HM026以太网安全技术胶片V51

,43,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,HM-026,以太网安全,ISSUE 5.1,日期：,了解以太网安全的基本内容,掌握以太网访问控制列表的原理及配置,掌握,802.1X,的基本原理及配置,课程目标,学习完本课程，您应该能够：,第一节 以太网访问控制列表,第二节 以太网访问控制列表的配置,第三节,802.1X,协议概述,第四节,802.1X,的配置与实现,目录,以太网访问列表,主要作用:在整个网络中分布实施接入安全性,服务器,部门 A,部门 B,Intranet,Internet,访问列表,对到达端口的数据包进行分类，并打上不同的动作标记,访问列表可作用于交换机的部分或所有端口,访问列表的主要用途：,包过滤,镜像,流量限制,流量统计,分配队列优先级,流分类,通常选择数据包的包头信息作为流分类项,2层流分类项,以太网帧承载的数据类型,源/目的MAC地址,以太网封装格式,Vlan ID,入/出端口,3/4层流分类项,协议类型,源,/,目的,IP,地址,源,/,目的端口号,DSCP,IP 数据包过滤,IP header,TCP header,Application-level header,Data,应用程序和数据,源/目的端口号,源/目的,IP,地址,L3/L4,过滤,应用网关,TCP/IP包过滤元素,访问控制列表的构成,Rule（访问控制列表的子规则）,Time-range（时间段机制）,ACL=rules+ time-range,（访问控制列表由一系列子规则组成，必要时可以和时间段结合）,访问控制列表,子规则:,rule 1,子规则:,rule 2,子规则:,rule 3,.,子规则:,rule N,第一节 以太网访问控制列表,第二节 以太网访问控制列表的配置,第三节,802.1X,协议概述,第四节,802.1X,的配置与实现,目录,时间段的相关配置,在,系统视图下，配置时间段:,time-range,time-name,start-time,to,end-time,days-of-the-week, ,from,start-time start-date,to,end-time end-date,在系统视图下，删除时间段:,undo time-range,time-name,start-time,to,end-time,days-of-the-week, ,from,start-time start-date,to,end-time end-date,假设管理员需要在2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下,:,H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,定义访问控制列表,在系统视图下，定义ACL并进入访问控制列表视图:,acl,number,acl-number |,name,acl-name,basic,|,advanced,|,link,|,user, ,match-order,config,|,auto, ,在系统视图下，删除ACL:,undo acl,number,acl-number |,name,acl-name |,all,基本访问控制列表的子规则配置,在基本访问控制列表视图下，配置相应的子规则,rule,rule-id, ,permit,|,deny, ,source,source-addr wildcard,|,any, ,fragment, ,time-range,name,在基本访问控制列表视图下，删除一条子规则,undo rule,rule-id,source, ,fragment, ,time-range,高级访问控制列表的子规则配置,在高级访问控制列表视图下，配置相应的子规则,rule,rule-id, ,permit,|,deny,protocol,source,source-addr wildcard,|,any, ,destination,dest-addr wildcard,|,any, ,source-port,operator port1,port2, ,destination-port,operator port1,port2, ,icmp-type,type,code, ,established, ,precedence,precedence, ,tos,tos, ,dscp,dscp, ,fragment, ,time-range,name,在高级访问控制列表视图下，删除一条子规则,undo rule,rule-id,source, ,destination, ,source-port, ,destination-port, ,icmp-type, ,precedence, ,tos, ,dscp, ,fragment, ,time-range,端口操作符及语法,TCP/UDP协议支持的端口操作符及语法,操作符及语法,含义,eq,portnumber,等于,portnumber,gt,portnumber,大于,portnumber,lt,portnumber,小于,portnumber,neq,portnumber,不等于,portnumber,range,portnumber1,portnumber2,介于端口号,portnumber1,和,portnumber2,之间,二层访问控制列表的子规则配置,在二层访问控制列表视图下，配置相应的子规则,rule,rule-id,permit,|,deny, ,protocol, ,cos,vlan-pri, ,ingress, ,source-vlan-id, ,source-mac-addr,source-mac-wildcard, ,interface,interface-name,|,interface-type interface-num, |,any, ,egress, ,dest-mac-addr,dest-mac-wildcard, ,interface,interface-name,|,interface-type interface-num, |,any, ,time-range,name,在二层访问控制列表视图下，删除一条子规则,undo rule,rule-id,自定义访问控制列表的子规则配置,在自定义访问控制列表视图下，配置相应的子规则,rule,rule-id, ,permit,|,deny, ,rule-string,rule-mask,offset,& ,time-range,name,在自定义访问控制列表视图下，删除一条子规则,undo rule,rule-id,子规则匹配原则,一条访问控制列表往往会由多条子规则组成，这样在匹配一条访问控制列表的时候就存在着子规则匹配顺序的问题。