1、HM-026 以太網(wǎng)安全,ISSUE 5.1,日期：,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,了解以太網(wǎng)安全的基本內(nèi)容 掌握以太網(wǎng)訪問控制列表的原理及配置 掌握802.1X的基本原理及配置,課程目標(biāo),學(xué)習(xí)完本課程，您應(yīng)該能夠：,第一節(jié) 以太網(wǎng)訪問控制列表 第二節(jié) 以太網(wǎng)訪問控制列表的配置 第三節(jié) 802.1X協(xié)議概述 第四節(jié) 802.1X的配置與實現(xiàn),目錄,以太網(wǎng)訪問列表,主要作用:在整個網(wǎng)絡(luò)中分布實施接入安全性,訪問列表,對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動作標(biāo)記 訪問列表可作用于交換機(jī)的部分或所有端口 訪問列表的主要用途： 包過濾 鏡像 流量限制 流量統(tǒng)計 分配隊

2、列優(yōu)先級,流分類,通常選擇數(shù)據(jù)包的包頭信息作為流分類項 2層流分類項 以太網(wǎng)幀承載的數(shù)據(jù)類型 源/目的MAC地址 以太網(wǎng)封裝格式 Vlan ID 入/出端口 3/4層流分類項 協(xié)議類型 源/目的IP地址 源/目的端口號 DSCP,IP 數(shù)據(jù)包過濾,IP header,TCP header,Application-level header,Data,應(yīng)用程序和數(shù)據(jù),源/目的端口號,源/目的IP地址,L3/L4過濾,應(yīng)用網(wǎng)關(guān),TCP/IP包過濾元素,訪問控制列表的構(gòu)成,Rule（訪問控制列表的子規(guī)則） Time-range（時間段機(jī)制） ACL=rules+ time-range （訪問控制列表由

3、一系列子規(guī)則組成，必要時可以和時間段結(jié)合）,訪問控制列表 子規(guī)則:rule 1 子規(guī)則:rule 2 子規(guī)則:rule 3 . 子規(guī)則:rule N,第一節(jié) 以太網(wǎng)訪問控制列表 第二節(jié) 以太網(wǎng)訪問控制列表的配置 第三節(jié) 802.1X協(xié)議概述 第四節(jié) 802.1X的配置與實現(xiàn),目錄,時間段的相關(guān)配置,在系統(tǒng)視圖下，配置時間段: time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系統(tǒng)視圖下，刪除時間段: undo time-ran

4、ge time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date ,假設(shè)管理員需要在2002年12月1日上午8點到2003年1月1日下午18點的時間段內(nèi)實施安全策略，可以定義時間段名為denytime，具體配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,定義訪問控制列表,在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖: acl number acl-number | n

5、ame acl-name basic | advanced | link | user match-order config | auto 在系統(tǒng)視圖下，刪除ACL: undo acl number acl-number | name acl-name | all ,基本訪問控制列表的子規(guī)則配置,在基本訪問控制列表視圖下，配置相應(yīng)的子規(guī)則 rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id sour

6、ce fragment time-range ,高級訪問控制列表的子規(guī)則配置,在高級訪問控制列表視圖下，配置相應(yīng)的子規(guī)則 rule rule-id permit | deny protocol source source-addr wildcard | any destination dest-addr wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type type code established precedence precedence tos tos

7、 dscp dscp fragment time-range name 在高級訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id source destination source-port destination-port icmp-type precedence tos dscp fragment time-range ,端口操作符及語法,TCP/UDP協(xié)議支持的端口操作符及語法,操作符及語法,含義,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq p

8、ortnumber,不等于portnumber,range portnumber1 portnumber2,介于端口號portnumber1和 portnumber2之間,二層訪問控制列表的子規(guī)則配置,在二層訪問控制列表視圖下，配置相應(yīng)的子規(guī)則 rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress

9、dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range name 在二層訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id,自定義訪問控制列表的子規(guī)則配置,在自定義訪問控制列表視圖下，配置相應(yīng)的子規(guī)則 rule rule-id permit | deny rule-string rule-mask offset & time-range name 在自定義訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-i

10、d,子規(guī)則匹配原則,一條訪問控制列表往往會由多條子規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在著子規(guī)則匹配順序的問題。在H3C系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序： Config：指定匹配該子規(guī)則時按用戶的配置順序匹配 Auto：指定匹配該子規(guī)則時系統(tǒng)自動排序（按“深度優(yōu)先”的規(guī)則）,激活訪問控制列表,在系統(tǒng)視圖下，激活A(yù)CL: packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-n

