有線部分操作手冊-安全功能

第1章ACL配 1ACL介 1Access- 1Access- 1Access-list動作及全局默認動 1ACL配 2ACL舉 ACL排錯幫 第2章802.1x配 1802.1x介 1802.1x認證體系結(jié) 1802.1x工作機 2EAPOL消息的封 3EAP屬性的封 4基于802.1x的Web認證功 5802.1x認證方 6802.1x的擴展和優(yōu) VLAN分配特 802.1x配 802.1x應(yīng)用舉 GuestVlan應(yīng)用舉 802.1x與IPv4Radius應(yīng)用舉 802.1x與IPv6Radius應(yīng)用舉 基于802.1x的Web認證應(yīng)用舉 802.1x排錯幫 第3章端口、VLAN中MAC、IP數(shù)量限制功能配 1端口、VLAN中MAC、IP數(shù)量限制功能簡 1端口、VLAN中MAC、IP數(shù)量限制功能配置任務(wù)序 2端口、VLAN中MAC、IP數(shù)量限制功能典型案 4端口、VLAN中MAC、IP數(shù)量限制功能排錯幫 4第4章AM功能操作配 1AM功能簡 1AM功能配置任務(wù)序 1AM功能典型案 3AM功能排錯幫 3第5章安全特性配 1安全特性介 1安全特性配 1防IPSpoofing功能配置任務(wù)序 1防TCP標(biāo)志功能配置任務(wù)序 1防端口功能配置任務(wù)序 1防TCP碎片功能配置任務(wù)序 2防ICMP碎片功能配置任務(wù)序 2安全特性舉 3第6章TACACS+配 1TACACS+簡 1TACACS+配 1TACACS+典型案 2TACACS+排錯幫 2第7章RADIUS配 1RADIUS簡 1AAA與RADIUS簡 1RADIUS協(xié)議的報文結(jié) 1RADIUS配 3RADIUS典型案 5IPv4Radius應(yīng)用舉 5IPv6Radius應(yīng)用舉 5RADIUS排錯幫 6第8章SSL配 1SSL簡 1SSL基本原 1SSL配置任務(wù)序 2SSL典型案 3SSL排錯幫 4第9章IPv6安全RA配 1IPv6安全RA簡 1IPv6安全RA配置任務(wù)序 1IPv6安全RA典型案 2IPv6安全RA排錯幫 2第10章VLAN-ACL配 1VLAN-ACL功能簡 1VLAN-ACL功能配置任務(wù)序 1VLAN-ACL功能配置案 3VLAN-ACL排錯幫 4第11章MAB配 1MAB介 1MAB基本配 1MAB舉 3MAB排錯幫 6第1ACLACL交換機端口的，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進入交源IP、目的IP、IP協(xié)議號、TCP端口、UDP端口等條件的有效組合。根據(jù)不同的標(biāo)準(zhǔn)， 您建立了一條access-group之后，流經(jīng)此端口此方向的所有數(shù)據(jù)包都會試圖匹配指定的access-list規(guī)則，以決定交換動作是允許(permit)或(deny)。另外還可以在端口加上對Access-list ACLACL配置任務(wù)序列如下創(chuàng)建一個命名標(biāo)準(zhǔn)IP列指定多條permitdeny規(guī)則表創(chuàng)建一個命名擴展IP列指定多條permitdeny規(guī)則表創(chuàng)建一個命名擴展MAC列指定多條permitdeny規(guī)則表創(chuàng)建一個命名擴展MAC-IP列指定多條permitdeny規(guī)則表創(chuàng)建一個命名擴展IPv6列指定多條permitdeny規(guī)則表配置默認動作(default配置access-配置數(shù)字標(biāo)準(zhǔn)IP列access-list<num>{deny|{{<sIpAddr><sMask>}|any-sourcenoaccess-list<num>創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IP列表，如果已有此命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP配置數(shù)字擴展IP列access- {{<sIpAddr><sMask>}|any-source|{host- any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>][time-range<time-range-ICMPIP訪問列表，如果已有此列表，access- {{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>][time-range<time-range-IGMPIP訪問列表，如果已有此列表，access-list<num>{deny|permit}tcp創(chuàng)建一條TCP數(shù)字擴展IP<sMask>}|any-source|{host-source[s-port{<sPort>|range<sPortMin> any- {host-destination<dIpAddr>}}[d-port{<dPort> [ack+fin+psh+rst+urg+syn][precedence[tos<tos>][time-range<time-range-access- 創(chuàng)建一條UDP數(shù)字擴IP{{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}[s-port{<sPort>|range any-destination|{host-destination[d-port{<dPort>|range<dPortMin> <tos>][time-range<time-range-access-list<num>{deny|permit}{eigrp|greIP協(xié)議或所有IP協(xié)議的數(shù)字擴展IP訪igrp|ipinip|ip|ospf|<protocol-num{{<sIpAddr><sMask>}|any-source|{host- any-destination|{host-destination <tos>][time-range<time-range-noaccess-list刪除一條數(shù)字擴展IP列表配置命名標(biāo)準(zhǔn)IP列創(chuàng)建一個命名標(biāo)準(zhǔn)IP列 access- 創(chuàng)建一條命名標(biāo)準(zhǔn)IP列表；本命令的指定多permitdeny[no]{deny|permit}（rule any- 的no操作為刪除此命名標(biāo)準(zhǔn)IP規(guī)則{host-source（l退出命名標(biāo)準(zhǔn)IP列表配置模配置命名擴展IP列創(chuàng)建一個命名擴展IP列ipaccess-listextended access- 創(chuàng)建一條命名擴展IP列表；本命令的指定多permitdeny icmpIP（rule刪除此命名擴展IP規(guī)則（l