D104 以太网安全及QoS

1、D104 以太网安全及QoS引入本章将介绍如何实现交换机对数据包的灵活控制以保障局域网络的安全，以及用于认证和计费的802.1X协议原理和配置，最后还要介绍一下如何实现服务质量的保障。学习目标掌握ACL的原理与配置掌握802.1X协议原理与配置掌握交换机的QoS配置实现学习完本课程，您应该能够：课程内容第一节 交换机ACL第二节 802.1X的原理第三节 802.1X的配置第四节 以太网QoS以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet服务器部门 A部门 BIntranet访问列表对到达端口的数据包进行分类，并打上不同的动作标记访问列表可作用于交换机的所有端口访问列表

2、的主要用途：包过滤镜像流量限制流量统计分配队列优先级流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式Vlan ID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPIP 数据包过滤IP headerTCP headerApplication-level headerData应用程序和数据源/目的端口号源/目的IP地址L3/L4过滤应用网关TCP/IP包过滤元素访问控制列表的构成Rule（访问控制列表的子规则）Time-range（时间段机制）ACL=rules + time-range（访问控制列表由一系列规则组

3、成，有必要时会和时间段结合）访问控制列表策略:ACL1策略:ACL2策略:ACL3.策略:ACLN时间段的相关配置在系统视图下，配置时间段:time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在系统视图下，删除时间段:undo time-range time-name start-time to end-time days-of-the-week from start- date to end-date 假设管理员需要在从2002年12月1日上午8点到2003年1月1

4、日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下: Quidwaytime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 定义访问控制列表 在系统视图下，定义ACL并进入访问控制列表视图:acl number acl-number | name acl-name basic | advanced | interface | link match-order config | auto 在系统视图下，删除ACL:undo acl number acl-number | name acl-name

5、 | all 基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应的规则rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在基本访问控制列表视图下，删除一条子规则undo rule rule-id source fragment time-range 高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应的规则rule rule-id permit | deny protocol source source-addr sou

6、rce-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedence tos tos | dscp dscp fragment time-range time-range-name 在高级访问控制列表视图下，删除一条子规则undo rule rule-id source destinat

7、ion soure-port destination-port precedence tos | dscp fragment time-range 端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作符及语法含义eq portnumber等于portnumbergt portnumber大于portnumberlt portnumber小于portnumberneq portnumber不等于portnumberrange portnumber1portnumber2介于端口号portnumber1和portnumber2之间接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应

8、的规则rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口访问控制列表视图下，删除一条子规则undo rule rule-id二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应的规则rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard int

9、erface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time-range-name 在二层访问控制列表视图下，删除一条子规则undo rule rule-id自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置相应的规则rule rule-id permit | deny rule-string ru

10、le-mask offset & time-range time-range-name 在自定义访问控制列表视图下，删除一条子规则undo rule rule-id用户自定义访问控制列表的数字标识取值范围为300399规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户的配置顺序Auto：指定匹配该规则时系统自动排序。（按“深度优先”的顺序）激活访问控制列表在系统视图下，激活ACL:packet-filter user-group acl-number | ac

11、l-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 在系统视图下，取消激活ACL:undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 配置ACL进行包过滤的步骤综上所述，在华为交换机上配置ACL进行包过

12、滤的步骤如下：配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表 访问控制列表配置举例S3526总裁办公室IP：129.111.1.2 工资查询服务器E0/1财务部门管理部门IP：129.110.1.2 访问控制列表的维护和调试显示时间段状况:display time-range all | time-range-name 显示访问控制列表的详细配置信息:display acl config all | acl-number | acl-name 显示访问控制列表的下发应用信息:display acl runtime all 清除访问控制

13、列表的统计信息:reset acl counter all | acl-number | acl-name 课程内容第一节 交换机ACL第二节 802.1X的原理第三节 802.1X的配置第四节 以太网QoS以太网接入的AAA功能InternetRadius-Server交换式以太网用户PPPOERT1802.1X的作用IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol）该协议适用于接入设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理802.1X的认证接入基于逻辑端口802.1X的系

14、统组成传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息）SupplicantAuthenticater SystemServices offered by Authenticators SystemAuthenticator PAE Authenticater Server 非受控端口受控端口LANEAPOLEAP protocolexchanges carriers in higher layer protocalEAP Over SomethingAuthentication ServerAuthenticatorEAPOLSupplicantEAP协议消息格式EA

15、P协议的消息格式如下：EAP包含多种验证算法：非常类似于CHAP的MD5 Challenge OTP（A One-Time Password System） 通用令牌卡（Generic Token Card） 由于EAP本身采取可扩展的机制，可以平滑的采用新的验证算法 EAP验证过程PPP LCP ACK/EAPPPP EAP-Request/IdentityPPP EAP-Response/User1PPP EAP-Request/Md5 Challenge：randPPP EAP-Response/Md5（rand，abc）PPP EAP-SuccessPCEAPUsername：User

