收藏
下载资源

接入交换机安全功能配置 实例

上传人:f****u 文档编号:128291570 上传时间:2020-04-20 格式:PDF 页数:38 大小:500.48KB
返回 下载 相关 举报
接入交换机安全功能配置 实例_第1页
第1页 / 共38页
接入交换机安全功能配置 实例_第2页
第2页 / 共38页
接入交换机安全功能配置 实例_第3页
第3页 / 共38页
接入交换机安全功能配置 实例_第4页
第4页 / 共38页
接入交换机安全功能配置 实例_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《接入交换机安全功能配置 实例》由会员分享,可在线阅读,更多相关《接入交换机安全功能配置 实例(38页珍藏版)》请在金锄头文库上搜索。

1、文档 36 1 38 接入交换机安全功能 配置案例 2008 2 25 福建星网锐捷网络有限公司 版权所有 侵权必究 文档 36 2 38 修订记录 2008 2 25 第一次发布 文档 36 3 38 前言 本文档记录了锐捷 S21 接入交换机的在客户现场的真实配置案例 供客支工程师在实际 操作中参考 本文中的两则案例仅针对接入交换机的安全功能 每则案例都包含如下信息 案例现场 介绍解决方案中关于本案例的部分 配置思路 根据客观条件和用户的需求 解释规范的配置方法和步骤 配置文件 设备上的相关配置信息 使用注释说明配置时的注意事项 检验配置效果 为了验证配置成功 执行的各项检查及检查结果 此

2、文档属于公司机密 仅供客支工程师查阅 严禁流传 如果您在阅读中产生疑问 请与文档维护人联系 文档 36 4 38 目录 1 配置前的准备 5 1 1 收集客户信息 5 1 1 1 基本的安全功能信息 5 1 1 2 安全功能扩展计划 6 1 2 接入产品安全功能配置方法 6 1 2 1 认证环境 开启 IP 授权或 GSN 绑定功能 特定用户无需认证即可上网 6 1 2 2 认证环境 所有用户无需认证即可访问特定的 ip 地址 7 1 2 3 防止 IP 地址盗用 7 1 2 4 防止伪造网关的 ARP 欺骗 8 1 2 5 防止伪造同网段其他主机的 ARP 欺骗 9 1 2 6 防止 DHC

3、P server 欺骗 9 1 2 7 防止 IP 扫描 10 1 2 8 认证环境 用户通过 DHCP 获取地址防止 ARP 欺骗 10 1 2 9 附注 11 1 3 各款产品安全功能特性 11 2 GSN 环境 S21 安全接入方案 14 2 1 案例现场 14 2 2 配置思路 15 2 3 配置文件 16 2 4 检验配置效果 23 3 认证环境 S21 安全接入方案 25 3 1 案例现场 25 3 2 配置思路 25 3 3 配置文件 26 3 4 检验配置效果 37 文档 36 5 38 1 配置前的准备配置前的准备 1 1 收集客户信息收集客户信息 项目实施前 首先需要收集客

4、户网络的安全信息 如何提升接入层安全 1 1 1 基本基本的的安全功能信息安全功能信息 客户原有拓扑以及应用 整网拓扑 核心 汇聚 接入设备型号 是否开启 dot1x 认证 dot1x 应用何种授权模式 是否开启 dhcp 相关功能 dhcp server 的位置 其他特殊应用 无需认证即可上网的用户 不认证可访问特定网络 实现方式 例如 guest vlan 现有终端信息点类型及数量 是否有非 PC 的网络设备 可能无法认证 可能无法通过 dhcp 动态获取 ip 如挂 在接入交换机下 ip 设备 交换机 ip 电话等等 每接入 汇聚 核心设备下连接的信息点个数 现有终端信息点类型及数量 是

5、否有 arp 欺骗 是否有 ip 欺骗 是否有 dhcp server 欺骗 是否有 ip 扫描攻击 网络拓扑内常见病毒及该病毒发出的数据流类型 是否有暴力攻击 暴力攻击迹象 文档 36 6 38 1 1 2 安全功能扩展计划安全功能扩展计划 需要确认客户是否有安全功能扩展计划 拓扑 应用扩展计划 终端信息点类型及数量扩展计划 是否计划实施 GSN 方案 1 2 接入产品接入产品安全功能安全功能配置方法配置方法 下文以 S2126G S2150G 为例介绍各项接入产品安全功能 实际用户环境中请首先确认 接入层交换机是否支持相关功能 1 2 1 认证环境认证环境 开启开启 IP 授权或授权或 G

