网络安全技术及实训,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,2012,年,6,月,3,日,*,第,4,章 交换机安全配置,第4章 交换机安全配置,学习目标,清楚交换机端口的重要性；,掌握交换机的端口绑定功能,能够控制用户的非法接入；,能够使用交换机的 DAI功能防止ARP欺骗；,能够根据实验拓扑连接网络；,熟悉交换机的基本配置，并能根据故障诊断方法解决实验中遇到的基本问题。,学习目标清楚交换机端口的重要性；,学习内容,4.1,交换机端口安全概述,4.2,实训,4-1,：交换机的端口安全配置,4.3,实训,4-2,：,ARP,攻击与防御,4.4 802.1x,安全网络接入,4.5,实训,4-4,：配置交换机保护功能,4.6,实训,4-5,：交换机端口镜像与监听,学习内容4.1 交换机端口安全概述,4.1,交换机端口安全概述,4.1 交换机端口安全概述,4.1 交换机端口安全概述,接入安全,保护端口,概述,禁止交换机端口之间的通讯（二层）,保护端口角色,保护口,非保护口,保护端口规则,保护口之间禁止通讯,保护口允许与非保护口通讯,4.1 交换机端口安全概述接入安全保护端口,5,4.1 交换机端口安全概述,接入安全,全局地址绑定,概述,在交换机中绑定接入主机的,IP+MAC,地址,只有被绑定的,IP+MAC,地址才能接入网络,应用场景,4.1 交换机端口安全概述接入安全全局地址绑定,6,4.1 交换机端口安全概述,接入安全,端口安全,概述,基于端口制定接入规则,接入规则,端口,MAC,最大个数,端口,+MAC,端口,+MAC+VLAN,端口,+IP,端口,+IP+MAC+VLAN,4.1 交换机端口安全概述接入安全端口安全,7,4.1 交换机端口安全概述,DHCP,监听,概述,DHCP,嗅探,（,Snooping,）,功能,功能,防止网络中假冒的,DHCP,服务器,形成,Snooping,表项为其他功能服务,端口角色,非信任口：拒绝,DHCP,回应报文,信任口：允许,DHCP,回应报文,默认角色：非信任口,4.1 交换机端口安全概述DHCP监听,8,4.1 交换机端口安全概述,ARP,的作用,将,IP,地址映射到,MAC,地址,4.1 交换机端口安全概述ARP的作用,9,4.1 交换机端口安全概述,ARP,的弱点,ARP,无验证机制，请求者不能判断收到的,ARP,应答是否合法,4.1 交换机端口安全概述ARP的弱点,10,4.1 交换机端口安全概述,ARP,攻击,攻击者不但伪造网关，而且进行数据重定向,4.1 交换机端口安全概述ARP攻击,11,4.1 交换机端口安全概述,DAI,DAI,（,Dynamic ARP Inspection,）,与,ARP,检查一样，用于防止,ARP,欺骗,ARP,检查需要静态配置安全地址,DAI,依赖于,DHCP Snooping,数据库,要使用,DAI,，需要部署,DHCP,环境,4.1 交换机端口安全概述DAI,12,4.1 交换机端口安全概述,DAI,DAI,端口,DAI Trust,端口,:,不检查,ARP,报文,DAI Untrust,端口,:,检查所有收到的,ARP,报文,4.1 交换机端口安全概述DAI,13,4.2,实训,4-1,：交换机的端口安全配置,4.2 实训4-1：交换机的端口安全配置,14,4.3,实训,4-2,：,ARP,攻击与防御,4.3 实训4-2：ARP攻击与防御,15,4.4 802.1x,安全网络接入,4.4 802.1x 安全网络接入,16,4.4 802.1x 安全网络接入,AAA,介绍,AAA,是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。,AAA,（,Authentication,、,Authorization,、,Accounting,，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架,AAA,主要解决的是网络安全访问控制的问题,Authentication,：认证模块可以验证用户是否可获得访问权。,Authorization,：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。,Accounting,：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。