11、ame rule rule 在系統(tǒng)視圖下，取消激活A(yù)CL: undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,配置ACL進(jìn)行包過濾的步驟,綜上所述，在H3C交換機(jī)上配置ACL進(jìn)行包過濾的步驟如下： 配置時間段（可選） 定義訪問控制列表（四種類型：基本、高級、基于二層和用戶自定義） 激活訪問控制列表,訪問控制列表配置舉例,S3526E,總裁辦公室,

12、IP：129.111.1.2,工資查詢服務(wù)器,E0/1,財務(wù)部門,管理部門,IP：129.110.1.2,訪問控制列表的維護(hù)和調(diào)試,顯示時間段狀況: display time-range all | name 顯示訪問控制列表的詳細(xì)配置信息: display acl config all | acl-number | acl-name 顯示訪問控制列表的下發(fā)應(yīng)用信息: display acl running-packet-filter all 清除訪問控制列表的統(tǒng)計信息: reset acl counter all | acl-number | acl-name ,第一節(jié) 以太網(wǎng)訪問控制列表

13、第二節(jié) 以太網(wǎng)訪問控制列表的配置 第三節(jié) 802.1X協(xié)議概述 第四節(jié) 802.1X的配置與實現(xiàn),目錄,以太網(wǎng)接入的AAA功能,Radius-Server,交換式以太網(wǎng),用戶,PPPOE,RT1,Internet,802.1X的作用,IEEE 802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（Port based network access control protocol） 該協(xié)議適用于接入的用戶設(shè)備與接入端口間點到點的連接方式，實現(xiàn)對局域網(wǎng)用戶接入的認(rèn)證與服務(wù)管理 802.1X的認(rèn)證接入基于邏輯端口,802.1X的系統(tǒng)組成,傳輸介質(zhì)：點對點以太網(wǎng)（如果是共享式以太網(wǎng)需要采用加密的方式傳遞認(rèn)證

14、信息）,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,EAP協(xié)議消息格式,EAP協(xié)議的消息格式如下：,EAP包含多種驗證算法： 非常類似于CHAP的MD5 Challenge OTP（A One-Time Password System） 通用令牌卡（Generic Token Card） 由于EAP本身采取可擴(kuò)展的機(jī)制，可以平滑的采用新的驗證算法,EAP驗證過程,PPP LCP ACK/EAP,PPP EAP-Request/Identity,PPP EAP-Response/User1,PPP

15、 EAP-Request/Md5 Challenge：rand,PPP EAP-Response/Md5（rand，abc）,PPP EAP-Success,PC,EAP,Username：User1 Password：abc,用戶數(shù)據(jù)庫,PPP LCP Request/EAP,EAPOL協(xié)議的消息格式,802.1X的EAPOL認(rèn)證過程,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Request,EAP-Response(credentials),EAP-Success,Radius-Access-Request,Rad

16、ius-Access-Request,Radius-Access-Challenge,Radius-Access-Accept,Radius&DHCP,PC,802.1X的受控端口（1）,根據(jù)組網(wǎng)情況決定哪些端口需要啟動802.1X使之成為受控端口。,802.1X客戶端軟件,（Supplicant）,端口啟動了802.1X，成為 受控端口，客戶只有在通 過802.1X認(rèn)證后才能訪問 網(wǎng)絡(luò)資源,端口未啟動802.1X， 為非受控端口，通信 數(shù)據(jù)可以暢通無阻,H3C S3526,（Authenticator）,802.1X的受控端口（2）,受控端口支持三種認(rèn)證授權(quán)模式 ForceAuthorize

17、d模式 端口一直維持授權(quán)狀態(tài)，下掛用戶無需認(rèn)證過程就可訪問網(wǎng)絡(luò)資源 ForceUnauthorized模式 端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認(rèn)證請求 Auto模式 端口初始狀態(tài)為非授權(quán)狀態(tài)，僅允許EAPOL報文收發(fā)。802.1X認(rèn)證通過后，將此端口狀態(tài)切換到授權(quán)狀態(tài)，用戶才能訪問網(wǎng)絡(luò)資源,端口受控方式,H3C公司對802.1X協(xié)議的端口控制方式進(jìn)行了擴(kuò)展，除了支持基于端口的控制方式外，還在端口受控的基礎(chǔ)上增加了基于MAC、VLAN的控制方式。缺省的認(rèn)證控制方式為基于MAC。 基于端口的控制 一旦某端口上有一位用戶通過了802.1X的認(rèn)證，整個端口都將被授權(quán)，允許多臺主機(jī)通過此端口訪

