概述:
安全技術1:AAA
說明
AAA 是 Authentication,Authorization and Accounting(認證、授權和計費)的簡
稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一致性框架,實際上是對網絡安全的一種管理。這裏的網絡安全主要是指訪問控制,包括: 哪些用戶可以訪問網絡服務器。 具有訪問權的用戶可以得到哪些服務。 如何對正在使用網絡資源的用戶進行計費。即認證功能、授權功能和計費功能。
AAA 支持以下認證方式:
不認證:對用戶非常信任,不對其進行合法檢查。一般情況下不採用這種方式。
本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設
備上。本地認證的優點是速度快,可以降低運營成本;缺點是存儲信息量受設
備硬件條件限制。
遠端認證:支持通過 RADIUS 協議或 HWTACACS 協議進行遠端認證,設備
(如 Quidway 系列交換機)作爲客戶端,與 RADIUS 服務器或 TACACS 服務
器通信。對於 RADIUS 協議,可以採用標準或擴展的 RADIUS 協議。
AAA 是一種管理框架,因此,它可以用多種協議來實現。在實踐中,人們最常使用 RADIUS 協議來實現 AAA。案例:關於利用radius 實現對用戶telnet的控制
![安達市]( "安達市")
AAA
利用windows自帶組件做RADIUS服務器
![image]( "image")
![image]( "image")
新建test1賬號,允許撥入
![image]( "image")
交換機配置
SW3 100.23
radius scheme xxx 配置RADIUS方案
primary authentication 100.100 驗證服務器地址
key authentication 654321 交互報文時的共享密鑰
user-name-format without-domain 登錄時不用域名@tec
accounting optional 計費
server-type standard 服務類型可以選擇standard類型或huawei類型
domain tec 配置domain
radius-scheme xxx 引用RADIUS方案
access-limit enable 10 限制接入用戶數量
accounting optional
(dot1x authentication-method )
SW4
int vlan 1 100.24
radius scheme xxxx
primary authen 100.100
key authen 123456
accounting optional
server-type standard
domain tec 配置domain
radius-scheme xxx
access-limit enable 10
accounting optional
![image]( "image")
安全技術2:arp
說明
ARP(Address Resolution Protocol,地址解析協議)用於將網絡層的IP地址解析爲數據鏈路層的物理地址(MAC地址)。網絡設備進行網絡尋址時只能識別數據鏈路層的MAC地址,不能直接識別來自網絡層的IP地址。如果要將網絡層中傳送的數據報交給目的主機,必須知道該主機的MAC地址。因此網絡設備在發送報文之前必須將目的主機的IP地址解析爲它可以識別的MAC地址。
![image]( "image")
![image]( "image")
案例
將主機mac與ip地址綁定
系統視圖:
arp timer aging 60 arp表老化時間
arp static 192.168.100.100 aaaa-aaaa-aaaa
安全技術3:mac
說明
爲了快速轉發報文,以太網交換機需要維護MAC地址轉發表。MAC地址轉發表是一張基於端口的二層轉發表,是以太網交換機實現二層報文快速轉發的基礎
設置合適的老化時間可以有效實現MAC地址的老化功能。用戶設置的老化時間過長或者過短,都可能導致以太網交換機廣播大量找不到目的MAC地址的數據報文,影響交換機的運行性能。
以太網交換機可以利用MAC地址學習功能獲取與某端口相連的網段上各網絡設備的MAC地址。對於發往這些MAC地址的報文,以太網交換機可以直接使用硬件轉發。如果MAC地址轉發表過於龐大,可能導致以太網交換機的轉發性能下降。
通過設置以太網端口最多學習到的MAC地址數,用戶可以控制以太網交換機維護的MAC地址轉發表的表項數量。當端口學習到的MAC地址條數達到用戶設定的最大值時,該端口將不再對MAC地址進行學習案例
![image]( "image")
顯示地址表動態表項的老化時間
display mac-address aging-time
設置交換機上動態MAC地址表項的老化時間爲500秒。
mac-address timer aging 500
設置端口最多可以學習到的MAC地址數量
mac-address max-mac-count count
mac-adress static aaaa-aaaa-aaaa interface Ethernet 0/1 vlan 1
安全技術4:dot1x
說明
802.1x協議是一種基於端口的網絡接入控制(Port Based Network Access Control)協議。“基於端口的網絡接入控制”是指在局域網接入控制設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源——相當於連接被物理斷開。
使用802.1x的系統爲典型的Client/Server體系結構,包括三個實體:Supplicant System(客戶端)、Authenticator System(設備端)以及Authentication Server System(認證服務器)
案例
1.要求在各端口上對用戶接入進行認證,以控制其訪問Internet;接入控制模式要求是基於MAC地址的接入控制。
2.所有接入用戶都屬於一個缺省的域:aabbcc.net,該域最多可容納30個用戶;認證時,先進行RADIUS認證,如果RADIUS服務器沒有響應再轉而進行本地認證;計費時,如果RADIUS計費失敗則切斷用戶連接使其下線;此外,接入時在用戶名後不添加域名,正常連接時如果用戶有超過 20分鐘流量持續小於2000Bytes的情況則切斷其連接。
3. 由兩臺RADIUS服務器組成的服務器組與交換機相連,其IP地址分別爲10.11.1.1和10.11.1.2,前者作爲主認證/備份計費服務器,後者作爲備份認證/主計費服務器;設置系統與認證RADIUS服務器交互報文時的加密密碼爲“name”、與計費RADIUS服務器交互報文時的加密密碼 “money”,設置系統在向RADIUS服務器發送報文後5秒種內如果沒有得到響應就向其重新發送報文,重複發送報文的次數總共爲5次,設置系統每15 分鐘就向RADIUS服務器發送一次實時計費報文,指示系統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
4.本地802.1x接入用戶的用戶名爲localuser,密碼爲localpass,使用明文輸入,閒置切斷功能處於打開狀態
![image]( "image")
radius scheme 2000
primary authentication 10.11.1.1 1812
primary accouting 10.11.1.1 1813