16、1Password：abc用户数据库UsernamePasswordUser1abcUser2123PPP LCP Request/EAPEAPOL协议的消息格式802.1X的EAPOL认证过程EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-RequestEAP-Response(credentials)EAP-SuccessRadius-Access-RequestRadius-Access-RequestRadius-Access-ChallengeRadius-Access-AcceptRadius&DHCPPC802.1X

17、的受控端口（1）根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。802.1X客户端软件（Supplicant）端口启动了802.1X，成为受控端口，客户只有在通过802.1X认证后才能访问网络资源端口未启动802.1X，为非受控端口，通信数据可以畅通无阻Quidway S3526（Authenticator）802.1X的受控端口（2）受控端口支持三种认证授权模式ForceAuthorized：常开模式端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源ForceUnauthorized：常关模式端口一直维持非授权状态，忽略所有客户端发起的认证请求Auto：协议控制模式端口

18、初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源端口受控方式华为公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。基于端口的控制一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源基于MAC地址的控制（端口源MAC）某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源基于VLAN的控制（端

19、口VLAN ID源MAC）某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内！注：基于VLAN的控制方式目前尚未支持，正在开发中。802.1X优势明显802.1XPPPOEWEB认证是否需要安装客户端软件业务报文效率组播支持能力有线网上的安全性设备端的要求增值应用支持是XP不需要是否高好扩展后可用低简单复杂复杂高较高可用可用低，对设备要求高好低，有封装开销高结论：802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区是理想的低成本运营解决方案典型应用（1）802.1X应用在大中型网络汇聚层设备集中认证IPQu

20、idwayS6506/S8016QuidwayS3526/S3526E/FM/FS802.1X 设备端MA5300/5306802.1X 设备端DNSDHCPAAAQuidwayS2016/S2008QuidwayS2008B/S2016BHUB802.1X客户端802.1X客户端802.1X认证服务器HUB典型应用（2）802.1X应用在大中型网络边缘设备分布认证QuidwayS5516AAA/DHCP/DNSQuidwayS3026/S3026E/FM/FS802.1X 设备端QuidwayS3026/S3026E/FM/FS802.1X 设备端802.1X客户端802.1X认证服务器80

21、2.1X客户端Quidway S6506/S8016QuidwayS3526/S3526E/FM/FS典型应用（3）802.1X应用在小型网络DHCP/DNSQuidwayS3026/S3026E/FM/FS802.1X设备端QuidwayS3026/S3026E/FM/FS802.1X设备端802.1X客户端802.1X客户端QuidwayS2403QuidwayS2008/16802.1X设备端802.1X客户端QuidwayS2008B/16BQuidway802.11AccessPointQuidwayS3526/S3526E/FM/FS802.1X内置认证服务器&设备端课程内容第一节

22、 交换机ACL第二节 802.1X的原理第三节 802.1X的配置第四节 以太网QoS802.1X典型配置案例SupplicantQuidwayS3526Ethernet0/1Authenicator Servers(RADIUS Server ClusterIP Addr:10.11.1.110.11.1.2)Internet802.1X典型配置案例开启指定端口Ethernet 0/1的802.1X特性Quidwaydot1x interface Ethernet 0/1设置接入控制的方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）Quidwaydot1x por

23、t-method macbased interface Ethernet 0/1802.1X典型配置案例创建RADIUS组radius1并进入其配置模式Quidwayradius scheme radius1设置主认证/计费RADIUS服务器的IP地址 Quidway-radius-radius1primary authentication 10.11.1.1Quidway-radius-radius1primary accounting 10.11.1.2设置从认证/计费RADIUS服务器的IP地址 Quidway-radius-radius1secondary authentication

24、 10.11.1.2Quidway-radius-radius1secondary accounting 10.11.1.1设置系统与认证RADIUS服务器交互报文时的加密密码Quidway-radius-radius1key authentication name设置系统与计费RADIUS服务器交互报文时的加密密码Quidway-radius-radius1key accounting money802.1X典型配置案例设置系统向RADIUS服务器重发报文的时间间隔与次数 Quidway-radius-radius1timer 5Quidway-radius-radius1retry 5设置

25、系统向RADIUS服务器发送实时计费报文的时间间隔 Quidway-radius-radius1timer realtime-accounting 15设置指示系统从用户名中去除用户域名后再将之传给RADIUS服务器 Quidway-radius-radius1user-name-format without-domain802.1X典型配置案例创建用户域并进入其配置模式 Quidwaydomain 指定radius1为该域用户的radius方法 Quidway-isp-radius-scheme radius1设置该域最多可容纳30个用户 Quidway-isp-access-limit e

