HM-026+以太网安全技术胶片(V5.1).ppt

1、HM-026 以太网安全,ISSUE 5.1,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解以太网安全的基本内容 掌握以太网访问控制列表的原理及配置 掌握802.1X的基本原理及配置,课程目标,学习完本课程，您应该能够：,第一节 以太网访问控制列表 第二节 以太网访问控制列表的配置 第三节 802.1X协议概述 第四节 802.1X的配置与实现,目录,以太网访问列表,主要作用:在整个网络中分布实施接入安全性,访问列表,对到达端口的数据包进行分类，并打上不同的动作标记 访问列表可作用于交换机的部分或所有端口 访问列表的主要用途： 包过滤 镜像 流量限制 流量统计 分配队

2、列优先级,流分类,通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式 Vlan ID 入/出端口 3/4层流分类项 协议类型 源/目的IP地址 源/目的端口号 DSCP,IP 数据包过滤,IP header,TCP header,Application-level header,Data,应用程序和数据,源/目的端口号,源/目的IP地址,L3/L4过滤,应用网关,TCP/IP包过滤元素,访问控制列表的构成,Rule（访问控制列表的子规则） Time-range（时间段机制） ACL=rules+ time-range （访问控制列表由

3、一系列子规则组成，必要时可以和时间段结合）,访问控制列表 子规则:rule 1 子规则:rule 2 子规则:rule 3 . 子规则:rule N,第一节 以太网访问控制列表 第二节 以太网访问控制列表的配置 第三节 802.1X协议概述 第四节 802.1X的配置与实现,目录,时间段的相关配置,在系统视图下，配置时间段: time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系统视图下，删除时间段: undo time-ran

4、ge time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date ,假设管理员需要在2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,定义访问控制列表,在系统视图下，定义ACL并进入访问控制列表视图: acl number acl-number | n

5、ame acl-name basic | advanced | link | user match-order config | auto 在系统视图下，删除ACL: undo acl number acl-number | name acl-name | all ,基本访问控制列表的子规则配置,在基本访问控制列表视图下，配置相应的子规则 rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本访问控制列表视图下，删除一条子规则 undo rule rule-id sour

6、ce fragment time-range ,高级访问控制列表的子规则配置,在高级访问控制列表视图下，配置相应的子规则 rule rule-id permit | deny protocol source source-addr wildcard | any destination dest-addr wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type type code established precedence precedence tos tos

7、 dscp dscp fragment time-range name 在高级访问控制列表视图下，删除一条子规则 undo rule rule-id source destination source-port destination-port icmp-type precedence tos dscp fragment time-range ,端口操作符及语法,TCP/UDP协议支持的端口操作符及语法,操作符及语法,含义,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq p

8、ortnumber,不等于portnumber,range portnumber1 portnumber2,介于端口号portnumber1和 portnumber2之间,二层访问控制列表的子规则配置,在二层访问控制列表视图下，配置相应的子规则 rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress

9、dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range name 在二层访问控制列表视图下，删除一条子规则 undo rule rule-id,自定义访问控制列表的子规则配置,在自定义访问控制列表视图下，配置相应的子规则 rule rule-id permit | deny rule-string rule-mask offset & time-range name 在自定义访问控制列表视图下，删除一条子规则 undo rule rule-i

10、d,子规则匹配原则,一条访问控制列表往往会由多条子规则组成，这样在匹配一条访问控制列表的时候就存在着子规则匹配顺序的问题。在H3C系列交换机产品上，支持下列两种匹配顺序： Config：指定匹配该子规则时按用户的配置顺序匹配 Auto：指定匹配该子规则时系统自动排序（按“深度优先”的规则）,激活访问控制列表,在系统视图下，激活ACL: packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-n

11、ame rule rule 在系统视图下，取消激活ACL: undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,配置ACL进行包过滤的步骤,综上所述，在H3C交换机上配置ACL进行包过滤的步骤如下： 配置时间段（可选） 定义访问控制列表（四种类型：基本、高级、基于二层和用户自定义） 激活访问控制列表,访问控制列表配置举例,S3526E,总裁办公室,

12、IP：129.111.1.2,工资查询服务器,E0/1,财务部门,管理部门,IP：129.110.1.2,访问控制列表的维护和调试,显示时间段状况: display time-range all | name 显示访问控制列表的详细配置信息: display acl config all | acl-number | acl-name 显示访问控制列表的下发应用信息: display acl running-packet-filter all 清除访问控制列表的统计信息: reset acl counter all | acl-number | acl-name ,第一节 以太网访问控制列表