# 開啓全局802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
# 開啓指定端口Ethernet 1/0/1的802.1x特性。
[Sysname] dot1x interface Ethernet 1/0/1
# 設置接入控制方式(該命令可以不配置,因爲端口的接入控制在缺省情況下就是基於MAC地址的)。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
# 創建RADIUS方案radius1並進入其視圖。
[Sysname] radius scheme radius1
# 設置主認證/計費RADIUS服務器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
# 設置備份認證/計費RADIUS服務器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
# 設置系統與認證RADIUS服務器交互報文時的加密密碼。
[Sysname -radius-radius1] key authentication name
# 設置系統與計費RADIUS服務器交互報文時的加密密碼。
[Sysname-radius-radius1] key accounting money
# 設置系統向RADIUS服務器重發報文的時間間隔與次數。
[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5
# 設置系統向RADIUS服務器發送實時計費報文的時間間隔。
[Sysname-radius-radius1] timer realtime-accounting 15
# 指示系統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 創建域aabbcc.net並進入其視圖。
[Sysname] domain aabbcc.net
# 指定radius1爲該域用戶的RADIUS方案,若RADIUS服務器無效,則使用本地認證方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local
# 設置該域最多可容納30個用戶。
[Sysname-isp-aabbcc.net] access-limit enable 30
# 啓動閒置切斷功能並設置相關參數。
[Sysname-isp-aabbcc.net] idle-cut enable 20 2000
[Sysname-isp-aabbcc.net] quit
# 配置域aabbcc.net爲缺省用戶域。
[Sysname] domain default enable aabbcc.net
# 添加本地接入用戶。
[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple localpass
安全技術5:acl
說明
ACL(Access Control List,訪問控制列表)主要用來實現流識別功能。網絡設備爲了過濾數據包,需要配置一系列的匹配規則,以識別需要過濾的報文。在識別出特定的報文之後,才能根據預先設定的策略允許或禁止相應的數據包通過。
根據應用目的,可將ACL分爲下面幾種:
基本ACL:只根據三層源IP地址制定規則。
高級ACL:根據數據包的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議特性等三、四層信息制定規則。
二層ACL:根據源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息制定規則。
應用方式
1. 直接下發到硬件中
2. 被上層模塊引用
匹配順序(match-order):
1.配置優先:根據配置順序匹配ACL規則。config Config order
2.深度優先:根據“深度優先”規則匹配ACL規則。auto Auto order
案例
在終端接口上應用acl控制telnet
![image]( "image")
交換機的端口默認都是屬於vlan1(管理vlan)
![image]( "image")
這裏管理地址爲192.168.100.25
更改時進入接口模式:int Vlan-interface 1
[sw5-Vlan-interface1]ip address ?
X.X.X.X IP address此時可以通過任意端口telnet進入交換機,當然前提是有賬戶
![image]( "image")
[sw5]acl number 2000
[sw5-acl-basic-2000]rule deny source 192.168.100.28 0
應用在終端接口上:
[sw5]user-interface vty 0 4
First-Last user terminal interface number to be configured
[sw5-ui-vty0-4]acl 2000 inbound (因爲是拒絕登陸,所以選擇inbound)
inbound Filter login connections from current UI
outbound Filter logout connections from current UI
![image]( "image")
應用acl之後雖然可以ping通,但是已經不能telnet了
取消acl
[sw5-ui-vty0-4]undo acl inbound ?
<cr>
![image]( "image")
取消之後就可以重新登陸了,這說明我們的acl是有效的
安全技術6:am
說明
通過端口隔離特性,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也爲用戶提供了靈活的組網方案。
目前一臺設備只支持建立一個隔離組,組內的以太網端口數量不限案例1:隔離端口1、2
![image]( "image")
[sw5]am enable開啓端口隔離
將端口eth0/1和 eth0/2加入同一vlan
vlan 10
[sw5-vlan10]port Ethernet 0/1
[sw5-vlan10]port Ethernet 0/2
![image]( "image")
此時他們是可以互相通信的,下面做端口隔離:
進入接口視圖:
[sw5-vlan10]int eth0/1
[sw5-Ethernet0/1]am isolate Ethernet 0/1
[sw5-vlan10]int eth0/2
[sw5-Ethernet0/1]am isolate Ethernet 0/2
![image]( "image")
此時已經不通了,更改端口測試可以ping通100.41,說明端口隔離有效
![image]( "image")
案例2:
採用案例1方案:
![image]( "image")
做端口隔離的時候可以劃分端口範圍:
如將端口1與2-5隔離開:
interface Ethernet 0/1
am isolate Ethernet 0/2 to eth0/5
B在2-5端口測試結果
![image]( "image")
將B換到除了前5個端口的任意端口
![image]( "image")
可以通信
訪問、管理IP 地址池
am ip-pool X.X.X.X IP address
如設置ip範圍192.168.100.20~30可以使用1端口
![image]( "image")
192.168.100.30~40
![image]( "image")
因爲這兩臺機器都是處在ip-pool範圍內,所以可以通信
![image]( "image")
將ip改爲地址範圍之外:
![image]( "image")
無法通信:
