四、網(wǎng)絡(luò)準(zhǔn)入手冊技術(shù)802.1x-nacc_第1頁
四、網(wǎng)絡(luò)準(zhǔn)入手冊技術(shù)802.1x-nacc_第2頁
四、網(wǎng)絡(luò)準(zhǔn)入手冊技術(shù)802.1x-nacc_第3頁
四、網(wǎng)絡(luò)準(zhǔn)入手冊技術(shù)802.1x-nacc_第4頁
四、網(wǎng)絡(luò)準(zhǔn)入手冊技術(shù)802.1x-nacc_第5頁
已閱讀5頁,還剩23頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、準(zhǔn)入控制技術(shù)介紹目錄準(zhǔn)入控制介紹802.1x準(zhǔn)入控制技術(shù)NACC準(zhǔn)入控制技術(shù)準(zhǔn)入控制技術(shù)什么是網(wǎng)絡(luò)準(zhǔn)入控制?網(wǎng)絡(luò)準(zhǔn)入控制 (NAC) 是一項由思科發(fā)起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC,客戶可以只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò),而不允許其它設(shè)備接入。準(zhǔn)入控制技術(shù)網(wǎng)絡(luò)準(zhǔn)入控制種類802.1x準(zhǔn)入控制802.1x的準(zhǔn)入控制的優(yōu)點是在交換機支持802.1x協(xié)議的時候,802.1x能夠真正做到了對網(wǎng)絡(luò)邊界的保護。缺點是不兼容老舊交換機,必須重新更換新的交換機;同時,交換機下接不啟用802.1x功能的交換機時,無法

2、對終端進(jìn)行準(zhǔn)入控制。網(wǎng)關(guān)型準(zhǔn)入控制網(wǎng)關(guān)型準(zhǔn)入控制沒有對終端接入網(wǎng)絡(luò)進(jìn)行控制,流量在經(jīng)過網(wǎng)關(guān)時,被作用到準(zhǔn)入控制器,通過準(zhǔn)入控制器對流量進(jìn)行授權(quán)或者不授權(quán),實現(xiàn)的準(zhǔn)入控制。DNS欺騙型準(zhǔn)入控制FakeDNS準(zhǔn)入控制是通過DNS欺騙實現(xiàn)的。目錄準(zhǔn)入控制介紹802.1x準(zhǔn)入控制技術(shù)NACC準(zhǔn)入控制技術(shù)802.1x準(zhǔn)入控制技術(shù)802.1x準(zhǔn)入介紹802.1X 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議(port based network access control protocol)?;诙丝诘木W(wǎng)絡(luò)接入控制,是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和 控制。連接在端口上的用戶設(shè)備如果能

3、通過認(rèn)證,就可以訪問局域網(wǎng)中的資源;如果不能通過認(rèn)證, 則無法訪問局域網(wǎng)中的資源。802.1x準(zhǔn)入控制技術(shù)802.1x體系結(jié)構(gòu)802.1X系統(tǒng)為典型的Client/Server結(jié)構(gòu),包括三個實體:客戶端(Client)、設(shè)備端(Device/NAS)和認(rèn)證服務(wù)器(Server)。802.1x準(zhǔn)入控制技術(shù)802.1X的認(rèn)證方式802.1X認(rèn)證系統(tǒng)使用EAP(Extensible Authentication Protocol,可擴展認(rèn)證協(xié)議),來實現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與設(shè)備端之間,EAP協(xié)議報文使用EAPOL封裝格式,直接承載于LAN環(huán)境中。端口 UDP 21

4、862在設(shè)備端與RADIUS服務(wù)器之間,可以使用兩種方式來交換信息。一種是EAP協(xié)議報文由設(shè)備端進(jìn)行中繼,使用EAPOR(EAP over RADIUS)封裝格式承載于RADIUS協(xié)議中;另一種是EAP協(xié)議報文由設(shè)備端進(jìn)行終結(jié),采用包含PAP(Password Authentication Protocol,密碼驗證協(xié)議)或CHAP(Challenge Handshake Authentication Protocal,質(zhì)詢握手驗證協(xié)議)屬性的報文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互。 端口 UDP 1812802.1x準(zhǔn)入控制技術(shù)802.1X的基本概念受控端口受控端口在授權(quán)狀態(tài)下處于雙向連通狀態(tài)