在,H3C系列交换机产品上，支持下列两种匹配顺序：,Config：指定匹配该子规则时按用户的配置顺序匹配,Auto：指定匹配该子规则时系统自动排序（按“深度优先”的规则）,激活访问控制列表,在系统视图下，激活ACL:,packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,在系统视图下，取消激活ACL:,undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule ,配置ACL进行包过滤的步骤,综上所述，在H3C交换机上配置ACL进行包过滤的步骤如下：,配置时间段（可选）,定义访问控制列表（四种类型：基本、高级、基于二层和用户自定义）,激活访问控制列表,访问控制列表配置举例,S3526E,总裁办公室,IP：129.111.1.2,工资查询服务器,E0/1,财务部门,管理部门,IP：129.110.1.2,访问控制列表的维护和调试,显示时间段状况:,display time-range all | name ,显示访问控制列表的详细配置信息:,display acl config all | acl-number | acl-name ,显示访问控制列表的下发应用信息:,display acl running-packet-filter all,清除访问控制列表的统计信息:,reset acl counter all | acl-number | acl-name ,第一节 以太网访问控制列表,第二节 以太网访问控制列表的配置,第三节,802.1X,协议概述,第四节,802.1X,的配置与实现,目录,以太网接入的AAA功能,Radius-Server,交换式以太网,用户,PPPOE,RT1,Internet,802.1X的作用,IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol）,该协议适用于接入的用户设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理,802.1X的认证接入基于逻辑端口,802.1X的系统组成,传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息）,Supplicant,Authenticator System,Services offered,by Authenticators System,Authenticator PAE,Authenticator,Server,非受控端口,受控端口,LAN,EAPOL,EAP protocol,exchanges carriers,in higher layer protocol,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,EAP协议消息格式,EAP协议的消息格式如下：,EAP包含多种验证算法：,非常类似于CHAP的MD5 Challenge,OTP（A One-Time Password System）,通用令牌卡（Generic Token Card）,由于EAP本身采取可扩展的机制，可以平滑的采用新的验证算法,EAP验证过程,Username,Password,User1,abc,User2,123,PPP LCP ACK/EAP,PPP,EAP-Request/Identity,PPP,EAP-Response/User1,PPP,EAP-Request/Md5 Challenge：rand,PPP,EAP-Response/Md5（rand，abc）,PPP,EAP-Success,PC,EAP,Username：User1,Password：abc,用户数据库,PPP LCP Request/EAP,EAPOL协议的消息格式,802.1X的EAPOL认证过程,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Request,EAP-Response(credentials),EAP-Success,Radius-Access-Request,Radius-Access-Request,Radius-Access-Challenge,Radius-Access-Accept,Radius&DHCP,PC,802.1X的受控端口（1）,根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。,802.1X,客户端软件,（Supplicant）,端口启动了,802.1X,，成为,受控端口，客户只有在通,过,802.1X,认证后才能访问,网络资源,端口未启动,802.1X,，,为非受控端口，通信,数据可以畅通无阻,H3C,S3526,（Authenticator）,802.1X的受控端口（2）,受控端口支持三种认证授权模式,ForceAuthorized模式,端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源,ForceUnauthorized模式,端口一直维持非授权状态，忽略所有客户端发起的认证请求,Auto模式,端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源,端口受控方式,H3C公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。