《低端交换机安全技术原理以及配置精编版》由会员分享,可在线阅读,更多相关《低端交换机安全技术原理以及配置精编版(65页珍藏版)》请在金锄头文库上搜索。
1、交换机端口安全技术,日期:,第一节 802.1X认证基本原理及配置 第二节 MAC地址认证基本原理及配置 第三节 端口隔离技术及配置 第四节 端口绑定技术及配置 第五节 ARP防攻击相关技术及配置,目录,802.1x协议起源,802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1x现在已经开始被应用于一般的有线LAN的接入。,802.1x协议简介
2、,802.1x协议首先是一个认证协议,是一种对用户进行认证的方法和策略 802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准 802.1x的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL (Extensible Authentication Protocol over LAN)通过。,802.1x协议简介,802.1x认证系统组成,802.1x体系结构,Supplicant System,Authenticator System,Au
3、thentication Server System,PAE:认证机制中负责处理算法和协议的实体。 EAP:Extensible Authentication Protocol,802.1x体系结构,受控端口,设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口 非受控端口:始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。 受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。,802.1x体系结构,端口受控方向,我司产品在实现时,对端口在非授权状态下,实行入方向单向受控,即禁止
4、从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的IPTV客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终IPTV被中断,双向受控,单向受控,双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口,802.1x的工作方式,客户端和设备端通过EAPOL帧来交互消息 设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息 设备端和认证服务器端可以分布在两个不同的实体上也可以集中在同一个实体上,802.1x端口受控方式,基于MAC的认
5、证方式,启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开,其余下挂在这个端口下的用户也可以通过这个端口传输数据,基于端口的认证方式,两种端口受控方式: 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。 基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络。,通过认证的用户可以使用网络资源,没有通过的用户则不能,即使他们都接入了同一个端口,802.1x报文发送方式,组播方式 客户端程序可以选择采用组播报文发送,此时客户端发送的所有EAP
6、oL报文封装组播地址,有些情况下客户端程序也可以选择单播报文发送,此时客户端初次发送EAPoL-Start报文封装组播地址,回应设备端的response报文封装设备的端口地址采用单播发送,对于设备端发送的报文,若设备端知道客户端的地址,则封装客户端的地址采用单播发送,否则封装组播地址 ,采用组播发送 广播方式 客户端也可以选择广播方式发送报文,这时客户端初次发送EAPoL-Start报文封装广播地址,其余报文可以采用单播发送,802.1x报文封装,EAPOL的报文格式,2 3 4 6 N,0,802.1x报文封装,EAPOL报文示例,802.1x报文封装,EAP的报文格式,Code域为一个字节
7、,表示了EAP数据包的类型,EAP的Code的值指定意义如下 Code1Request Code2Response Code3Success Code4Failure Indentifier域为一个字节,辅助进行request和response的匹配。每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了一个对应关系 Length域为两个字节,表明了EAP数据包的长度,包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充(padding)在接收时将被忽略掉。 Data域为0个或者多个字
8、节,Data域的格式由Code的值来决定。当Code为3或4时,data域为0个字节。,0 1 2 4 N,802.1x报文封装,Request/Respone报文Data域,Type:占1个字节,该字段值指定Request或Response的 类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1 Identity 2 Notification 3 Nak (Response only) 4 MD5-Challenge 5 One-Time Password (OTP) (RFC 1938) 6 Generic Token Card Type data:内容随不
9、同类型的Request和Response而不同。,0 1 N,802.1x报文封装,EAP报文示例,802.1x认证过程,两种EAP认证方式,EAP中继方式,EAP终结方式,用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成,交换机只是负责将EAP报文透传Radius服务器,EAP中继方式要求Radius服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80),整个认证处理都由Radius服务器来完成。 EAP中继方式有四种认证方法:EAP-MD5、EAP-TLS(Transport Layer Security,传输层安
10、全)、EAP-TTLS(Tunneled Transport Layer Security,隧道传输层安全)和PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)。,用来对用户口令信息进行加密处理的随机加密字由交换机生成,之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器,进行相关的认证处理。,802.1x认证过程,EAP中继方式,802.1x认证过程,EAP终结方式,802.1X典型配置案例,802.1X典型配置案例,# 开启全局802.1x 特性。 system-v
11、iew System View: return to User View with Ctrl+Z. Sysname dot1x # 开启指定端口Ethernet 1/0/1 的802.1x 特性。 Sysname dot1x interface Ethernet 1/0/1 # 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC 地址的)。 Sysname dot1x port-method macbased interface Ethernet 1/0/1 # 创建RADIUS 方案radius1 并进入其视图。 Sysname radius scheme ra
12、dius1,802.1X典型配置案例,# 设置主认证/计费RADIUS 服务器的IP 地址。 Sysname-radius-radius1 primary authentication 10.11.1.1 Sysname-radius-radius1 primary accounting 10.11.1.2 # 设置备份认证/计费RADIUS 服务器的IP 地址。 Sysname-radius-radius1 secondary authentication 10.11.1.2 Sysname-radius-radius1 secondary accounting 10.11.1.1 # 设置
13、系统与认证RADIUS 服务器交互报文时的加密密码。 Sysname -radius-radius1 key authentication name # 设置系统与计费RADIUS 服务器交互报文时的加密密码。 Sysname-radius-radius1 key accounting money # 设置系统向RADIUS 服务器重发报文的时间间隔与次数。 Sysname-radius-radius1 timer 5 Sysname-radius-radius1 retry 5,802.1X典型配置案例,# 设置系统向RADIUS 服务器发送实时计费报文的时间间隔。 Sysname-radi
14、us-radius1 timer realtime-accounting 15 # 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。 Sysname-radius-radius1 user-name-format without-domain Sysname-radius-radius1 quit # 创建域 并进入其视图。 Sysname domain # 指定radius1 为该域用户的RADIUS 方案,若RADIUS 服务器无效,则使用本地认证方案。 Sysname-isp- scheme radius-scheme radius1 local # 设置该域最多可容纳3
15、0 个用户。 Sysname-isp- access-limit enable 30,802.1X典型配置案例,# 启动闲置切断功能并设置相关参数。 Sysname-isp- idle-cut enable 20 2000 Sysname-isp- quit # 配置域 为缺省用户域。 Sysname domain default enable # 添加本地接入用户。 Sysname local-user localuser Sysname-luser-localuser service-type lan-access Sysname-luser-localuser password simp
16、le localpass,第一节 802.1X认证基本原理及配置 第二节 MAC地址认证基本原理及配置 第三节 端口隔离技术及配置 第四节 端口绑定技术及配置 第五节 ARP防攻击相关技术及配置,目录,MAC地址认证概述,两种认证方式的的工作流程,MAC地址认证的配置命令,MAC认证的典型配置案例,# 开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。 system-view Sysname mac-authentication interface Ethernet 1/0/2 # 配置采用MAC 地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC 地址作为验证的 用户名和密码。 Sysname mac-authentication authmode usernameasmacaddress