6、SN 绑定功能 绑定功能 特定用户无需认证特定用户无需认证 即可上网即可上网 配置方法 开启安全通道 指定该用户 该安全通道功能目前仅限在 S21 上实现 其他产品的安全 通道功能有待在后续版本中实现 确认配置效果 打开全局 1x 认证功能 将端口设置为 1x 受控口 普通用户接入到该接口下 进行上网 操作 确认无法上网 特定用户接入到该接口下 进行上网操作 确认可上网 常见故障排查 故障现象 安全通道指定的用户无法上网 常见故障原因 安全通道上仅配置了特定用户的 ip 报文允许通过的过滤规则 而该用户 的 arp 报文被 arp check 功能禁止 导致其无法解析到网关的 arp 文档 3

7、6 7 38 解决方法 通过基于 MAC 指定用户的 ACL 做安全通道 实现对包括 ARP 报文在内的 各种报文的允许规则 1 2 2 认证环境认证环境 所有用户无需认证即可访问特定的 所有用户无需认证即可访问特定的 ip地址地址 配置方法 开启安全通道 规则指定允许目的 IP 为特定 IP 地址的 ACL 注意 这种应用只能在 GSN 方案下可用 确认配置效果 打开全局 1x 认证功能 将端口设置为 1x 受控口 用户接入到该接口下 ping 指定目的 ip 地址 确认可 ping 通 ping 其他目的 ip 地址 确认无法 ping 通 常见故障排查 故障现象 指定目的 ip 地址无法

8、 ping 通 常见故障原因 非 GSN 方案下源 pc 发出的 arp 请求被阻止 因为安全通道仅配置了允 许 ip 报文通过的过滤规则 非 GSN 方案下 源 pc 需要通过 arp 请求解析网关 ip 地址或 目的 ip 地址 解决方法 非 GSN 方案下建议采用其他手段满足这种应用 1 2 3 防止防止 IP地址盗用地址盗用 配置方法 需要接入交换机有可靠渠道获取 ip 和 mac 对应关系 目前有 dot1x 开启 ip 授权模式 dhcp snooping 的绑定 安全端口上配置静态 ip 和 mac GSN 方案四种应用可通过将可 信 ip 和 mac 对应关系配置到硬件满足这种

9、需求 确认配置效果 文档 36 8 38 以安全端口上配置静态 ip 和 mac 为例 pc1 和 pc2 分别在本机配置网关的静态 arp 配 置 pc1 的 ip 和 mac 到安全端口上 pc2 上使用和 pc1 相同的 ip 两台 pc 同时进行上网 操作 pc1 可正常上网 pc2 不能正常上网 常见故障排查 故障现象 pc1 的 ip 地址被 pc2 盗用后 pc1 上网出现断续现象 常见故障原因 pc2 上未设置网关的静态 arp 这样 pc2 在上网时会发出 arp 报文请求网 关的 arp 网关交换机收到该报文后会替换掉原来 pc1 的 arp 条目 导致后续三层转发往 pc

10、1 的报文发给了 pc2 1 2 4 防止伪造网关的防止伪造网关的 ARP欺骗欺骗 以下两种配置方法都可以实现防 ARP 欺骗功能 配置方法 1 接入交换机端口上开启防网关欺骗 anti ARP spoofing 功能 确认配置效果 开启防网关欺骗功能后 接入交换机同一个 vlan 下接入两台 pc pc1 ping pc2 查看 pc2 上的 arp cache 确认 pc2 可以收到 pc1 的 arp 报文 将 pc1 的本机 ip 地址修改为网 关 ip 清除 pc1 的 arp cache 再次 ping pc2 查看 pc2 上的 arp cache 确认 pc2 没有被 欺骗 即

11、没有收到 pc1 的 arp 报文 常见故障排查 故障现象 1 pc2 被欺骗 常见故障原因 pc1 接在了例外口上 一般是上联口 故障现象 2 pc2 未被欺骗 但真实网关的 ARP 无法被解析 常见故障原因 网关所连 接的端口未被配置为例外口 配置方法 2 文档 36 9 38 汇聚交换机上开启 DAI 功能 确认配置效果 关闭 DAI 功能 所有终端 pc 均可正常上网 开启 DAI 功能后 通过 dhcp 获取到 ip 地 址的终端 pc 可以正常上网 自行配置 ip 地址的终端 pc 不能上网 通过配置命令配置静 态 DHCP snooping 用户 将自行配置 ip 地址的终端 p

