层以太网交换机的4种安全技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAS接入设备
Portal服务器 认证/计费服务器
Portal认证的过程
✓ NAS首次接收到登录用户的HTTP报文时,判断该登录 用户是否为Portal用户。
✓ 对于Portal用户访问其他站点的HTTP报文,交换机通 过TCP仿冒将其重定向到Portal服务器;
✓ 用户在Portal服务器提供的Web页面输入用户名和密码, 输入的用户名和密码会通过Portal服务器转发到NAS;
✓ HXXX系列以太网交换机针对网络安全问题提供了多种网络安 全机制。
学习完本课程,您应该能够:
✓ 了解以太网安全技术的基本内容 ✓ 掌握地址绑定及端口隔离的原理与配置 ✓ 掌握Portal认证的基本原理与配置 ✓ 掌握访问控制列表进行报文过滤的原理与配置
地址绑定技术的作用
✓ 为了防止内部人员进行非法IP盗用,可以 将内部网络的IP地址与MAC地址绑定,盗 用者即使修改了IP地址,也因MAC地址不 匹配而盗用失败;
✓ 由于网卡MAC地址的唯一确定性,可以根 据MAC地址查出使用该MAC地址的网卡, 进而查出非法盗用者。
MAC、IP与端口绑定
✓ 进行绑定操作后,只有指定MAC地址和IP地 址的计算机发出的报文才能通过制定端口转 发,提高了系统的安全性,增强了对网络安 全的监控 。
✓ 该计算机可以在没有设置绑定的其他端口上 使用。
✓ 小区用户PC1、PC2和PC3之间不 能互通 。
Internet
Switch E1/0/1
E1/0/2 E1/0/3
E1/0/4
PC1
PC2
PC3
✓地址绑定技术 ✓端口隔离技术 ✓接入认证技术 ✓报文过滤技术
网络认证技术
✓ 常用的网络认证技术包括:
➢ Portal认证 ➢ 802.1x认证
Portal认证的基本原理
端口隔离的配置显示
操作
命令
显示已经加入到 display isolate port 隔离组中的以太 网端口信息
说明
display命令 可以在任意 视图下执行
端口隔离技术案例
✓ 小区用户PC1、PC2、PC3分别与 交换机的以太网端口E1/0/2、 E1/0/3、E1/0/4相连 。
✓ 交换机通过E1/0/1端口与外部网 络相连 。
➢ Portal认证对新业务支撑的能力强大。利用 Portal认证的门户功能,运营商还可以将小区 广播、广告、信息查询、网上购物等业务放 到Portal上,用户上网时就会强制地看到上述 信息。
Portal的系统组成
✓ 认证客户机 ✓ NAS接入设备 ✓ Portal服务器 ✓ 认证/计费服务器
认证客户机A 认证客户机B 认证客户机C
✓ 端口隔离特性与以太网端口所属的VLAN无关。
端口隔离技术基本配置
操作
进入系统视图
命令
system-view
说明
-
进入以太网端口视 interface interface-type
图
interface-number
将以太网端口加入 port isolate 到隔离组中
-
必选 缺省情况下,隔离组 中没有加入任何以太 网端口
✓ NAS将用户名和密码发到认证服务器进行认证,认证 通过后,NAS允许用户访问Internet,之后不再对该用 户的HTTP报文进行重定向。
Portal的运行方式
✓ Portal有三种运行方式
➢ 直接认证方式
➢ 二次地址分配方式
➢ 三层Portal认证方式
注意: ➢ 出于安全性考虑,直接认证方式和二次地址分配方式都要
display am user-bind [ interface interface-type interface-number | macaddr mac-addr | ip-addr ip-addr ]
display命 令可以在任 意视图下执 行
地址绑定技术案例
✓ 为了防止校园网内有恶意用户盗用PC1的IP地址,将PC1的MAC地址 和IP地址绑定到Switch A 的Ethernet1/0/1端口上。
Switch A E1/0/1
Switch B
PC1
PC2
MAC:0001-0002-0003 IP Address:10.12.1.1
✓地址绑定技术 ✓端口隔离技术 ✓接入认证技术 ✓报文过滤技术
端口隔离概述
✓ 通过端口隔离特性,用户可以将需要进行控 制的端口加入到一个隔离组中,实现隔离组 中的端口之间二层、三层数据的隔离,增强 了网络的安全性。
二层以太网交换机的4种安全技术
✓地址绑定技术 ✓端口隔离技术 ✓接入认证技术 ✓报文过滤技术
引子
✓ 以太网交换机作为企业内部网络通讯的关键设备,有必要在企 业网内部提供充分的安全保护功能。
✓ 用户只要能接入以太网交换机,就可以访问Internet网上的设 备或资源,使局域网上的安全性问题更显突出。
✓ Portal认证的基本原理:未认证的Portal用 户用户只能访问特定的站点服务器,其它 任何访问都被无条件地重定向到Portal服 务器;只有在认证通过后,用户才能访问 Internet。
Portal认证的优点
✓ Portal认证的优点包括:
➢ Poratl认证无需安装客户软件,终端用户使用 方便。
interface interface-type interface-number
am user-bind mac-addr macaddress ip-addr ip-address
可选
可选
对同一个MAC地址,系统只允许进行一次绑定操作 。
MAC、IP与端口绑定的配置显示
操作
命令
说明
显示端口绑定的 配置信息
MAC、IPห้องสมุดไป่ตู้端口绑定的基本配置
操作
命令
说明
进入系统视图
system-view
-
将合法用户的MAC 地址和IP地址绑定 到指定端口上
进入以太网端口视 图 将合法用户的MAC 地址和IP地址绑定 到当前端口上
am user-bind mac-addr macaddress ip-addr ip-address interface interface-type interface-number
求检查用户的MAC地址,因此只能在用户接入的第一个三 层接口上启用Portal,即在用户和接入设备之间不能跨越启 用三层协议的网络设备。 ➢ 三层Portal认证方式不检查用户的MAC地址,安全性有所降 低。在安全性要求较高的场合,不建议使用三层Portal认证 方式。