any- {host- any- {host- [<icmp- [<icmp- <tos>][time-range<time-range- igmpIP（rule刪除此命名擴展IP規(guī)則（l any- {host- any- {host- [<igmp- <tos>][time-range<time-range-[no]{deny|permit}tcp{{<sIpAddr>創(chuàng)建一條tcp命名擴展IP規(guī)（rule（rule any- {host- [s- any- {host- <tos>][time-range<time-range-[no]{deny|permit}udp{{<sIpAddr> [s- <tos>][time-range<time-range-創(chuàng)建一條udp命名擴展IP規(guī)（rule（rule[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|ospf|<protocol-num>} any- {host- any- {host- <tos>][time-range<time-range-創(chuàng)建一條匹配其他特定IP協(xié)議或所有IP協(xié)議的數(shù)字擴展IP規(guī)則；如果此數(shù)字擴展列退出命名擴展IP列表配置模配置數(shù)字標(biāo)準(zhǔn)MAC列access-list<num>{deny|{any-source-mac|{host-source- <smac-noaccess-list創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)mac列表，如果已有此列表，則增加一條規(guī)則（rule）表項；本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)mac訪配置數(shù)字擴展MAC列access- {any-source-{host-source-mac<host_smac>}|{<smac><smac-創(chuàng)建一條數(shù)字擴展{any-destination-mac|{host-destination-列表，如果已有此<host_dmac>}|{<dmac><dmac-mask>}}[{untagged-eth2列表，則增加一條tagged-eth2|untagged-802-3|tagged-802-3}[<length1><value1>[<offset2><length2>令的no操作為刪除一[<offset3><length3><value3>[<offset4>數(shù)字擴展mac<value4>noaccess-list配置命名擴展MAC列創(chuàng)建一個命名擴展MAC列指定多permitdeny規(guī)則表[no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination-<host_dmac>}|{<dmac><dmac-mask>}}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination- <dmac- [no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination- {<dmac><dmac-mask>}}[vlanid<vid-value>[<vid-mask>][ethertype<protocol>[<protocol-mask>]]]創(chuàng)建一條匹配普通MAC幀名擴展MAC規(guī)則(rule)；no操作為刪除此命名擴展MAC規(guī)則[no]{deny|permit}{any-source-mac|{host-source-[untagged-eth2[ethertype<protocol>[protocol-mask]]]創(chuàng)建一條匹配untagged2幀類型名擴展MAC規(guī)則(rule)；no操作為刪除此命名擴展MAC規(guī)則[no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination-<host_dmac>}|{<dmac><dmac-mask>}}[untagged-802-創(chuàng)建一條匹配untagged802.3幀類型名擴展MAC訪問規(guī)則(rule)；no操作為刪除此命名擴展MAC規(guī)則（rule）[no]{deny|permit}{any-source-mac|{host-source-mask>}}[tagged-eth2 <vid- [<vid- [<protocol-tagged2幀類型名擴展MAC規(guī)則(rule)no操作為刪除此命名擴展MAC訪[no]{deny|permit}{any-source-mac|{host-source- <smac-802.3幀類型{any-destination- {host-destination-擴展MAC規(guī)<host_dmac>}|{<dmac><dmac-mask>}}[tagged-802-(rule)；no操作為 <cos- [<cos- <vid-[<vid-此命名擴展MAC規(guī)則退出MAC表配置模配置數(shù)字擴展MAC-IP列access-list<num>{deny|permit}{any-source-mac{host-source- <smac- {any-destination- {host-destination- {<dmac><dmac- <source- any- {host-<source-host- <destination- any- 創(chuàng)建一條MAC-ICMP數(shù)字擴展mac-ip{host- [<icmp-code>]][precedence<precedence>][tos[time-range<time-range-access-list<num>{deny|permit}{any-source-mac創(chuàng)建一條MAC-IGMP數(shù)字擴展mac-ip{host-source- <smac- {any-destination- {host-destination- <dmac-mask>}} {{<source><source-wildcard>}any- {host- <source-host-{{<destination><destination-wildcard>}|any-|{host-destination<destination-host-ip>}}[<igmp- [time-<time-range-access-list<num>{deny|permit}{any-source-mac{host-source- <smac- {any-destination- {host-destination- <dmac-mask>}}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port {{<destination><destination-wildcard>}|any-|{host-destination<destination-host-ip>}}[d-{<port3>|range<dPortMin><dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條MAC-TCP數(shù)字擴展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- <smac- {any-destination- {host-destination- {<dmac><dmac- <source- any- {host-<source-host-ip>}}[s-port{<port1>|range<sPortMax>}]{{<destination><destination-wildcard>}| <destination-host- <dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條MAC-UDP數(shù)字擴展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- <smac- {any-destination- {host-destination- MAC-IP{<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinipMAC-IPospf|{<protocol-num>}}{{<source><source-wildcard>}字擴展mac-ip 表，如果已有此{{<destination><destination-wildcard>}|any-|{host-destination<destination-host-ip>}} [time-<time-range-noaccess-list刪除一條數(shù)字擴展MAC-IP列表配置命名擴展MAC-IP列創(chuàng)建一個命名擴展MAC-IP列創(chuàng)建一條命名擴展MAC-IP列擴展MAC-IP列表。指定多permitdeny規(guī)則表[no]{deny|permit}{any-source-mac|{host-source- {any-destination- {host-destination-創(chuàng)建一條mac- 命名擴展MAC （ruleno{host- <source-host- 為刪除此命名擴展 {host- <destination-host- MAC-IP規(guī)（l[<icmp-code>]][precedence<precedence>][tos[time-range<time-range-[no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination-創(chuàng)建一條mac- <dmac- MAC-IP <source- any- {host- <source-host- <destination- any- 展MAC-IP規(guī){host-destination<destination-host-ip>}}[<igmp-（l [time-<time-range-[no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination-<host_dmac>}|{<dmac><dmac-mask>}}tcpmac-tcp<source- any- {host-<source-host-ip>}}[s-port{<port1>|range<sPortMax>}]{{<destination><destination-wildcard>}為刪除此命名擴展any- {host-MAC-IP規(guī)<destination-host- （l [time-<time-range-[no]{deny|permit}{any-source-mac|{host-source-創(chuàng)建一條mac-udp命MAC-IP（ruleno為刪除此命名擴展MAC-IP規(guī)則（l <smac-{any-destination- {host-destination-<host_dmac>}|{<dmac><dmac-mask>}}udp<source- any- {host-<source-host-ip>}}[s-port{<port1>|range<sPortMax>}]{{<destination><destination-wildcard>}any- {host-<destination-host- <dPortMin><dPortMax>}][precedence[tos<tos>][time-range<time-range-[no]{deny|permit}{any-source-mac|{host-source- <smac-{any-destination- {host-destination-創(chuàng)建一條mac-ip<host_dmac>}|{<dmac><dmac-mask>}}{eigrp|gre協(xié)議類型名擴igrp|ip|ipinip|ospf|{<protocol-num>}}MAC-IP規(guī)<source- any- {host-（rulen<source-host- 除此命名擴展<destination- any- MAC-IP規(guī){host- <destination-host- （l [time-<time-range-退出MAC-IP表配置模配置數(shù)字標(biāo)準(zhǔn)IPv6列ipv6access-list<num>{deny|permit}{{<sIPv6Addr><sPrefixlen>}| noipv6access-list創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IPv6列表，如果已有此列表，則增加一條規(guī)則（rule）表IPv6列表。配置數(shù)字擴展IPv6列ipv6access-list<num-ext>{deny|permit} any- {host- any- {host- [<icmp-[<icmp- <fl>][time-range<time-range-ipv6access-list<num-ext>{deny|permit} any- {host-source<sIPv6Addr>}}[s-port{<sPort> any- {host-destination<dIPv6Addr>}}[dPort{<dPort>range<dPortMin><dPortMax>}][syn|ack|urg| <flowlabel>][time-range<time-range-ipv6access-list<num-ext>{deny|permit} any- {host-source<sIPv6Addr>}}[s-port{<sPort>創(chuàng)建一條數(shù)字擴展IPV6本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP列表。 {{<dIPv6Prefix/<dPrefixlen>}|any-destination{host-destination<dIPv6Addr>}}[dPort{<dPort>range<dPortMin><dPortMax>}][dscp[flow-<flowlabel>][time-range<time-range- access- <num- <next- any- {host- any- {host-destination<dIPv6Addr>}}[dscp[flow- <fl>][time-range<time-range-noipv6access-list創(chuàng)建一個命名標(biāo)準(zhǔn)IPv6列ipv6access-liststandardnonoipv6access-liststandard除此命名標(biāo)準(zhǔn)IPv6指定多permitdeny[no]{deny|permit}{{<sIPv6Prefix/sPrefixlen>}（ruleany-source|{host-sourceIPv6（rule退出命名標(biāo)準(zhǔn)IPV6列表配置模退出命名標(biāo)準(zhǔn)IPv6列表配置命名擴展IPv6列創(chuàng)建一個命名擴展IPv6列ipv6access-listextendednonoipv6access-listextended除此命名擴展IPv6指定多permitdeny 創(chuàng)建一條icmp命名擴展IPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴展IPv6規(guī)則（rule。 any- {host- any- {host- [<icmp- <fl>][time-range<time-range-[no]{deny|permit}tcp{<sIPv6Prefix/sPrefixlen>tcpIPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴展IPv6規(guī)則（rule。any-source|{host-source<sIPv6Addr>}}[s- {host-destination<dIPv6Addr>}}[d-port{<dPort>range<dPortMin><dPortMax>}][syn|ack|urgrst|fin|psh][dscp<dscp>][flow-label[time-range<time-range-[no]{deny|permit}udpudpIPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴展IPv6規(guī)則（rule。|any-source|{host-source<sIPv6Addr>}}[s- {host-destination<dIPv6Addr>}}[d-port{<dPort>range<dPortMin><dPortMax>}][dscp[flow-label<fl>][time-range<time-range- 創(chuàng)建一條匹配其他特定IPv6協(xié)議的數(shù)字擴展IPv6規(guī)列表不存在則創(chuàng)建此列 any- {host- any- {host-destination<dIPv6Addr>}}[dscp[flow-label<fl>][time-range<time-range-[no]{deny|permit}{<sIPv6Prefix/sPrefixlen>IPv6（ruleIPv6訪（ruleany- {host- any- {host-destination<dIPv6Addr>}}[dscp[flow-label<fl>][time-range<time-range-退出命名擴展IPv6列表配置模退出命名擴展IPv6列配置濾功全局打開濾功firewallfirewall配置默認動作(defaultfirewalldefault{permit|deny[ipv4|ipv6|all]}設(shè)置默認動作ACLdeny優(yōu)先功閉acldeny優(yōu)先功能。time_range_name的時間范圍 time-停止名為time_range_name的時間范圍配置周期性 Tuesday|Wednesday||Friday|Saturday| Tuesday|Wednesday||Friday|Saturday|<endSunday}|daily|weekdays| [no]absolute-periodic{MondayTuesday|Wednesday||Friday|Saturday| Tuesday|Wednesday||Friday|Saturday| Sunday}|daily|weekdays 配置絕對性 <end[no]absolutestart 將accessl-list{ip|ipv6|mac|mac- {ip|ipv6|mac|mac-物理接口模式：在端口的或出口方向上應(yīng)用一條access-listno操作為刪除綁定在端口上的access-list。清空指定接口的濾統(tǒng)計信 access- <interface- ACL配置更改創(chuàng)建相應(yīng)的配置濾功Switch(config)#access-list110denytcp55any-destinationd-port21Switch(config)#firewallenableSwitch(config)#firewalldefaultpermitSwitch#showfirewallFirewallStatus:Enable.FirewallDefaultRule:Permit.Switch#showaccess-access-list110(used1time(s))1access-list110denytcp55any-destinationd-portSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10Iressaccess-listusedis110,traffic-statistics用戶有如下配置需換機的端口10不允許轉(zhuǎn)MAC地址是00-12-11-23-XX-802.3的數(shù)據(jù)報文。