HM-026+以太網(wǎng)安全技術(shù)膠片(V5.1)

1、HM-026 以太網(wǎng)安全I(xiàn)SSUE 5.1日期：了解以太網(wǎng)安全的基本內(nèi)容掌握以太網(wǎng)訪問控制列表的原理及配置掌握802.1X的基本原理及配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：第一節(jié) 以太網(wǎng)訪問控制列表第二節(jié) 以太網(wǎng)訪問控制列表的配置第三節(jié) 802.1X協(xié)議概述第四節(jié) 802.1X的配置與實(shí)現(xiàn)目錄以太網(wǎng)訪問列表主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性服務(wù)器部門 A部門 BIntranetInternet訪問列表對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記訪問列表可作用于交換機(jī)的部分或所有端口訪問列表的主要用途：包過濾鏡像流量限制流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2

2、層流分類項(xiàng)以太網(wǎng)幀承載的數(shù)據(jù)類型源/目的MAC地址以太網(wǎng)封裝格式Vlan ID入/出端口3/4層流分類項(xiàng)協(xié)議類型源/目的IP地址源/目的端口號DSCPIP 數(shù)據(jù)包過濾IP headerTCP headerApplication-level headerData應(yīng)用程序和數(shù)據(jù)源/目的端口號源/目的IP地址L3/L4過濾應(yīng)用網(wǎng)關(guān)TCP/IP包過濾元素訪問控制列表的構(gòu)成Rule（訪問控制列表的子規(guī)則）Time-range（時(shí)間段機(jī)制）ACL=rules+ time-range（訪問控制列表由一系列子規(guī)則組成，必要時(shí)可以和時(shí)間段結(jié)合）訪問控制列表子規(guī)則:rule 1子規(guī)則:rule 2子規(guī)則:rule

3、 3.子規(guī)則:rule N第一節(jié) 以太網(wǎng)訪問控制列表第二節(jié) 以太網(wǎng)訪問控制列表的配置第三節(jié) 802.1X協(xié)議概述第四節(jié) 802.1X的配置與實(shí)現(xiàn)目錄時(shí)間段的相關(guān)配置在系統(tǒng)視圖下，配置時(shí)間段:time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 在系統(tǒng)視圖下，刪除時(shí)間段:undo time-range time-name start-time to end-time days-of-the-week from start-time s

4、tart-date to end-time end-date 假設(shè)管理員需要在2002年12月1日上午8點(diǎn)到2003年1月1日下午18點(diǎn)的時(shí)間段內(nèi)實(shí)施安全策略，可以定義時(shí)間段名為denytime，具體配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 定義訪問控制列表 在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖:acl number acl-number | name acl-name basic | advanced | link | user match-order config | auto 在系

5、統(tǒng)視圖下，刪除ACL:undo acl number acl-number | name acl-name | all 基本訪問控制列表的子規(guī)則配置在基本訪問控制列表視圖下，配置相應(yīng)的子規(guī)則rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 在基本訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id source fragment time-range 高級訪問控制列表的子規(guī)則配置在高級訪問控制列表視圖下，配置相應(yīng)的子規(guī)則rule rule-id permit

6、 | deny protocol source source-addr wildcard | any destination dest-addr wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type type code established precedence precedence tos tos dscp dscp fragment time-range name 在高級訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id source

7、 destination source-port destination-port icmp-type precedence tos dscp fragment time-range 端口操作符及語法TCP/UDP協(xié)議支持的端口操作符及語法操作符及語法含義eq portnumber等于portnumbergt portnumber大于portnumberlt portnumber小于portnumberneq portnumber不等于portnumberrange portnumber1portnumber2介于端口號portnumber1和portnumber2之間二層訪問控制列表的子規(guī)則

8、配置在二層訪問控制列表視圖下，配置相應(yīng)的子規(guī)則rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-r

9、ange name 在二層訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id 自定義訪問控制列表的子規(guī)則配置在自定義訪問控制列表視圖下，配置相應(yīng)的子規(guī)則rule rule-id permit | deny rule-string rule-mask offset & time-range name 在自定義訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id子規(guī)則匹配原則一條訪問控制列表往往會(huì)由多條子規(guī)則組成，這樣在匹配一條訪問控制列表的時(shí)候就存在著子規(guī)則匹配順序的問題。在H3C系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序：Config：指定匹配該子規(guī)則時(shí)按用戶的配