18、問網(wǎng)絡(luò)資源 基于MAC地址的控制（端口源MAC） 某端口上有用戶通過802.1X認(rèn)證時，僅授權(quán)給發(fā)起該認(rèn)證的主機(jī)通過此端口訪問網(wǎng)絡(luò)資源，不允許其它主機(jī)通過此端口訪問網(wǎng)絡(luò)資源 基于VLAN的控制（端口VLAN ID源MAC） 某端口人有用戶通過802.1X認(rèn)證時，僅授權(quán)給發(fā)起該認(rèn)證的主機(jī)通過此端口訪問網(wǎng)絡(luò)資源，并且所訪問的資源被限定在特定的VLAN內(nèi),802.1X優(yōu)勢明顯,802.1X,PPPOE,WEB認(rèn)證,是否需要安裝 客戶端軟件,業(yè)務(wù)報文效率,組播支持能力,有線網(wǎng)上的 安全性,設(shè)備端的要求,增值應(yīng)用支持,是，XP不需要,是,否,高,好,擴(kuò)展后可用,低,簡單,復(fù)雜,復(fù)雜,高,較高,可用,可用

19、,低，對設(shè)備要求高,好,低，有封裝開銷,高,結(jié)論： 802.1X適用于運營管理相對簡單，業(yè)務(wù)復(fù)雜度較低的企業(yè)以及園區(qū) 是理想的低成本運營解決方案,典型應(yīng)用（1）,802.1X應(yīng)用在大中型網(wǎng)絡(luò)匯聚層設(shè)備集中認(rèn)證,S7506/S8016,S3526/S3526E/FM/FS 802.1X 設(shè)備端,MA5300/5306 802.1X 設(shè)備端,DNS,DHCP,AAA,H3C S2016/S2008,S2008B/S2016B,HUB,802.1X客戶端,802.1X客戶端,802.1X認(rèn)證服務(wù)器,HUB,典型應(yīng)用（2）,802.1X應(yīng)用在大中型網(wǎng)絡(luò)邊緣設(shè)備分布認(rèn)證,S5516,AAA/DHCP/D

20、NS,S3026/S3026E/FM/FS 802.1X 設(shè)備端,S3026/S3026E/FM/FS 802.1X 設(shè)備端,802.1X客戶端,802.1X認(rèn)證服務(wù)器,802.1X客戶端,S7506/S8016,S3526/S3526E/FM/FS,典型應(yīng)用（3）,802.1X應(yīng)用在小型網(wǎng)絡(luò),DHCP/DNS,H3C S3600 802.1X設(shè)備端,S3026/S3026E/FM/FS 802.1X設(shè)備端,802.1X客戶端,802.1X客戶端,S2403,S2008/16 802.1X設(shè)備端,802.1X客戶端,S2008B/16B,AccessPoint,S3526/S3526E/FM/

21、FS,802.1X內(nèi)置認(rèn)證服務(wù)器&設(shè)備端,第一節(jié) 以太網(wǎng)訪問控制列表 第二節(jié) 以太網(wǎng)訪問控制列表的配置 第三節(jié) 802.1X協(xié)議概述 第四節(jié) 802.1X的配置與實現(xiàn),目錄,802.1X典型配置案例,Supplicant,S3526,Ethernet 0/1,Authenticator Servers (RADIUS Server Cluster IP Addr:10.11.1.1 10.11.1.2),Internet,802.1X典型配置案例,開啟指定端口Ethernet 0/1的802.1X特性 H3Cdot1x interface Ethernet 0/1 設(shè)置接入控制的方式（該命令可

22、以不配置，因為端口的接入控制在缺省情況下就是基于MAC地址的） H3Cdot1x port-method macbased interface Ethernet 0/1,802.1X典型配置案例,創(chuàng)建RADIUS組radius1并進(jìn)入其配置模式 H3Cradius scheme radius1 設(shè)置主認(rèn)證/計費RADIUS服務(wù)器的IP地址 H3C-radius-radius1primary authentication 10.11.1.1 H3C-radius-radius1primary accounting 10.11.1.2 設(shè)置從認(rèn)證/計費RADIUS服務(wù)器的IP地址 H3C-radius-radius1secondary authentication 10.11.1.2 H3C-radius-radius1secondary accounting 10.11.1.1 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報文時的加密密碼 H3C-radius-radius1key authentication name 設(shè)置系統(tǒng)與