1創(chuàng)建相MAC2、配置濾功 any-destination-macuntagged-802-3 Switch(config)#firewallenableSwitch(config)#firewalldefaultpermitFirewallStatus:Enable.FirewallDefaultRule:Permit.Switch#showaccess-listsaccess-list1100(used1time(s))access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffuntagged-802-access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MACIngressaccess-listusedis1100,traffic-statistics并且IP為/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許此網(wǎng)段的任何配置更改配置濾功ACL到端口Switch(config)#access- 00-12-11-23-00- 00-00-00-00-ff-Switch(config)#access- 00-12-11-23-00-Switch(config)#firewallenableSwitch(config)#firewalldefaultpermitFirewallStatus:Enable.FirewallDefaultRule:Permit.Switch#showaccess-access-list3110(used1access-list3110deny00-12-11-23-00-0000-00-00-00-ff-fftcp55any-destinationd-portaccess-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10MAC-Iressaccess-listusedis3110,traffic-statistics用戶有如600端口連接的網(wǎng)段是IPV6IPV6的地2003：Switch(config)#ipv6access-list600deny2003:1:1:1::0/64any-Switch(config)#firewallenableSwitch(config)#interfaceethernetSwitch(Config-If-Ethernet1/0/10)#ipv6access-group600inFirewallStatus:Enable.FirewallDefaultRule:Permit.Ipv6access-list600(used1ipv6access-list600deny2003:1:1:1::0/64any-sourceipv6access-list600permit2003:1:1:1:66::0/80any-sourceSwitch#showaccess-groupinterfaceethernet1/0/10interfacename:Ethernet1/0/10IPv6Ingressaccess-listusedis600,traffic-statistics為的設(shè)備接入到這幾個端口。配置更改配置濾功Switch(config)#vlan100Switch(Config-Vlan100)#switchportinterfaceethernet1/0/1;2;5;7Switch(Config-Vlan100)#exitSwitch(config)#access-list1denyhost-sourceSwitch(config)#interfaceethernet1/0/1;2;5;7Switch(config-if-port-range)#ipaccess-group1inSwitch(Config-if-Vlan100)#exit配置結(jié)果Switch(config)#showaccess-groupinterfacevlan100InterfaceVLAN100:Ethernet1/0/1:Iressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/2:Iressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/5:Iressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/7:Iressaccess-listusedis1,traffic-statisticsDisable.ACLACLACL的檢查就馬上結(jié)ACLACL表項匹配時，才會使用默認規(guī)則。每個端口可以綁定一條MAC-IPACL，一條IPACL，一條MACACL和一條IPV6ACLACLACL時，優(yōu)先關(guān)系從高到低如下，如 IPv6ACL MAC-IPACL IPACL MACACL 如果access-list中包括過濾信息相同但動作的規(guī)則，則其無法綁定到端口并將有報錯提示。例如同時配置permittcpany-sourceany-destination及denytcpany-source可以配置ACL某些ICMP報文通過以防止“沖擊波”等ACLVlan接口配置模式下綁定的ACL只能在Vlan接口模式下取消。物理接口加入/Vlan時（Trunk口除外），VlanACL將自動綁定/移除VlanACL（Vlan接口配置模式配置）和該端口原有的ACL配置（通過物理接口配置模式配置），將導(dǎo)致端口移動失敗。Vlan中無物理接口時（Trunk口除外ACLVlan中的配置，以后如果再有取消通過Vlan接口配置模式綁定到該物理接口的ACL；trunk->access,將Vlan1接口配置的ACL綁定到該物理接口，如果綁定失敗，端口模式轉(zhuǎn)換將執(zhí)行失敗。第2802.1x802.1x是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設(shè)備（如LANSwitch），就可以局域網(wǎng)中的設(shè)備以實現(xiàn)用戶級的接入控制，802.lx就是IEEELAN/WAN為了解決基于端口的網(wǎng)絡(luò)接802.1x認證體系結(jié)serversystem（認證服務(wù)器）。2-1802.1x 戶端必須支持EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域網(wǎng)上的接入控制單元是位于局域網(wǎng)段一端的另一個實體，對所連接的客戶端進行認證。接入控制單元通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端 行認證、和計費，通常為RADIUS（RemoteAuthenticationDial-InUser 網(wǎng)絡(luò)資源；非狀態(tài)是指僅允許EAPOL報文收發(fā)，不允許用戶網(wǎng)絡(luò)資源受控/ 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，保證客戶端 受控方 說明：目前，本交換機只支持單向受802.1x工作機2-2802.1x在客戶端PAE與接入控制單元PAE之間，EAP協(xié)議報文使用EAPOL封裝格式，直在接入控制單元PAE與RADIUS服務(wù)器之間，可以使用兩種方式來交換信息。一種是EAP協(xié)議報文使用EAPOR（EAPoverRADIUS）封裝格式承載于RADIUS協(xié)議（PasswordAuthenticationProtocol，驗證協(xié)議）或CHAP（Challenge當(dāng)用戶完成認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給接入控制單元，接入控制單元PAE根據(jù)RADIUS服務(wù)器的認證結(jié)果（Accept或Reject）決定受控端口的EAPOL消息的封EAPOL數(shù)據(jù)包的格EAPOL802.1x協(xié)議定義的一種報文封裝格式，主要用于在客戶端和接入控制單元之間傳送EAP協(xié)議報文以允EAP協(xié)議報文在LAN上傳送IEEE802/EthernetLAN環(huán)境中，EAPOL數(shù)據(jù)包的格式如下圖所示，EAPOL數(shù)據(jù)包的起始位置是MAC幀的Type/Length域。