免认证用户 系统视图下 portal free-user mac portal free-user mac mac-address ip ip ip-address vlan vlan vlan-id interface interface interface-type interface-number 最多可以配置免认证用户个数由nas决定;在端口下配置该命令使用当前端口,不用指定interface 端口视图
19、下 portal free-user mac portal free-user mac mac-address ip ip ip-address vlan vlan vlan-id 显示portal免认证用户和免费ip的配置信息 display portal free-ip | display portal free-ip | free-user free-user - 层以太网交换机的4种安全技术27删除portal用户的配置 操作操作命令命令说明说明进入系统视图 system-view system-view - 删除指定ip地址的portal用户 portal delete-portal
20、 delete-user user ip-address - 层以太网交换机的4种安全技术28portal认证典型配置 vlan34内的客户机需通过portal服务器认证后方可访问其他网络资源。internetinternetportal serverportal serverip:3ip:3web serverweb serverip:ip:vlan1 e0/2vlan1 e0/2vlan1 e0/3vlan1 e0/3vlan10 e0/10vlan10 e0/10/24
21、/24vlan1 e0/1e/0/4vlan1 e0/1e/0/4/24/24vlan34 vlan34 e0/34e/38e0/34e/38/24/24层以太网交换机的4种安全技术29地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术层以太网交换机的4种安全技术30报文过滤技术概述报文过滤根据报文的源ip地址、目的ip地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。 实现报文过滤的核心技术就是acl(access control list,
22、访问控制列表)。层以太网交换机的4种安全技术31acl分类n acl分为下面几种基本acl高级acl二层acl用户自定义acl层以太网交换机的4种安全技术32acl的作用 可以限制网络流量、提高网络性能提供对通信流量的控制手段是提供网络安全访问的基本手段可以在端口处决定哪种类型的通信流量被转发或被丢弃层以太网交换机的4种安全技术33acl的配置 访问控制列表的配置包括:配置时间段(可选)定义访问控制列表应用访问控制列表 以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后应用访问控制列表,使其生效。 层以太网交换机的4种安全技术34acl中时间段的配
23、置 操作操作命令命令说明说明进入系统视图 system-view system-view - 创建一个时间段 time-rangetime-range time-name start-time toto end-time days-of-the-week from from start-time start-date to to end-time end-date | from | from start-time start-date to to end-time end-date | to| to end-time end-date 必选 显示时间段 display time-rangedi
24、splay time-range all |all | time-name 可选 ;display命令可以在任意视图下执行 对时间段的配置有如下内容:配置周期时间段和绝对时间段。层以太网交换机的4种安全技术35acl中时间段的配置举例n 配置周期时间段,取值为周一到周五每天8:00到18:00 system-view hxxx time-range test 8:00 to 18:00 working-dayn 配置绝对时间段,取值为2000年1月28日15:00起至2004年1月28日15:00结束 system-view hxxx time-range test from 15:00 1/
25、28/2000 to 15:00 1/28/2004层以太网交换机的4种安全技术36定义基本acl规则的配置操作操作命令命令说明说明进入系统视图 system-view system-view - 创建或进入基本acl视图 acl numberacl number acl-number match-ordermatch-order configconfig | autoauto 缺省情况下匹配顺序为config config 定义acl规则 rule rule rule-id permit | permit | deny fragment | sourcedeny fragment | sou
26、rce sour-addr sour-wildcard | | any | time-range any | time-range time-name * * 可选 ;定义acl的描述信息 description description text 可选 显示acl信息 display acl all | display acl all | acl-number 可选 ;display命令可以在任意视图下执行 n 基本acl的编号号取值范围为20002999。层以太网交换机的4种安全技术37基本acl的配置举例 配置一个acl 2000,禁止源地址为的报文通过 system-vie
27、w system-viewhxxx acl number 2000hxxx acl number 2000hxxx-acl-basic-2000 rule deny source hxxx-acl-basic-2000 rule deny source 0 0hxxx-acl-basic-2000 display acl 2000hxxx-acl-basic-2000 display acl 2000basic acl 2000, 1 rulebasic acl 2000, 1 ruleacls step is 1acls step is 1rule 0 den