,基于端口的控制,一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源,基于MAC地址的控制（端口源MAC）,某端口上有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源,基于VLAN的控制（端口VLAN ID源MAC）,某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内,802.1X优势明显,802.1X,PPPOE,WEB,认证,是否需要安装,客户端软件,业务报文效率,组播支持能力,有线网上的,安全性,设备端的要求,增值应用支持,是，,XP,不需要,是,否,高,好,扩展后可用,低,简单,复杂,复杂,高,较高,可用,可用,低，对设备要求高,好,低，有封装开销,高,结论：,802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区,是理想的低成本运营解决方案,典型应用（1）,802.1X,应用在大中型网络汇聚层设备集中认证,S7506/S8016,S3526/S3526E/FM/FS,802.1X,设备端,MA5300/5306,802.1X,设备端,DNS,DHCP,AAA,H3C S2016/S2008,S2008B/S2016B,HUB,802.1X,客户端,802.1X,客户端,802.1X,认证服务器,HUB,典型应用（2）,802.1X,应用在大中型网络边缘设备分布认证,S5516,AAA/DHCP/DNS,S3026/S3026E/FM/FS,802.1X,设备端,S3026/S3026E/FM/FS,802.1X,设备端,802.1X,客户端,802.1X,认证服务器,802.1X,客户端,S7506/S8016,S3526/S3526E/FM/FS,典型应用（3）,802.1X,应用在小型网络,DHCP/DNS,H3C S3600,802.1X,设备端,S3026/S3026E/FM/FS,802.1X设备端,802.1X,客户端,802.1X,客户端,S2403,S2008/16,802.1X,设备端,802.1X,客户端,S2008B/16B,AccessPoint,S3526/S3526E/FM/FS,802.1X,内置认证服务器&设备端,第一节 以太网访问控制列表,第二节 以太网访问控制列表的配置,第三节,802.1X,协议概述,第四节,802.1X,的配置与实现,目录,802.1X典型配置案例,Supplicant,S3526,Ethernet,0/1,Authenticator Servers,(RADIUS Server Cluster,IP Addr:10.11.1.1,10.11.1.2),Internet,802.1X典型配置案例,开启指定端口Ethernet 0/1的802.1X特性,H3Cdot1x interface Ethernet 0/1,设置接入控制的方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）,H3Cdot1x port-method macbased interface Ethernet 0/1,802.1X典型配置案例,创建RADIUS组radius1并进入其配置模式,H3Cradius scheme radius1,设置主认证/计费RADIUS服务器的IP地址,H3C-radius-radius1primary authentication 10.11.1.1,H3C-radius-radius1primary accounting 10.11.1.2,设置从认证/计费RADIUS服务器的IP地址,H3C-radius-radius1secondary authentication 10.11.1.2,H3C-radius-radius1secondary accounting 10.11.1.1,设置系统与认证RADIUS服务器交互报文时的加密密码,H3C-radius-radius1key authentication name,设置系统与计费RADIUS服务器交互报文时的加密密码,H3C-radius-radius1key accounting money,802.1X典型配置案例,设置系统向RADIUS服务器重发报文的时间间隔与次数,H3C-radius-radius1timer 5,H3C-radius-radius1retry 5,设置系统向RADIUS服务器发送实时计费报文的时间间隔,H3C-radius-radius1timer realtime-accounting 15,设置系统在将用户名传给RADIUS服务器时去除域名,H3C-radius-radius1user-name-format without-domain,802.1X典型配置案例,创建用户域并进入其配置模式,H3Cdomain ,指定radius1为该域用户的radius方法,H3C-isp-radius-scheme radius1,设置该域最多可容纳30个用户,H3C-isp-access-limit enable 30,设置该域用户的闲置切断参数并启动闲置切断功能,H3C-isp-idle-cut enable 20 2000,802.1X典型配置案例,将该域设置为全局缺省域，并且不对接入用户添加域名,H3Cdomain default enable ,添加本地接入用户并设置其参数,H3Clocal-user local-,H3C-user-local-service-type lan-access,H3C-user-local-password simple localpass,开启全局802.1x特性,H3Cdot1x,以太网访问控制列表的基本介绍及配置,802.1X,协议的基本概念和原理,802.1X,协议的配置和应用,本章总结,