5、,用于傳遞業(yè)務(wù)報文;在非授權(quán)狀態(tài)下禁止從客戶端接收任何報文。非授控端口非受控端口始終處于雙向連通狀態(tài),主要用來傳遞 EAPOL 協(xié)議幀,保證客戶端始終能夠發(fā)出或接受認(rèn)證。非受控端口只允許 EAPoL 、CDP 、Spanning-tree 協(xié)議通過,其它數(shù)據(jù)協(xié)議都不允許通過。受控方向在非授權(quán)狀態(tài)下,受控端口可以被設(shè)置成單向受控:實行單向受控時,禁止從客戶端接收幀,但允許向客戶端發(fā)送幀。802.1x準(zhǔn)入控制技術(shù)802.1X的認(rèn)證觸發(fā)方式客戶端主動觸發(fā)方式客戶端主動向設(shè)備端發(fā)送EAPOL-Start報文來觸發(fā)認(rèn)證,該報文目的地址為IEEE 802.1X協(xié)議分配的一個組播MAC地址:01-80-C2

6、-00-00-03。另外,由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報文,使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證請求,因此設(shè)備端還支持廣播觸發(fā)方式,即,可以接收客戶端發(fā)送的目的地址為廣播MAC地址的EAPOL-Start報文。設(shè)備端主動觸發(fā)方式設(shè)備會每隔N秒(缺省為30秒)主動向客戶端發(fā)送EAP-Request/Identity報文來觸發(fā)認(rèn)證,這種觸發(fā)方式用于支持不能主動發(fā)送EAPOL-Start報文的客戶端,例如Windows XP自帶的802.1X客戶端。802.1x準(zhǔn)入控制技術(shù)802.1X的認(rèn)證過程(1)當(dāng)用戶有訪問網(wǎng)絡(luò)需求時打開802.1X客戶端程序,客戶端發(fā)起認(rèn)證;設(shè)備端收到請求認(rèn)證請求,將發(fā)出一

7、個請求報文,要求用戶的客戶端程序發(fā)送輸入的用戶名客戶端程序響應(yīng)設(shè)備端發(fā)出的請求發(fā)送用戶名;設(shè)備端將客戶端的用戶名通過Radius報文發(fā)往認(rèn)證服務(wù)器;服務(wù)端查到對應(yīng)的用戶名后,回復(fù)響應(yīng)報文,并發(fā)送加密字;客戶端收到加密字后,將用戶密碼加密后發(fā)出服務(wù)端收到客戶端用戶密碼后,對比服務(wù)端查詢到的密碼;對比通過后發(fā)送認(rèn)證通過報文給設(shè)備端;設(shè)備端根據(jù)Radius回復(fù)的授權(quán)消息對端口進(jìn)行授權(quán)802.1x準(zhǔn)入控制技術(shù)802.1X的控制方式基于端口的接入控制方式基于MAC的接入控制方式802.1x準(zhǔn)入控制技術(shù)802.1X的定時器用戶名請求超時定時器定時器定義了兩個時間間隔。其一,當(dāng)設(shè)備端向客戶端發(fā)送EAP-Re

8、quest/Identity請求報文后,設(shè)備端啟動該定時器,若在tx-period設(shè)置的時間間隔內(nèi),設(shè)備端沒有收到客戶端的響應(yīng),則設(shè)備端將重發(fā)認(rèn)證請求報文;其二,為了兼容不主動發(fā)送EAPOL-Start連接請求報文的客戶端,設(shè)備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發(fā)送時間間隔??蛻舳苏J(rèn)證超時定時器當(dāng)設(shè)備端向客戶端發(fā)送了EAP-Request/MD5 Challenge請求報文后,設(shè)備端啟動此定時器,若在該定時器設(shè)置的時長內(nèi),設(shè)備端沒有收到客戶端的響應(yīng),設(shè)備端將重發(fā)該報文。802.1x準(zhǔn)入控制技術(shù)802.1X的定時器認(rèn)證服務(wù)