10、置順序匹配Auto：指定匹配該子規(guī)則時(shí)系統(tǒng)自動(dòng)排序（按“深度優(yōu)先”的規(guī)則）激活訪問控制列表在系統(tǒng)視圖下，激活A(yù)CL:packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule 在系統(tǒng)視圖下，取消激活A(yù)CL:undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-numbe

11、r | acl-name rule rule | link-group acl-number | acl-name rule rule 配置ACL進(jìn)行包過濾的步驟綜上所述，在H3C交換機(jī)上配置ACL進(jìn)行包過濾的步驟如下：配置時(shí)間段（可選）定義訪問控制列表（四種類型：基本、高級、基于二層和用戶自定義）激活訪問控制列表 訪問控制列表配置舉例S3526E總裁辦公室IP：129.111.1.2 工資查詢服務(wù)器E0/1財(cái)務(wù)部門管理部門IP：129.110.1.2 訪問控制列表的維護(hù)和調(diào)試顯示時(shí)間段狀況:display time-range all | name 顯示訪問控制列表的詳細(xì)配置信息:displ

12、ay acl config all | acl-number | acl-name 顯示訪問控制列表的下發(fā)應(yīng)用信息:display acl running-packet-filter all 清除訪問控制列表的統(tǒng)計(jì)信息:reset acl counter all | acl-number | acl-name 第一節(jié) 以太網(wǎng)訪問控制列表第二節(jié) 以太網(wǎng)訪問控制列表的配置第三節(jié) 802.1X協(xié)議概述第四節(jié) 802.1X的配置與實(shí)現(xiàn)目錄以太網(wǎng)接入的AAA功能Radius-Server交換式以太網(wǎng)用戶PPPOERT1Internet802.1X的作用IEEE 802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)

13、議（Port based network access control protocol）該協(xié)議適用于接入的用戶設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，實(shí)現(xiàn)對局域網(wǎng)用戶接入的認(rèn)證與服務(wù)管理802.1X的認(rèn)證接入基于邏輯端口802.1X的系統(tǒng)組成傳輸介質(zhì)：點(diǎn)對點(diǎn)以太網(wǎng)（如果是共享式以太網(wǎng)需要采用加密的方式傳遞認(rèn)證信息）SupplicantAuthenticator SystemServices offered by Authenticators SystemAuthenticator PAE Authenticator Server 非受控端口受控端口LANEAPOLEAP protocolexcha

14、nges carriers in higher layer protocolEAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicantEAP協(xié)議消息格式EAP協(xié)議的消息格式如下：EAP包含多種驗(yàn)證算法：非常類似于CHAP的MD5 Challenge OTP（A One-Time Password System） 通用令牌卡（Generic Token Card） 由于EAP本身采取可擴(kuò)展的機(jī)制，可以平滑的采用新的驗(yàn)證算法 EAP驗(yàn)證過程UsernamePasswordUser1abcUser2123PPP LCP AC

15、K/EAPPPP EAP-Request/IdentityPPP EAP-Response/User1PPP EAP-Request/Md5 Challenge：randPPP EAP-Response/Md5（rand，abc）PPP EAP-SuccessPCEAPUsername：User1Password：abc用戶數(shù)據(jù)庫PPP LCP Request/EAPEAPOL協(xié)議的消息格式802.1X的EAPOL認(rèn)證過程EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-RequestEAP-Response(credentials

16、)EAP-SuccessRadius-Access-RequestRadius-Access-RequestRadius-Access-ChallengeRadius-Access-AcceptRadius&DHCPPC802.1X的受控端口（1）根據(jù)組網(wǎng)情況決定哪些端口需要啟動(dòng)802.1X使之成為受控端口。802.1X客戶端軟件（Supplicant）端口啟動(dòng)了802.1X，成為受控端口，客戶只有在通過802.1X認(rèn)證后才能訪問網(wǎng)絡(luò)資源端口未啟動(dòng)802.1X，為非受控端口，通信數(shù)據(jù)可以暢通無阻H3C S3526（Authenticator）802.1X的受控端口（2）受控端口支持三種認(rèn)證授權(quán)

17、模式ForceAuthorized模式端口一直維持授權(quán)狀態(tài)，下掛用戶無需認(rèn)證過程就可訪問網(wǎng)絡(luò)資源ForceUnauthorized模式端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認(rèn)證請求Auto模式端口初始狀態(tài)為非授權(quán)狀態(tài)，僅允許EAPOL報(bào)文收發(fā)。802.1X認(rèn)證通過后，將此端口狀態(tài)切換到授權(quán)狀態(tài)，用戶才能訪問網(wǎng)絡(luò)資源端口受控方式H3C公司對802.1X協(xié)議的端口控制方式進(jìn)行了擴(kuò)展，除了支持基于端口的控制方式外，還在端口受控的基礎(chǔ)上增加了基于MAC、VLAN的控制方式。缺省的認(rèn)證控制方式為基于MAC。基于端口的控制一旦某端口上有一位用戶通過了802.1X的認(rèn)證，整個(gè)端口都將被授權(quán)，允許多臺主