13、第二节 以太网访问控制列表的配置 第三节 802.1X协议概述 第四节 802.1X的配置与实现,目录,以太网接入的AAA功能,Radius-Server,交换式以太网,用户,PPPOE,RT1,Internet,802.1X的作用,IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol） 该协议适用于接入的用户设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理 802.1X的认证接入基于逻辑端口,802.1X的系统组成,传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证

14、信息）,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,EAP协议消息格式,EAP协议的消息格式如下：,EAP包含多种验证算法： 非常类似于CHAP的MD5 Challenge OTP（A One-Time Password System） 通用令牌卡（Generic Token Card） 由于EAP本身采取可扩展的机制，可以平滑的采用新的验证算法,EAP验证过程,PPP LCP ACK/EAP,PPP EAP-Request/Identity,PPP EAP-Response/User1,PPP

15、 EAP-Request/Md5 Challenge：rand,PPP EAP-Response/Md5（rand，abc）,PPP EAP-Success,PC,EAP,Username：User1 Password：abc,用户数据库,PPP LCP Request/EAP,EAPOL协议的消息格式,802.1X的EAPOL认证过程,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Request,EAP-Response(credentials),EAP-Success,Radius-Access-Request,Rad

16、ius-Access-Request,Radius-Access-Challenge,Radius-Access-Accept,Radius&DHCP,PC,802.1X的受控端口（1）,根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。,802.1X客户端软件,（Supplicant）,端口启动了802.1X，成为 受控端口，客户只有在通 过802.1X认证后才能访问 网络资源,端口未启动802.1X， 为非受控端口，通信 数据可以畅通无阻,H3C S3526,（Authenticator）,802.1X的受控端口（2）,受控端口支持三种认证授权模式 ForceAuthorize

17、d模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源 ForceUnauthorized模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求 Auto模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源,端口受控方式,H3C公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。 基于端口的控制 一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访

18、问网络资源 基于MAC地址的控制（端口源MAC） 某端口上有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源 基于VLAN的控制（端口VLAN ID源MAC） 某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内,802.1X优势明显,802.1X,PPPOE,WEB认证,是否需要安装 客户端软件,业务报文效率,组播支持能力,有线网上的 安全性,设备端的要求,增值应用支持,是，XP不需要,是,否,高,好,扩展后可用,低,简单,复杂,复杂,高,较高,可用,可用

19、,低，对设备要求高,好,低，有封装开销,高,结论： 802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区 是理想的低成本运营解决方案,典型应用（1）,802.1X应用在大中型网络汇聚层设备集中认证,S7506/S8016,S3526/S3526E/FM/FS 802.1X 设备端,MA5300/5306 802.1X 设备端,DNS,DHCP,AAA,H3C S2016/S2008,S2008B/S2016B,HUB,802.1X客户端,802.1X客户端,802.1X认证服务器,HUB,典型应用（2）,802.1X应用在大中型网络边缘设备分布认证,S5516,AAA/DHCP/D

20、NS,S3026/S3026E/FM/FS 802.1X 设备端,S3026/S3026E/FM/FS 802.1X 设备端,802.1X客户端,802.1X认证服务器,802.1X客户端,S7506/S8016,S3526/S3526E/FM/FS,典型应用（3）,802.1X应用在小型网络,DHCP/DNS,H3C S3600 802.1X设备端,S3026/S3026E/FM/FS 802.1X设备端,802.1X客户端,802.1X客户端,S2403,S2008/16 802.1X设备端,802.1X客户端,S2008B/16B,AccessPoint,S3526/S3526E/FM/

21、FS,802.1X内置认证服务器&设备端,第一节 以太网访问控制列表 第二节 以太网访问控制列表的配置 第三节 802.1X协议概述 第四节 802.1X的配置与实现,目录,802.1X典型配置案例,Supplicant,S3526,Ethernet 0/1,Authenticator Servers (RADIUS Server Cluster IP Addr:10.11.1.1 10.11.1.2),Internet,802.1X典型配置案例,开启指定端口Ethernet 0/1的802.1X特性 H3Cdot1x interface Ethernet 0/1 设置接入控制的方式（该命令可

22、以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的） H3Cdot1x port-method macbased interface Ethernet 0/1,802.1X典型配置案例,创建RADIUS组radius1并进入其配置模式 H3Cradius scheme radius1 设置主认证/计费RADIUS服务器的IP地址 H3C-radius-radius1primary authentication 10.11.1.1 H3C-radius-radius1primary accounting 10.11.1.2 设置从认证/计费RADIUS服务器的IP地址 H3C-radius-radius1secondary authentication 10.11.1.2 H3C-radius-radius1secondary accounting 10.11.1.1 设置系统与认证RADIUS服务器交互报文时的加密密码 H3C-radius-radius1key authentication name 设置系统与