9、器超時定時器當(dāng)設(shè)備端向認(rèn)證服務(wù)器發(fā)送了RADIUS Access-Request請求報文后,設(shè)備端啟動server-timeout定時器,若在該定時器設(shè)置的時長內(nèi),設(shè)備端沒有收到認(rèn)證服務(wù)器的響應(yīng),設(shè)備端將重發(fā)認(rèn)證請求報文。靜默定時器對用戶認(rèn)證失敗以后,設(shè)備端需要靜默一段時間(該時間由靜默定時器設(shè)置),在靜默期間,設(shè)備端不處理該用戶的認(rèn)證請求。重認(rèn)證定時器如果端口下開啟了周期性重認(rèn)證功能,設(shè)備端以此定時器設(shè)置的時間間隔為周期對該端口在線用戶發(fā)起重認(rèn)證。 802.1x準(zhǔn)入控制技術(shù)802.1X高級特性-下發(fā)VLAN訪客 VLAN認(rèn)證失敗 VLAN不符合綁定規(guī)則 VLAN不符合安全檢查 VLAN認(rèn)證通

10、過 VLAN修復(fù)區(qū)VLAN身份安全狀態(tài)+硬件ID802.1XVLAN 動態(tài)切換EAP over LAN訪客區(qū)VLAN工作區(qū)VLAN802.1x準(zhǔn)入控制技術(shù)準(zhǔn)入案例應(yīng)用服務(wù)器 準(zhǔn)入控制服務(wù)器(主)合法用戶(符合安全要求) 合法用戶(不符合安全要求) 準(zhǔn)入控制服務(wù)器(備)準(zhǔn)入控制交換機支持802.1X 非法接入 拒絕訪問安全修復(fù)服務(wù)器受限訪問目錄準(zhǔn)入控制介紹802.1x準(zhǔn)入控制技術(shù)NACC準(zhǔn)入控制技術(shù)NACC準(zhǔn)入控制技術(shù)NACC介紹網(wǎng)絡(luò)準(zhǔn)入控制器(NACC)是聯(lián)軟科技擁有自主知識產(chǎn)權(quán)的LeagView NAC Controller硬件網(wǎng)關(guān)型準(zhǔn)入控制設(shè)備,基于EAP over UDP協(xié)議技術(shù),專為解

11、決非802.1X網(wǎng)絡(luò)環(huán)境下(接入層交換機不支持802.1X或不支持HUB方式下接入)的網(wǎng)絡(luò)準(zhǔn)入控制問題而設(shè)計。NACC準(zhǔn)入控制技術(shù)NACC工作模式策略路由模式-準(zhǔn)旁路模式策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。應(yīng)用了策略路由,路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進(jìn)行處理,路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。端口鏡像模式-全旁路模式端口鏡像(port Mirroring)把交換機一個或多個端口(VLAN)的數(shù)據(jù)鏡像到一個或多個端口的方法。NACC準(zhǔn)入控制技術(shù)-策略路由策略路由控制原理客戶端訪問網(wǎng)絡(luò)時,數(shù)據(jù)流量經(jīng)過網(wǎng)絡(luò)交換機。流量策略路由作用,流量引向聯(lián)軟準(zhǔn)