12、c 加入到 DHCP snooping 数据库后 该用户即可上网 常见故障排查 故障现象 通过 dhcp 获取到 ip 地址的终端 pc 上网不稳定 但是查看汇聚交换机上的 arp 表项又是正确的 常见故障原因 欺骗发生在接入交换机 接入交换机上终端 pc 的 mac 地址被欺骗 导 致从汇聚交换机转发往目的终端 pc 的报文在接入交换机上 1 2 5 防止伪造同网段其他主机的防止伪造同网段其他主机的 ARP欺骗欺骗 配置方法 需要接入交换机有可靠渠道获取 ip 和 mac 对应关系 目前有 dot1x 开启 ip 授权模式 dhcp snooping 动态绑定 安全端口上配置静态 ip 和

13、mac GSN 方案四种应用可满足这 种需求 在交换机上开启 arp check 功能即可 确认配置效果 以安全端口上配置静态 ip 和 mac 为例 配置 pc1 的 ip 和 mac 到安全端口上 pc2 上使 用和 pc1 相同的 ip 不断地发 arp 报文 在网关交换机上查看 arp 表项 确认是否生成 欺骗 arp 条目 1 2 6 防止防止 DHCP server欺骗欺骗 配置方法 文档 36 10 38 开启 dhcp snooping 功能 设置 dhcp server 连接的端口为信任口 配置剩余端口为非信 任口 S21 上可以配置端口为信任端口和非信任端口控制 DHCP

14、server 在该端口的接入 确认配置效果 将 dhcp server 连接到信任口上 查看终端 pc 是否可获取到 ip 地址 将 dhcp server 连接 到非信任口上 查看终端 pc 是否可获取到 ip 地址 1 2 7 防止防止 IP扫描扫描 配置方法 作为网关的三层交换机开启防 IP 扫描功能 确认配置效果 使用扫描工具进行扫描 确认源 ip 是否被隔离 常见故障排查 故障现象 扫描后发现源 ip 未被隔离 常见故障原因 接入交换机上开启了其他安全功能 使得所有扫描报文在接入交换机上 被其他安全功能隔离了 对于防 IP 扫描功能 本地测试效果为 如果使用 Sniffer 等 PC

15、 发包工具模拟发包 防 止单一目的 IP 地址不存在的扫描 由于目前路由的实现有设置 DROP 避免未打通的 报文砸到 cpu 设置的值并不十分准确 防止目的 IP 地址变化的扫描测试效果比较准确 如果仅仅是测试的话 非专业仪器仅供参考 但在实验室使用专业测试仪器测试效果比 较准确 1 2 8 认证环境 用户通过认证环境 用户通过 DHCP 获取地址防止获取地址防止 ARP 欺骗欺骗 配置方法 文档 36 11 38 S21 可以通过开启 ip 授权模式 并采用安全通道方式允许 DHCP 报文通过的方式实现 其他系列交换机可以使用 DHCPsnooping DAI 功能并结合基于 MAC 的认

16、证实现防 arp 欺骗 确认配置效果 PC 接入设备 通过认证并获取地址 IP 地址 sniffer 发包模拟欺骗报文 测试网关或同 台设备下的其他用户是否被欺骗 常见故障排查 故障现象 能够通过认证却无法获取 IP 地址 常见故障原因 IP 授权模式生效 用户 DHCP 报文无法通过该端口 解决方法 配置针对 DHCP 报文允许的安全通道 允许 DHCP 报文通过该端口 1 2 9 附注附注 如果配置的安全功能不失效 且采用了上述的常见故障排查手段后仍然不能发现问题 建议估算一下目前已有的安全功能是否过度的消耗了硬件资源 按照 S21 现有的实现机制 端口必须在第一个用户成功绑定后 某些安全功能才能生效 例如 GSN 的绑定策略下发功能 如果某端口没有认证用户 这该绑定策略不生效 即 没有对非认证用户默认的 deny 项 1 3 各款产品安全功能各款产品安全功能特性特性 以当前软件最新版本为准 其中改进计划视资源情况可能 delay 到后续版本 S32 S3750 S57 产品安全功能优先级 防网关欺骗 arp check ip 防扫描 GSN 端口安全 dot1x dhcp sno

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号