HM-026+以太网安全技术胶片(V5.1)_第1页
HM-026+以太网安全技术胶片(V5.1)_第2页
HM-026+以太网安全技术胶片(V5.1)_第3页
HM-026+以太网安全技术胶片(V5.1)_第4页
HM-026+以太网安全技术胶片(V5.1)_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、HM-026 以太网安全ISSUE 5.1日期:了解以太网安全的基本内容掌握以太网访问控制列表的原理及配置掌握802.1X的基本原理及配置课程目标学习完本课程,您应该能够:第一节 以太网访问控制列表第二节 以太网访问控制列表的配置第三节 802.1X协议概述第四节 802.1X的配置与实现目录以太网访问列表主要作用:在整个网络中分布实施接入安全性服务器部门 A部门 BIntranetInternet访问列表对到达端口的数据包进行分类,并打上不同的动作标记访问列表可作用于交换机的部分或所有端口访问列表的主要用途:包过滤镜像流量限制流量统计分配队列优先级流分类通常选择数据包的包头信息作为流分类项2

2、层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式Vlan ID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPIP 数据包过滤IP headerTCP headerApplication-level headerData应用程序和数据源/目的端口号源/目的IP地址L3/L4过滤应用网关TCP/IP包过滤元素访问控制列表的构成Rule(访问控制列表的子规则)Time-range(时间段机制)ACL=rules+ time-range(访问控制列表由一系列子规则组成,必要时可以和时间段结合)访问控制列表子规则:rule 1子规则:rule 2子规则:rule

3、 3.子规则:rule N第一节 以太网访问控制列表第二节 以太网访问控制列表的配置第三节 802.1X协议概述第四节 802.1X的配置与实现目录时间段的相关配置在系统视图下,配置时间段:time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系统视图下,删除时间段:undo time-range time-name start-time to end-time days-of-the-week from start-time s

4、tart-date to end-time end-date 假设管理员需要在2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略,可以定义时间段名为denytime,具体配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 定义访问控制列表 在系统视图下,定义ACL并进入访问控制列表视图:acl number acl-number | name acl-name basic | advanced | link | user match-order config | auto 在系

5、统视图下,删除ACL:undo acl number acl-number | name acl-name | all 基本访问控制列表的子规则配置在基本访问控制列表视图下,配置相应的子规则rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本访问控制列表视图下,删除一条子规则undo rule rule-id source fragment time-range 高级访问控制列表的子规则配置在高级访问控制列表视图下,配置相应的子规则rule rule-id permit

6、 | deny protocol source source-addr wildcard | any destination dest-addr wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type type code established precedence precedence tos tos dscp dscp fragment time-range name 在高级访问控制列表视图下,删除一条子规则undo rule rule-id source

7、 destination source-port destination-port icmp-type precedence tos dscp fragment time-range 端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作符及语法含义eq portnumber等于portnumbergt portnumber大于portnumberlt portnumber小于portnumberneq portnumber不等于portnumberrange portnumber1portnumber2介于端口号portnumber1和portnumber2之间二层访问控制列表的子规则

8、配置在二层访问控制列表视图下,配置相应的子规则rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-r

9、ange name 在二层访问控制列表视图下,删除一条子规则undo rule rule-id 自定义访问控制列表的子规则配置在自定义访问控制列表视图下,配置相应的子规则rule rule-id permit | deny rule-string rule-mask offset & time-range name 在自定义访问控制列表视图下,删除一条子规则undo rule rule-id子规则匹配原则一条访问控制列表往往会由多条子规则组成,这样在匹配一条访问控制列表的时候就存在着子规则匹配顺序的问题。在H3C系列交换机产品上,支持下列两种匹配顺序:Config:指定匹配该子规则时按用户的配

10、置顺序匹配Auto:指定匹配该子规则时系统自动排序(按“深度优先”的规则)激活访问控制列表在系统视图下,激活ACL:packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule 在系统视图下,取消激活ACL:undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-numbe

11、r | acl-name rule rule | link-group acl-number | acl-name rule rule 配置ACL进行包过滤的步骤综上所述,在H3C交换机上配置ACL进行包过滤的步骤如下:配置时间段(可选)定义访问控制列表(四种类型:基本、高级、基于二层和用户自定义)激活访问控制列表 访问控制列表配置举例S3526E总裁办公室IP:129.111.1.2 工资查询服务器E0/1财务部门管理部门IP:129.110.1.2 访问控制列表的维护和调试显示时间段状况:display time-range all | name 显示访问控制列表的详细配置信息:displ

12、ay acl config all | acl-number | acl-name 显示访问控制列表的下发应用信息:display acl running-packet-filter all 清除访问控制列表的统计信息:reset acl counter all | acl-number | acl-name 第一节 以太网访问控制列表第二节 以太网访问控制列表的配置第三节 802.1X协议概述第四节 802.1X的配置与实现目录以太网接入的AAA功能Radius-Server交换式以太网用户PPPOERT1Internet802.1X的作用IEEE 802.1X定义了基于端口的网络接入控制协