2-3EAPOL EAPOL-Start（值為0x01）：認證發(fā)起 EAPOL-Logoff（值為0x02）：退出請求幀 EAPOL-Key（值為0x03）：密鑰信息 EAPOL-Encapsulated-ASF-Alert（值為0x04）：用于支持ASF（AlertStandardEAP數(shù)據(jù)包EAPOL數(shù)據(jù)包格式TypeEAP-Packet時，PacketBodyEAP數(shù)據(jù)包結(jié)構(gòu)，2-4EAP（3）、Failure（4）Success和Failure類型的包沒有Data域，相應(yīng)的Length域的值為4Request和Response類型數(shù)據(jù)包的Data域的格式如下圖所示。Type為EAP的認證對方的；Type值為4時，代表MD5-Challenge，類似于PPPCHAP協(xié)議，包2-5Request和Response類型數(shù)據(jù)包的DataLength：EAP數(shù)據(jù)包的長度，包含Code、Identifier、LengthData域，單位為字節(jié)EAPRADIUS為支持EAP認證增加了兩個屬性：EAP-Message（EAP消息）Message-Authenticator（消息認證碼）RADIUS協(xié)議的報文格式請參見“AAA-RADIUS-HWTACACS操作”的RADIUS協(xié)議簡介部分。EAP-圖2-6EAP-MessageMessage-如圖所示，這個屬性用于在使用EAP、CHAPEAP-MessageMessage-Authenticator，2-7Message-Authenticator屬基于802.1x的Web認證功802.1xIEEE802.1x認證系統(tǒng)的體系結(jié)構(gòu)、工作機制、RADIUS服務(wù)器，認證消息格式采用EAP協(xié)議。在客戶端與認證交換機之間使用EAPOL封裝技術(shù)，即將EAP報文封裝在以太網(wǎng)幀之中進行認證通信；而認證交換機EAPOREAPRadius協(xié)議上進行認證通信；也可以由設(shè)備端進行中介，而在設(shè)備端與RADIUS服務(wù)器之間通過RADIUS協(xié)議傳送PAP協(xié)議報文或CHAP協(xié)議報文。DCBI服務(wù)器的認證通信。但是現(xiàn)在有些客戶工實現(xiàn)認證客戶端的平臺無關(guān)性，我們設(shè)計提出了基于原有802.1x系統(tǒng)的Web認證功能。Web認證基本仍采用標(biāo)準(zhǔn)的802.1x認證系統(tǒng)，使用瀏覽器中運行的JavaApplet替代原有的客戶端軟件，設(shè)備端采用三層交換機，認證服務(wù)器使用標(biāo)準(zhǔn)RADIUS服務(wù)器，認證故而客戶端與web認證交換機的認證通信EAP報文不能采用EAPOL封裝技術(shù)，即不EAPEAPOUEAP認證報文承載于UDP協(xié)議之上，實現(xiàn)web客戶端與web認證交換機之間的認證通信，而在802.1x認證方另一方面客戶端可以通過客戶端軟件向設(shè)備端發(fā)送EAPOL-Start報文，發(fā)起認證。802.1xEAPEAPRADIUS服務(wù)器交互完成認EAP中繼方這種方式是IEEE802.1x標(biāo)準(zhǔn)規(guī)定的，將EAP（擴展認證協(xié)議）承載在其它協(xié)議中EAPoverRADIUS，以便擴展認證協(xié)議報文穿越復(fù)雜的網(wǎng)絡(luò)到達認證服務(wù)器。一般來說，EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性：EAP-Message和EAPEAP（Method要隨著改變，在下圖中給出了EAP認證方法協(xié)議棧。2-8EAP現(xiàn)在已經(jīng)開發(fā)出50種以上的EAP認證方法，而各種不同EAP認證方法間的差異在于認證機制與密鑰管理的不同。其中比較常見的四種EAP認證方法包括： EAP- 下面分別介紹這四種EAP認證方法。注意 EAPEAP-MD5、EAP-TLS、EAP-TTLSPEAP這EAP-MD5EAP-MD5IETF開放標(biāo)準(zhǔn)，但提供最少的安全，MD5Hash。2-9802.1xEAP-MD5EAP-TLSEAP-TLSEAPTLSPKI來保護客戶端與Radius認證服務(wù)器之間的認證以及生成動態(tài)的會話密鑰，要求客戶端和Radius認證服務(wù)器都要擁有數(shù)字以進行雙向認證。它是無線局域網(wǎng)最早采納的EAP認證方法。EAP標(biāo)準(zhǔn)之一，而且廣泛地被無線局域網(wǎng)硬件和軟件制造廠商所支2-10802.1xEAP-TLSEAP-TTLS認證方EAP-TTLSFunkSoftware和EAP-TLS相同的認證強度，但不要求每個用戶都要擁有數(shù)字，而只要求Radius認證服務(wù)器要擁有數(shù)字。用戶的驗證是通過來進行的，該是在利用認證服務(wù)器的所建立的PAP、MS-CHAPV2等。PEAPEAP-PEAP是由Cisco、微軟和RSASecurity聯(lián)合開放標(biāo)準(zhǔn)的建議。它早已被EAP-TTLS相似，只需要一份服務(wù)器端的PKI來建立一個安全的TLS隧道以保護用戶認證。2-11802.1xPEAPEAP終結(jié)方這種方式將EAP報文在接入控制單元終結(jié)并到RADIUS報文中，利用標(biāo)2-12802.1xEAP端加密后的信息一起送給RADIUS服務(wù)器，進行相關(guān)的認證處理。802.1x的擴展和優(yōu)設(shè)備在802.1x的EAP中繼方式和EAP終結(jié)方式的實現(xiàn)中，不僅支持協(xié)議所規(guī)定的端可以有效地防止ARP。VLANAutoAutoVLANRADIUS服務(wù)器根據(jù)用戶信息和用戶接入設(shè)備信息來動態(tài)改變VLAN802.1x用戶在服務(wù)器上通過認證時，RADIUS服務(wù)器會把RADIUSVLANAccess-AcceptTunnel-Type=VLAN這里VLANID是指VLAN的VID，取值范圍為1~4094Tunnel-Private-Group-AutoVLAN并不改變端口的配置，也不影響端口的配置。但是，AutoVLAN的優(yōu)先級說明：AutoVLANAccess類GuestVLAN問該VLAN內(nèi)的資源不需要認證，但此時不能夠其他網(wǎng)絡(luò)資源；認證成功后，端口離開GuestVLAN，用戶可以其他的網(wǎng)絡(luò)資源。用升級程序（例如防軟件、操作系統(tǒng)補丁程序等。