12、入控制器。聯(lián)軟準(zhǔn)入控制器根據(jù)客戶端認(rèn)證情況進(jìn)行網(wǎng)絡(luò)動態(tài)授權(quán)。未驗證通過,將被拒絕接入網(wǎng)絡(luò)并且訪問網(wǎng)絡(luò)受到準(zhǔn)入控制器限制。驗證通過直接允許接入網(wǎng)絡(luò),并根據(jù)管理員配置權(quán)限動態(tài)授權(quán)。網(wǎng)絡(luò)交換機網(wǎng)絡(luò)準(zhǔn)入控制器客戶端客戶端認(rèn)證通過未認(rèn)證通過NACC準(zhǔn)入控制技術(shù)-端口鏡像端口鏡像(Port Mirroring)端口鏡像(port Mirroring)把交換機一個或多個端口(VLAN)的數(shù)據(jù)鏡像到一個或多個端口的方法。源端口目的端口客戶端網(wǎng)絡(luò)交換機網(wǎng)絡(luò)準(zhǔn)入控制器客戶端復(fù)制流量鏡像流量正常流量SwitchNACC準(zhǔn)入控制技術(shù)-端口鏡像鏡像準(zhǔn)入控制原理 客戶端訪問網(wǎng)絡(luò)時,數(shù)據(jù)流量經(jīng)過網(wǎng)絡(luò)交換機,流量被鏡像到(U

13、niNAC)聯(lián)軟準(zhǔn)入控制器。通過聯(lián)軟準(zhǔn)入控制器偽裝目標(biāo)主機發(fā)送TCP結(jié)束會話字段(RST ACK)或者HTTP重定向報文達(dá)到準(zhǔn)入控制目的。 TCP會話建立需要三次握手,會話阻斷和HTTP重定向?qū)崿F(xiàn)過程如右圖??蛻舳司W(wǎng)絡(luò)交換機網(wǎng)絡(luò)準(zhǔn)入控制器鏡像流量正常網(wǎng)絡(luò)流量偽裝數(shù)據(jù)流量1234NACC準(zhǔn)入控制技術(shù)-端口鏡像HTTP重定向1、(請求端)客戶端向目標(biāo)網(wǎng)絡(luò)發(fā)送SYN,表明連接目標(biāo)網(wǎng)絡(luò)端口;2、UniNAC接收到客戶端發(fā)送的SYN請求,發(fā)現(xiàn)請求端口為WEB監(jiān)聽端口,不做處理;3、UniNAC接收到客戶端發(fā)送的HTTP GET請求,UniNAC偽裝成目標(biāo)地址發(fā)送HTTP重定向回復(fù);4、客戶端收到HTTP

14、重定向回復(fù)后訪問重定向URL,達(dá)到WEB訪問重定向目的。后面接收到的正確回復(fù)將全部丟棄??蛻舳司W(wǎng)絡(luò)準(zhǔn)入控制器SYNSYNSYNSYN ACKHTTP GETHTTP GETHTTP GETHTTP URLHTTP reponses注:實際測試800Mbps流量,阻斷效果100%,HTTP重定向100% 壓力測試5000用戶,準(zhǔn)入正常NACC準(zhǔn)入控制技術(shù)-端口鏡像網(wǎng)絡(luò)阻斷1、(請求端)客戶端向目標(biāo)網(wǎng)絡(luò)發(fā)送SYN,表明連接目標(biāo)網(wǎng)絡(luò)端口;2、UniNAC接收到客戶端發(fā)送的SYN請求,發(fā)現(xiàn)請求端口非WEB監(jiān)聽端口,偽裝目的地址發(fā)送RST,ACK字段。3、 客戶端接收到RST,ACK字段,達(dá)到網(wǎng)絡(luò)阻斷目的。后面接受到的正確的SYN,ACK將全部丟棄;客戶端網(wǎng)絡(luò)準(zhǔn)入控制器SYNSYNSYNRST ACKSYN ACKNACC準(zhǔn)入控制技術(shù)適用環(huán)境1、接入層網(wǎng)絡(luò)環(huán)境復(fù)雜,HUB設(shè)備數(shù)量多且不易管理2、網(wǎng)絡(luò)交換機只支持端口鏡像環(huán)境3、支持企業(yè)VPN接入4、支持無線、有線等復(fù)雜網(wǎng)絡(luò)環(huán)境5、支持特殊網(wǎng)絡(luò)環(huán)境:MPLS VPN多域(浙江聯(lián)通)6、支持一臺設(shè)備同時支持多個隔離網(wǎng)接入7、支持NAT接入檢測NACC準(zhǔn)入控制技術(shù)應(yīng)急逃生NACC

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論