28、y source 0rule 0 deny source 0 层以太网交换机的4种安全技术38定义高级acl规则的配置操作操作命令命令说明说明进入系统视图 system-view system-view - 创建或进入高级acl视图 acl number acl number acl-number acl-number match-order config | match-order config | auto auto 缺省情况下匹配顺序为config config 定义acl规则 rule rule rule-id permit | permit | den
29、y deny rule-string 必选 定义acl规则的注释字符串 rulerule rule-id commentcomment text 可选定义acl的描述信息 description description text 可选 显示acl信息 display acl all | display acl all | acl-number 可选 ;display命令可以在任意视图下执行 高级acl的编号号取值范围为30003999。层以太网交换机的4种安全技术39高级acl的配置举例n 配置acl 3000,允许从网段的主机向网段的主机发送的端口号
30、为80的tcp报文通过 system-view system-viewhxxx acl number 3000hxxx acl number 3000hxxx-acl-adv-3000 rule permit tcp source hxxx-acl-adv-3000 rule permit tcp source 55 destination 55 55 destination 55 destination-port eq 80destina
31、tion-port eq 80hxxx-acl-adv-3000 display acl 3000hxxx-acl-adv-3000 display acl 3000advanced acl 3000, 1 ruleadvanced acl 3000, 1 ruleacls step is 1acls step is 1 rule 0 permit tcp source 55 rule 0 permit tcp source 55 destination 55 destinati
32、on-port eq destination 55 destination-port eq wwwwww层以太网交换机的4种安全技术40定义二层acl规则的配置操作操作命令命令说明说明进入系统视图 system-view system-view - 创建或进入二层acl视图 acl number acl number acl-number 必选 定义acl规则 rule rule rule-id permit | permit | deny deny rule-string 必选 定义acl规则的注释字符串 rulerule rule-id commen
33、tcomment text 可选定义acl的描述信息 description description text 可选 显示acl信息 display acl all | display acl all | acl-number 可选 ;display命令可以在任意视图下执行 n 二层acl的编号取值范围为40004999。层以太网交换机的4种安全技术41二层acl的配置举例n 配置acl 4000,禁止从mac地址000d-88f5-97ed发送到mac地址011-4301-991e且802.1p优先级为3的报文通过 system-view system-viewhxxx acl number
34、 4000hxxx acl number 4000hxxx-acl-ethernetframe-4000 rule deny cos 3 source hxxx-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffffffff-ffff-ffffhxxx-acl-ethernetframe-4000 display acl 4000h
35、xxx-acl-ethernetframe-4000 display acl 4000ethernet frame acl 4000, 1 ruleethernet frame acl 4000, 1 ruleacls step is 1acls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffffffff-ff
36、ff-ffff dest 0011-4301-991e ffff-ffff-ffff 层以太网交换机的4种安全技术42用户自定义acl规则的配置操作操作命令命令说明说明进入系统视图 system-view system-view - 创建或进入用户自定义acl视图 acl number acl number acl-number 必选 定义acl规则 rule rule rule-id permit permit | deny deny rule-string rule-mask offset & time-rangetime-range name 必选 定义acl规则的注释字符串 r
37、ulerule rule-id commentcomment text 可选定义acl的描述信息 description description text 可选 显示acl信息 display acl all | display acl all | acl-number 可选 ;display命令可以在任意视图下执行 用户自定义acl的编号取值范围为50005999。层以太网交换机的4种安全技术43用户自定义acl的配置举例 配置acl 5001,禁止所有的tcp报文通过(假设没有端口启动vlan vpn功能) system-view system-viewhxxx time-range t1 18:00 to 23:00 sathxxx time-range t1 18:00 to 23:00 sathxxx acl number 50
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论