18、機(jī)通過此端口訪問網(wǎng)絡(luò)資源基于MAC地址的控制（端口源MAC）某端口上有用戶通過802.1X認(rèn)證時(shí)，僅授權(quán)給發(fā)起該認(rèn)證的主機(jī)通過此端口訪問網(wǎng)絡(luò)資源，不允許其它主機(jī)通過此端口訪問網(wǎng)絡(luò)資源基于VLAN的控制（端口VLAN ID源MAC）某端口人有用戶通過802.1X認(rèn)證時(shí)，僅授權(quán)給發(fā)起該認(rèn)證的主機(jī)通過此端口訪問網(wǎng)絡(luò)資源，并且所訪問的資源被限定在特定的VLAN內(nèi)802.1X優(yōu)勢明顯802.1XPPPOEWEB認(rèn)證是否需要安裝客戶端軟件業(yè)務(wù)報(bào)文效率組播支持能力有線網(wǎng)上的安全性設(shè)備端的要求增值應(yīng)用支持是，XP不需要是否高好擴(kuò)展后可用低簡單復(fù)雜復(fù)雜高較高可用可用低，對設(shè)備要求高好低，有封裝開銷高結(jié)論：802

19、.1X適用于運(yùn)營管理相對簡單，業(yè)務(wù)復(fù)雜度較低的企業(yè)以及園區(qū)是理想的低成本運(yùn)營解決方案典型應(yīng)用（1）802.1X應(yīng)用在大中型網(wǎng)絡(luò)匯聚層設(shè)備集中認(rèn)證S7506/S8016 S3526/S3526E/FM/FS802.1X 設(shè)備端MA5300/5306802.1X 設(shè)備端DNSDHCPAAAH3C S2016/S2008S2008B/S2016BHUB802.1X客戶端802.1X客戶端802.1X認(rèn)證服務(wù)器HUB典型應(yīng)用（2）802.1X應(yīng)用在大中型網(wǎng)絡(luò)邊緣設(shè)備分布認(rèn)證S5516AAA/DHCP/DNSS3026/S3026E/FM/FS802.1X 設(shè)備端S3026/S3026E/FM/FS80

20、2.1X 設(shè)備端802.1X客戶端802.1X認(rèn)證服務(wù)器802.1X客戶端S7506/S8016S3526/S3526E/FM/FS典型應(yīng)用（3）802.1X應(yīng)用在小型網(wǎng)絡(luò)DHCP/DNSH3C S3600802.1X設(shè)備端S3026/S3026E/FM/FS802.1X設(shè)備端802.1X客戶端802.1X客戶端S2403S2008/16802.1X設(shè)備端802.1X客戶端S2008B/16BAccessPointS3526/S3526E/FM/FS802.1X內(nèi)置認(rèn)證服務(wù)器&設(shè)備端第一節(jié) 以太網(wǎng)訪問控制列表第二節(jié) 以太網(wǎng)訪問控制列表的配置第三節(jié) 802.1X協(xié)議概述第四節(jié) 802.1X的配置

21、與實(shí)現(xiàn)目錄802.1X典型配置案例SupplicantS3526Ethernet0/1Authenticator Servers(RADIUS Server ClusterIP Addr:10.11.1.110.11.1.2)Internet802.1X典型配置案例開啟指定端口Ethernet 0/1的802.1X特性H3Cdot1x interface Ethernet 0/1設(shè)置接入控制的方式（該命令可以不配置，因?yàn)槎丝诘慕尤肟刂圃谌笔∏闆r下就是基于MAC地址的）H3Cdot1x port-method macbased interface Ethernet 0/1802.1X典型配置案例

22、創(chuàng)建RADIUS組radius1并進(jìn)入其配置模式H3Cradius scheme radius1設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址 H3C-radius-radius1primary authentication 10.11.1.1H3C-radius-radius1primary accounting 10.11.1.2設(shè)置從認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址 H3C-radius-radius1secondary authentication 10.11.1.2H3C-radius-radius1secondary accounting 10.11.1.1設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼H3C-radius-radius1key authentication n