13、议(Port based network access control protocol)该协议适用于接入的用户设备与接入端口间点到点的连接方式,实现对局域网用户接入的认证与服务管理802.1X的认证接入基于逻辑端口802.1X的系统组成传输介质:点对点以太网(如果是共享式以太网需要采用加密的方式传递认证信息)SupplicantAuthenticator SystemServices offered by Authenticators SystemAuthenticator PAE Authenticator Server 非受控端口受控端口LANEAPOLEAP protocolexcha

14、nges carriers in higher layer protocolEAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicantEAP协议消息格式EAP协议的消息格式如下:EAP包含多种验证算法:非常类似于CHAP的MD5 Challenge OTP(A One-Time Password System) 通用令牌卡(Generic Token Card) 由于EAP本身采取可扩展的机制,可以平滑的采用新的验证算法 EAP验证过程UsernamePasswordUser1abcUser2123PPP LCP AC

15、K/EAPPPP EAP-Request/IdentityPPP EAP-Response/User1PPP EAP-Request/Md5 Challenge:randPPP EAP-Response/Md5(rand,abc)PPP EAP-SuccessPCEAPUsername:User1Password:abc用户数据库PPP LCP Request/EAPEAPOL协议的消息格式802.1X的EAPOL认证过程EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-RequestEAP-Response(credentials

16、)EAP-SuccessRadius-Access-RequestRadius-Access-RequestRadius-Access-ChallengeRadius-Access-AcceptRadius&DHCPPC802.1X的受控端口(1)根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。802.1X客户端软件(Supplicant)端口启动了802.1X,成为受控端口,客户只有在通过802.1X认证后才能访问网络资源端口未启动802.1X,为非受控端口,通信数据可以畅通无阻H3C S3526(Authenticator)802.1X的受控端口(2)受控端口支持三种认证授权

17、模式ForceAuthorized模式端口一直维持授权状态,下挂用户无需认证过程就可访问网络资源ForceUnauthorized模式端口一直维持非授权状态,忽略所有客户端发起的认证请求Auto模式端口初始状态为非授权状态,仅允许EAPOL报文收发。802.1X认证通过后,将此端口状态切换到授权状态,用户才能访问网络资源端口受控方式H3C公司对802.1X协议的端口控制方式进行了扩展,除了支持基于端口的控制方式外,还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。基于端口的控制一旦某端口上有一位用户通过了802.1X的认证,整个端口都将被授权,允许多台主

18、机通过此端口访问网络资源基于MAC地址的控制(端口源MAC)某端口上有用户通过802.1X认证时,仅授权给发起该认证的主机通过此端口访问网络资源,不允许其它主机通过此端口访问网络资源基于VLAN的控制(端口VLAN ID源MAC)某端口人有用户通过802.1X认证时,仅授权给发起该认证的主机通过此端口访问网络资源,并且所访问的资源被限定在特定的VLAN内802.1X优势明显802.1XPPPOEWEB认证是否需要安装客户端软件业务报文效率组播支持能力有线网上的安全性设备端的要求增值应用支持是,XP不需要是否高好扩展后可用低简单复杂复杂高较高可用可用低,对设备要求高好低,有封装开销高结论:802

19、.1X适用于运营管理相对简单,业务复杂度较低的企业以及园区是理想的低成本运营解决方案典型应用(1)802.1X应用在大中型网络汇聚层设备集中认证S7506/S8016 S3526/S3526E/FM/FS802.1X 设备端MA5300/5306802.1X 设备端DNSDHCPAAAH3C S2016/S2008S2008B/S2016BHUB802.1X客户端802.1X客户端802.1X认证服务器HUB典型应用(2)802.1X应用在大中型网络边缘设备分布认证S5516AAA/DHCP/DNSS3026/S3026E/FM/FS802.1X 设备端S3026/S3026E/FM/FS80

20、2.1X 设备端802.1X客户端802.1X认证服务器802.1X客户端S7506/S8016S3526/S3526E/FM/FS典型应用(3)802.1X应用在小型网络DHCP/DNSH3C S3600802.1X设备端S3026/S3026E/FM/FS802.1X设备端802.1X客户端802.1X客户端S2403S2008/16802.1X设备端802.1X客户端S2008B/16BAccessPointS3526/S3526E/FM/FS802.1X内置认证服务器&设备端第一节 以太网访问控制列表第二节 以太网访问控制列表的配置第三节 802.1X协议概述第四节 802.1X的配置

21、与实现目录802.1X典型配置案例SupplicantS3526Ethernet0/1Authenticator Servers(RADIUS Server ClusterIP Addr:10.11.1.110.11.1.2)Internet802.1X典型配置案例开启指定端口Ethernet 0/1的802.1X特性H3Cdot1x interface Ethernet 0/1设置接入控制的方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)H3Cdot1x port-method macbased interface Ethernet 0/1802.1X典型配置案例

22、创建RADIUS组radius1并进入其配置模式H3Cradius scheme radius1设置主认证/计费RADIUS服务器的IP地址 H3C-radius-radius1primary authentication 10.11.1.1H3C-radius-radius1primary accounting 10.11.1.2设置从认证/计费RADIUS服务器的IP地址 H3C-radius-radius1secondary authentication 10.11.1.2H3C-radius-radius1secondary accounting 10.11.1.1设置系统与认证RADIUS服务器交互报文时的加密密码H3C-radius-radius1key authentication n

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论