交换机端口安全技术

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了交换机端口安全技术相关的知识,希望对你有一定的参考价值。

一、802.1X技术(IEEE802.1X)

1、概述:是一种基于端口的网络接入控制协议。

起源于标准的无线局域网协议802.11.主要目的是为了解决有线局域网用户的接入认证问题。


2、体系结构:

客户端:客户端是位于局域网段一端的一个实体,由另一端的设备端对其进行认证。客户端必须支持EAPOL(局域网上可扩展认证协议)

设备端:是位于局域网段一端的一个实体,对另一端的实体进行认证。是支持802.1X协议的网络设备,它为客户端提供了提供接入局域网的端口,该端口可以是物理口或者是逻辑口。

认证服务器:为设备端提供认证服务的实体,认证服务器用于实现对用户进行认证、授权和计费。

认证方式:

本地认证:由设备端内置本地服务器对客户端进行认证

远程集中认证:由远程的认证服务器对客户端进行认证


3、端口PAE:

端口PAE(端口访问实体):设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息,客户端PAE也可以主动向设备端发送认证请求和下限请求。

受控端口和非受控端口:设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控和非受控端口。

            → :非受控始终处于双向,主要用来传递EAPOL协议帧,保证客户端始终能够给发出或接收认证报文

            → :受控端口在授权状态下双向连通状态。用于传递业务报文。在非授权状态下禁止从客户端接收认证报文。

            →: 授权端口和非授权端是同一端口的两个部分,任何到达该端口的帧,在受控端口与非受控端口上均可见。


4、工作机制:

端口接入控制方式:

基于端口的认证

       → :采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他计入用户无须认证就可使用网络资源,但当第一个用户下线后,其他用户也会被拒绝使用网络。

基于MAC的认证方式

        → :当采用基于MAC方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线,也只有该用户无法使用网络。

默认情况,802.1X在端口上进行接入控制的方式为基于MAC地址的认证方式。

本地认证配置:

[sw1]dot1x          //系统视图    

[sw1]local-user pc1 

[sw1-luser-network-pc1]service-type lan-access

[sw1-luser-network-pc1]password simple 123456

                //添加本地接入用户并设置相关参数 

int  g1/0/1

dot1x port-method portbased               //dot1x的默认认证模式为mac地址

dot1x                                     //开启端口的802.1x的特性


可选配置:

[H3C]dot1x authentication-method      {chap|eap|pap}    //配置系统的认证方法。默认情况下,设备启用EAP终结方式,并采用CHAP认证方法

[H3C-Ethernet1/0/13]dot1x port-control    { authorized-force | auto | unauthorized-force }            //配置端口的授权状态,默认情况下,端口的授权状态为auto

[H3C-Ethernet1/0/13]dot1x port-method      { macbased | portbased }                     //配置端口接入控制方式,默认情况下,端口采用的接入控制方式为macbased

[H3C-Ethernet1/0/13]dot1x max-user 10   //配置端口同时接入用户数最大值,缺省最大值256

[H3C]dot1x   retry   10            //设备接入用户发送认证请求报文的最大次数,默认情况下设备最多可向接入用户发送2次认证请求报文(重认证请求报文的最大次数)

[H3C]dot1x timer supp-timeout 10     //客户端认证超时定时器,默认为30s (1~120s)

[H3C]dot1x timer server-timeout 200         //认证服务器超时定时器,默认为100s(100~300s)

[H3C-Ethernet1/0/13]dot1x handshake       //开启在线用户握手功能。默认开启

[H3C]dot1x timer handshake-period 15       //握手定时器,默认为15s(5~1024s)

[H3C]dot1x timer tx-period 30         //用户请求超时定时器,默认为30s(1~120s)

[H3C-Ethernet1/0/13]dot1x  { multicast-trigger | unicast-trigger }       //开启认证触发功能(默认为组播触发功能)

[H3C-Ethernet1/0/13]dot1x mandatory-domain system        //指定端口上802.1x用户使用强制的认证域,默认未指定

[H3C]dot1x quiet-period          //开启静默定时器功能,默认处于关闭状态

[H3C]dot1x timer quiet-period 60                    //配置静默定时器,默认为60s

[H3C-Ethernet1/0/13]dot1x re-authenticate               //开启周期性重认证功能,默认关闭

[H3C]dot1x timer reauth-period 60                       //配置周期性重认证定时器,默认值为3600s


二、端口隔离及其配置:

1、概述:为了实现报文之间的二层隔离,可以将不同的端口加入不同的vlan。但是如果接入用户大于4096,就无法实现,所以采用端口隔离属性,实现同一VLAN内端口之间的隔离。

隔离组分为普通端口和上行端口,普通端口之间被二层隔离,但普通端口与和上行端口之间可以互通。

技术分享

port-isolate enable      //接口视图下,加入隔离组中成为普通端口

port-isolate uplink-port       //接口视图下,加入隔离组中成为上行端口

注意:系统自动创建了了隔离组且组号为1,一个隔离组中只能配置一个上行端口


三、端口绑定技术:

概述:通过“MAC+IP+端口”绑定功能,可以实现设备对转发豹纹的过滤控制,提供安全性。配置后,只有指定MAC和IP的主机才能在指定端口上收发报文,访问网络资源。

进行“MAC+IP+端口”绑定配置后,当端口接收到报文是,会查看报文中的源MAC、源IP地址与交换机上所配置的静态表项是否一致。

如果报文中的源MAC、源IP地址与所设定的MAC、IP相同,端口将转发该报文。

如果报文中的源MAC、源IP中任一个所设定不同,端口将丢弃该报文。

技术分享

[SW1-Ethernet0/4/1]user-bind ip-address [10.1.1.1] mac-address [mac-address]

配置IP和mac地址静态绑定


本文出自 “Network_伟” 博客,请务必保留此出处http://cwnetwork.blog.51cto.com/10718966/1970455

以上是关于交换机端口安全技术的主要内容,如果未能解决你的问题,请参考以下文章

路由交换·端口安全

华为交换机端口安全

端口安全的配置

交换机的端口安全

交换机端口安全配置

交换机的端口安全