26、nable 30设置该域用户的闲置切断参数并启动闲置切断功能 Quidway-isp-idle-cut en 20 2000802.1X典型配置案例将该域设置为全局缺省域，并且不对接入用户添加域名 Quidwaydomain default enable 添加本地接入用户并设置其参数 Quidwaylocal-user local-Quidway-user-local-service-type lan-accessQuidway-user-local-pass simple localpass开启全局802.1x特性 Quidwaydot1x课程内容第一节 交换机ACL第二节 802.1X的原

27、理第三节 802.1X的配置第四节 以太网QoSQoS简介传统的网络状况：提供“尽力而为”的服务，没有服务质量保障期望的网络状况：提供“可预期的”端到端的服务质量保障QoS的工作：提供客户定制的服务质量保证提供网络流量的监管和整形技术提供网络拥塞的避免和处理技术交换QoS概述交换QoS存在的必要性交换QoS技术是端到端的服务质量保障的重要组成Quidway S 系列交换机的QoS特性Quidway S 2000 系列Quidway S 3000 系列Quidway S 6000 系列交换QoS应用 S3516IP网 （QoS） S3526 S3526GEGEGE 流分类 流标记 流量监管 拥塞

28、管理MCUGK S3026交换QoS主要技术优先级标记流量监管端口限速队列调度高低优先级调度严格优先级调度加权轮循调度最大时延加权轮循调度优先级标记未标记的流已标记的流优先级标记的作用：QoS实施差别服务的基础优先级标记方法：IP优先级 、TOS优先级、DSCP优先级和802.1p优先级 优先级标记的配置S3026上优先级标记的配置：priority priority-level port priority replacement S3026 FM/FS和S3526上优先级标记的配置：traffic-priority ip-group acl-number | acl-name rule ru

29、le link-group acl-number | acl-name rule rule local-precedence pre-valueS3026 E和S3526E上优先级标记的配置：traffic-priority user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule dscp dscp-value | ip-precedence pre-value | from-cos cos p

30、re-value | from-ipprec local-precedence pre-value 流量监管流量监管利用令牌桶进行流量控制丢弃须由此接口发送的数据流分类令牌桶继续发送按规定的速度向桶中存放令牌流量监管的配置S3026上流量监管的配置S3026不支持流量监管S3026 FM/FS 和S3526上流量监管的配置：traffic-limit user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule

31、 rule target-rate conform set-local-preference-value value S3026E 和S3526E上流量监管的配置：traffic-limit inbound user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule target-rate exceed action 端口限速LR（Line Rate）, 物理接口总速率限制 根据用户购买的带宽进行裁

32、剪，从而保护了投资者的利益。增强可控制和可管理的手段。须由此接口发送的数据流分类丢弃令牌桶继续发送按规定的速度向桶中存放令牌highmediumnormallow队列端口限速的配置S3026上端口限速的配置S3026不支持端口限速S3026 FM/FS 和S3526上端口限速的配置：S3026 FM/FS和S3526不支持端口限速S3026E 和S3526E上端口限速的配置：line-rate target-rate 拥塞管理和队列调度队列机制高低优先级队列严格优先级队列加权轮循队列最大时延加权轮循队列输出队列highmediumnormallow流分类端口的队列frameframeframe

33、frameframeframeframeframeframeframeframeframeframeOutput SchedulerOutput SchedulerOutputOutputLowNormalMediumHigh每个端口分成4个队列：High、Medium、Normal和Lowcos0,1cos2,3cos4,5cos6,7优先级与队列的映射COS值的范围0-7，每个值对应一个输出队列优先级与队列的映射6543210112233447队列COS1:low queue2:normal queue3:medium queue4:high queue高低优先调度重要业务要求在拥塞发生时

34、优先获得服务以减小响应延迟在队列调度时，根据高低优先队列之间的轮循比值来转发报文highlow队列离开接口的数据包须由此接口发送的数据包分类出队调度高低优先调度的配置S3026上高低优先调度的配置：S3026上，高低优先调度是默认的调度机制 设置高低优先级队列转发报文的轮循比值 具体配置命令：queue-cycle value 严格优先调度是为关键业务型应用设计的。关键业务要求在拥塞发生时优先获得服务以减小响应延迟在队列调度时，优先发送较高优先级队列中的分组，当较高优先级队列为空时，再发送较低优先级队列中的分组highmediumnormallow队列离开接口的数据包须由此接口发送的数据包分类出队调度严格优先调度的配置S3026上的严格优先调度的配置：S3026不支持严格优先调度的配置S3000系列其他型号上的严格优先调度的配置缺省情况下采用为严格优先调度模式 queue-s