如果因為沒有的認證客戶端或端口加入到GuestVLAN。802.1xGuestVLANAutoVLANGuestVLANGuestVLAN中端口下的用戶GuestVLAN內(nèi)；如果認證成功，分為以AutoVLANGuestVLAN 戶下線后，端口會被重新劃分到所配置的GuestVlan內(nèi)。802.1x802.1x配置基于802.1x的web認證全局功(使能交換機802.1xdot1xenablenodot1xenable命令的no操作為關(guān)閉802.1x功能。dot1xprivateclientnodot1xprivateclient使能交換機強制客戶端軟件使用私有802.1x認證報文格式；本命no操作為關(guān)閉該功能，允許客戶端軟件使用標(biāo)802.1x free- nodot1xuserfree-dot1xunicastenablenodot1xunicastenable命令的no操作關(guān)閉802.1x單播透能配置基于802.1x的web認證全局功dot1xwebauthenticationenablenodot1xwebauthenticationenable全局啟動基于802.1x的web認證局nonodot1xweb在交換機上配置Web重定向的HTTP服務(wù)；本命令的no操作清除WebHTTP接入控制單元的屬性配dot1xport-control{auto|force-authorized|force-unauthorized}nodot1xport-control設(shè)置端口的802.1x狀態(tài)，本命令no portbased|webbased|{standard|nodot1xport-設(shè)置端口的接入控制方式；本命令的dot1xmax-usermacbasednodot1xmax-user命令的no操作為恢復(fù)缺省的最多允許dot1xmax-useruserbasednodot1xmax-user于端口接入控制userbased的情況；本命令的no操作為恢復(fù)缺省的最多允許10個用戶。dot1xguest-vlannodot1xguest-guestvlandot1xportbasedmodesingle-modenodot1xportbasedmodesingle-mode配置基于portBasenodot1xmacfilterenablenodot1xmacfilterenableno操作為關(guān)閉802.1x的地址過濾功dot1xmacbasedport-down-flushmacdot1x認證down時，刪除該端口上已經(jīng)認證 [interface<interface-name>]nodot1xaccept-mac<mac-[interface<interface-no802.1x的地址過濾表的dot1xeaporenablenoEAP本地終結(jié)的認證方dot1xipv6passthroughnodot1xipv6passthroughuserbased的情況；本命令的no操作為關(guān)閉該功能。 nodot1xwebauthentication打開交換機端口的IPv6透能，用于webbased的情況；本命令no操作為關(guān)閉該功能。與Supplicant(用戶接入設(shè)備)nodot1xmax-reqsupplicant回應(yīng)而重新啟動認證前，發(fā)送EAP-request/MD5dot1xre-authentication設(shè)置允許對supplicant進行周期性重認nonodot1xtimeoutquiet-periodno re-nodot1xtimeoutre-設(shè)置交換機對supplicant重新認證的時間nodot1xtimeouttx-period設(shè)置交換機對supplicant重發(fā)令的no操作用來恢復(fù)缺省值。 re- <interface-設(shè)置對所有端口或某個指定端口進行802.1x重認證（不須等待超時802.1x應(yīng)用舉GuestVlan應(yīng)用Update Authenticator322-13：GuestVLAN2-13所示，1802.1xRADIUS服務(wù)器。UserEthetnet1/0/2Ethernet1/0/2VLAN100內(nèi)；認證服務(wù)器在VLAN2內(nèi)；UpdateServer是用于客戶端軟件和升級的服務(wù)器，在VLAN10內(nèi)；交換機連接Internet網(wǎng)絡(luò)的端口Ethernet1/0/6VLAN5內(nèi)。UpdateUpdateAuthenticator32圖2-14：用戶加入Guest2-14所示，在交換機端口Ethernet1/0/2上開802.1x特性，并配置VLAN10為該端口GuestVLAN，當(dāng)用戶沒有認證或者認證失敗時，端口Ethernet1/0/2被加入到VLAN10中，用戶可以UpdateServer。Update 322-15：用戶上線，VLAN2-15VLAN5，此時，用戶和端口Ethernet1/0/6都在VLAN5內(nèi)，用戶可以Internet。#RADIUSSwitch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghostSwitch(config)#radius-serverkeytestSwitch(config)#aaaenableVLAN100#Switch(config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#dot1xenable####GuestVLAN100通過命令showrunning-config或者showinterfaceethernet1/0/2可以查看認證報文（EAP-Request/Identity）showvlanid100可以查看端口配置的GuestVLAN是否生效。802.1x與IPv4Radius應(yīng)用舉 Radius2-16IEEE802.1x機上安裝IEEE802.1x認證客戶端軟件，并通過使用此軟件來實現(xiàn)IEEE802.1x認證。Switch(config)#interfacevlanSwitch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghostSwitch(config)#radius-serverkeytestSwitch(config)#aaaenableSwitch(config)#aaa-accountingenableSwitch(config)#dot1xenableSwitch(config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#dot1xenable802.1x與IPv6Radius應(yīng)用舉 Radius2-17IPv6Radius1/0/21/0/2IEEE802.1x認證功能，接入方MACIP2004:1:2:3::2，并將除端口1/0/2以外的任意一個端口與RADIUS認證服務(wù)器相連接，RADIUS認證服務(wù)器的IP地址設(shè)置為2004:1:2:3::3，認證、計費端口為缺省端口1812和端口1813。計算機上安裝IEEE802.1x認證客戶端軟件，并通過使用此軟件來實現(xiàn)IEEE802.1x認證。Switch(config)#interfacevlanSwitch(config)#radius-serverauthenticationhost2004:1:2:3::3Switch(config)#radius-serveraccountinghost2004:1:2:3::3Switch(config)#radius-serverkeytestSwitch(config)#aaaenableSwitch(config)#aaa-accountingenableSwitch(config)#dot1xenableSwitch(config)#interfaceethernet1/0/2基于802.1x的Web認證應(yīng)用舉WebServer