,4.4 802.1x 安全网络接入AAA介绍,17,4.4 802.1x 安全网络接入,AAA,基本模型,AAA,基本模型中分为用户、,NAS,、认证服务器三个部分,4.4 802.1x 安全网络接入AAA基本模型,18,4.4 802.1x 安全网络接入,AAA,配置,启用,AAA,Router(config)#aaa new-model,配置验证列表,Router(config)#aaa authentication service default|list-name method1 method2,应用验证列表,Router(config-line)#,login,authentication,default,|,list-name,将验证列表应用到,PPP,接口：,Router(config-if)#,ppp authentication,default,|,list-name,4.4 802.1x 安全网络接入AAA配置,19,4.4 802.1x 安全网络接入,RAIDUS,概述,RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务,),是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议,4.4 802.1x 安全网络接入RAIDUS概述,20,4.4 802.1x 安全网络接入,RADIUS认证过程,4.4 802.1x 安全网络接入RADIUS认证过程,21,4.4 802.1x 安全网络接入,配置,RADIUS,配置,RADIUS,服务器,Router(config)#,radius-server host,ip-address,auth-port,port,|,acct-port,port,*,配置,RADIUS,服务器认证密钥,Router(config)#,radius-server host key,0,string,|7,string,|,string,配置服务器组,Router(config)#,aaa group server radius,group-name,将,RADIUS,服务器加入到服务器组中：,Router(config-gs-radius)#,radius-server host,ip-address,auth-port,port,|,acct-port,port,*,4.4 802.1x 安全网络接入配置RADIUS,22,4.4 802.1x 安全网络接入,AAA,及,RADIUS,配置示例,在拓扑中，需要对远程登录到,NAS,设备上的用户进行,AAA,认证。认证方法首先使用,RADIUS,进行验证，如果,RADIUS,无法访问，则进行本地验证。,4.4 802.1x 安全网络接入AAA及RADIUS配置示,23,4.4 802.1x 安全网络接入,802.1x,介绍,802.1x,是一个,Client/Server,结构,802.1x,认证体系中的组件,恳求者系统（,Supplicant System,）,认证系统（,Authenticator System,）,认证服务器系统（,Authentication Server System,）,4.4 802.1x 安全网络接入802.1x介绍,24,4.4 802.1x 安全网络接入,802.1x,工作机制概述,在客户端与交换机之间，,EAP,协议报文（承载认证信息）直接被封装到,LAN,协议中,在交换机与,RADIUS,服务器之间，,EAP,协议报文被封装到,RADIUS,报文中，即,EAPoRADIUS,报文,交换机在整个认证过程中不参与认证，所有的认证工作都由,RADIUS,服务器完成,当,RADIUS,服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态,4.4 802.1x 安全网络接入802.1x工作机制概述,25,4.4 802.1x 安全网络接入,802.1x,基本配置,启用,AAA,（,Authentication,、,Authorization,、,Accounting,）,aaa new-model,802.1x,的实现基于,AAA,配置,RADIUS,服务器地址,radius-server host ip-address auth-port number|acct-port number*,默认情况下，认证和授权端口为,1812,，计费端口为,1813,可以添加多个,RADIUS,服务器,4.4 802.1x 安全网络接入802.1x基本配置,26,4.4 802.1x 安全网络接入,802.1x,基本配置,配置,RADIUS,服务器秘钥,radius-server host key 0 string|7 string|string,要使交换机与,RADIUS,服务器之前正常工作，需配置,RADIUS,服务器认证秘钥,秘钥必须与,RADIUS,服务器上配置的一致,配置,802.1x,认证列表,aaa authentication dot1x default|list-name method1 method2,启用,802.1x,Switch(config-if)#dot1x port-control auto,调用验证列表,dot1x authentication default|list-name,4.4 802.1x 安全网络接入802.1x基本配置,27,4.4 802.1x 安全网络接入,802.1x,认证典型配置示例,4.4 802.1x 安全网络接入802.1x认证典型配置示,28,4.5,实训,4-4,：配置交换机保护功能,4.5 实训4-4：配置交换机保护功能,29,4.6,实训,4-5,：交换机端口镜像与监听,4.6 实训4-5：交换机端口镜像与监听,30,