第4章交换机安全配置.ppt

第4章交换机安全配置 学习目标 清楚交换机端口的重要性 掌握交换机的端口绑定功能 能够控制用户的非法接入 能够使用交换机的DAI功能防止ARP欺骗 能够根据实验拓扑连接网络 熟悉交换机的基本配置 并能根据故障诊断方法解决实验中遇到的基本问题 学习内容 4 1交换机端口安全概述4 2实训4 1 交换机的端口安全配置4 3实训4 2 ARP攻击与防御4 4802 1x安全网络接入4 5实训4 4 配置交换机保护功能4 6实训4 5 交换机端口镜像与监听 4 1交换机端口安全概述 4 1交换机端口安全概述 接入安全 保护端口概述禁止交换机端口之间的通讯 二层 保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯 4 1交换机端口安全概述 接入安全 全局地址绑定概述在交换机中绑定接入主机的IP MAC地址只有被绑定的IP MAC地址才能接入网络应用场景 4 1交换机端口安全概述 接入安全 端口安全概述基于端口制定接入规则接入规则端口MAC最大个数端口 MAC端口 MAC VLAN端口 IP端口 IP MAC VLAN 4 1交换机端口安全概述 DHCP监听概述DHCP嗅探 Snooping 功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口 拒绝DHCP回应报文信任口 允许DHCP回应报文默认角色 非信任口 4 1交换机端口安全概述 ARP的作用将IP地址映射到MAC地址 4 1交换机端口安全概述 ARP的弱点ARP无验证机制 请求者不能判断收到的ARP应答是否合法 4 1交换机端口安全概述 ARP攻击攻击者不但伪造网关 而且进行数据重定向 4 1交换机端口安全概述 DAIDAI DynamicARPInspection 与ARP检查一样 用于防止ARP欺骗ARP检查需要静态配置安全地址DAI依赖于DHCPSnooping数据库要使用DAI 需要部署DHCP环境 4 1交换机端口安全概述 DAIDAI端口DAITrust端口 不检查ARP报文DAIUntrust端口 检查所有收到的ARP报文 4 2实训4 1 交换机的端口安全配置 4 3实训4 2 ARP攻击与防御 4 4802 1x安全网络接入 4 4802 1x安全网络接入 AAA介绍AAA是一个提供网络访问控制安全的模型 通常用于用户登录设备或接入网络 AAA Authentication Authorization Accounting 认证 授权 计费 提供了对认证 授权和计费功能的一致性框架AAA主要解决的是网络安全访问控制的问题Authentication 认证模块可以验证用户是否可获得访问权 Authorization 授权模块可以定义用户可使用哪些服务或这拥有哪些权限 Accounting 计费模块可以记录用户使用网络资源的情况 可实现对用户使用网络资源情况的记帐 统计 跟踪 4 4802 1x安全网络接入 AAA基本模型AAA基本模型中分为用户 NAS 认证服务器三个部分 4 4802 1x安全网络接入 AAA配置启用AAARouter config aaanew model配置验证列表Router config aaaauthenticationservice default list name method1 method2 应用验证列表Router config line loginauthentication default list name 将验证列表应用到PPP接口 Router config if pppauthentication default list name 4 4802 1x安全网络接入 RAIDUS概述RADIUS RemoteAuthenticationDialInUserService远程认证拨号用户服务 是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议 4 4802 1x安全网络接入 RADIUS认证过程 4 4802 1x安全网络接入 配置RADIUS配置RADIUS服务器Router config radius serverhostip address auth portport acct portport 配置RADIUS服务器认证密钥Router config radius serverhostkey 0string 7string string 配置服务器组Router config aaagroupserverradiusgroup name将RADIUS服务器加入到服务器组中 Router config gs radius radius serverhostip address auth portport acct portport 4 4802 1x安全网络接入 AAA及RADIUS配置示例在拓扑中 需要对远程登录到NAS设备上的用户进行AAA认证 认证方法首先使用RADIUS进行验证 如果RADIUS无法访问 则进行本地验证 4 4802 1x安全网络接入 802 1x介绍802 1x是一个Client Server结构802 1x认证体系中的组件恳求者系统 SupplicantSystem 认证系统 AuthenticatorSystem 认证服务器系统 AuthenticationServerSystem 4 4802 1x安全网络接入 802 1x工作机制概述在客户端与交换机之间 EAP协议报文 承载认证信息 直接被封装到LAN协议中在交换机与RADIUS服务器之间 EAP协议报文被封装到RADIUS报文中 即EAPoRADIUS报文交换机在整个认证过程中不参与认证 所有的认证工作都由RADIUS服务器完成当RADIUS服务器对客户端身份进行认证后 将认证结果 接受或拒绝 返回给交换机 交换机根据认证结果决定受控端口的状态 4 4802 1x安全网络接入 802 1x基本配置启用AAA Authentication Authorization Accounting aaanew model802 1x的实现基于AAA配置RADIUS服务器地址radius serverhostip address auth portnumber acct portnumber 默认情况下 认证和授权端口为1812 计费端口为1813可以添加多个RADIUS服务器 4 4802 1x安全网络接入 802 1x基本配置配置RADIUS服务器秘钥radius serverhostkey 0string 7string string 要使交换机与RADIUS服务器之前正常工作 需配置RADIUS服务器认证秘钥秘钥必须与RADIUS服务器上配置的一致配置802 1x认证列表aaaauthenticationdot1x default list name method1 method2 启用802 1xSwitch c