VLAN VLAN

RADIUSServeriVLAN

2-18802.1xWeb在上述網(wǎng)絡(luò)拓撲圖中，SWITCH1的端口Ethernet1/0/1與Web服務(wù)器（IP地址為8/24，認證端口為1812）PC通過一團不可知的網(wǎng)絡(luò)云與SWITCH1的端Ethernet1/0/16相連。Web服務(wù)器和認證服務(wù)器處于VLAN1中，PCVLAN2中。可通過下面的配置啟動基于802.1x的Web認證。重認證機制默認是關(guān)閉的，要打開重認證功能要執(zhí)行相應(yīng)的802.1x配置命令。SWITCH1配置任務(wù)序列：Switch(config)#dot1xenableSwitch(config)#dot1xwebredirectSwitch(config)#interfaceethernet1/0/16Switch(Config-If- 802.1x排錯幫802.1xsupplicant軟件后，端口仍不能改變?yōu)檎J證通過狀態(tài)的情況?？赡艿脑?02.1x的情況，請檢查交換機的認證端口是否運行macRADIUS服務(wù)器，交換機與802.1x客戶機之間是否相互連通；檢查交換機端口VLAN的配置。 通過查看RADIUS服務(wù)器的事件日志，判斷問題的起因。在事件日志中對登錄不成功則修改radius-serverkey參數(shù)；如果事件日志中顯示沒有該authenticator，則需在RADIUS服務(wù)器中增加該authenticator；如事件日志中提示沒有該登錄用戶，說明用 基于802.1x的Web認證默認是關(guān)閉的。打開基于802.1x的Web認證后，可以同時打開調(diào)試開關(guān)debugdot1x來查看調(diào)試信息。 showdot1x802.1x 基于802.1x的Web認證的整個交換機最多能實現(xiàn)1024個認證成功用戶同時， 第3口、VLAN中MAC、IP數(shù)量限制端口、VLAN中MAC、IP數(shù)量限制功能MAC地址表是標(biāo)識目的MAC地址與交換機端口之間關(guān)系的表，其MAC地址分為MACMACMAC地址由用戶配置，具有最高優(yōu)先級（不能被動態(tài)MAC地址覆蓋）且生效；動態(tài)MAC地址由交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀的過程中學(xué)習(xí),表項，交換機將數(shù)據(jù)幀從相應(yīng)端口轉(zhuǎn)發(fā)；否則，交換機將數(shù)據(jù)幀在其所屬VLAN內(nèi)廣播。MACMACMAC地址老化后，則進行廣播處理。在我們目前的交換機中，端口上對MAC地址的數(shù)量沒有限制，允許一個端口配置或者學(xué)習(xí)多MAC地址，直到硬件表項填滿為了限制端口MAC地址，我們需要限制端口的MAC地址數(shù)量。INTERFACEVLANARP、NDMAC地址存在。每一個VLAN上的用戶數(shù)量過配置允許的用戶數(shù)量。對MAC、ARP表項進行限制可以在一定程度上防止DOS。當(dāng)用戶頻繁發(fā)動對數(shù)量進行限制，可以預(yù)防DOS的發(fā)生。將可以通過配置命令控制端口的MAC地址的數(shù)量，同時可以通過配置命令控制端口和VLAN中的ARP、ND表項的數(shù)量。MACMAC地址，如果大于等于允許最大動態(tài)MAC數(shù)量時，這時仍然可以繼續(xù)學(xué)習(xí)。動態(tài)IP數(shù)量限制，對于交換機已經(jīng)動態(tài)學(xué)習(xí)到的ARP、ND，如果大于等于允許學(xué)習(xí)的最大動態(tài)ARP、ND數(shù)量時，則可以關(guān)閉該端口的ARP、ND學(xué)習(xí)功能，如果少于允許學(xué)習(xí)的最大動態(tài)ARP、ND數(shù)量時，這時仍然可以繼續(xù)學(xué)習(xí)。接口MAC、ARP、ND數(shù)量的限制如果少于允許學(xué)習(xí)的最大動態(tài) 中所有端口仍然可以繼續(xù)學(xué)習(xí)（特殊端口除外動態(tài)IP數(shù)量限制，對于交換機已經(jīng)動態(tài)學(xué)習(xí)到的ARP、ND，如果大于等于允許學(xué)習(xí)的最大動態(tài)ARP、ND數(shù)量時，則該VLAN不會學(xué)習(xí)新的ARP、ND，如果少于允許學(xué)習(xí)的最大動態(tài)ARP、ND數(shù)量時，這時仍然可以繼續(xù)學(xué)習(xí)。端口、VLAN中MAC、IP數(shù)量限制功能配置任務(wù)序um<value>noswitchportmac-addressswitchportarpdynamicnoswitchportarpdynamicswitchportnddynamicnoswitchportnddynamicVLAN配置vlanmac-addressdynamicnovlanmac-addressdynamicVLANMAC數(shù)量限制功iparpdynamicum<value>noiparpdynamicum啟動和關(guān)閉VLAN中ARP數(shù)量限制ipv6nddynamic noipv6nddynamic 啟動和關(guān)閉VLANNEIGHBORmac-addressquerytimeoutswitchportmac-addressviolationnoswitchportmac-address為恢復(fù)違背模式為protect。顯示和調(diào)試端口上MAC、IPshowmac-addressdynamic{vlan<vlan-id>|interface<portName>showarp-dynamic{vlan<vlan-id>|interface<portName>shownd-dynamic{vlan<vlan-id>|interface<portName>顯示相應(yīng)端口、VLAN中的動態(tài)NEIGHBORdebugswitchportmaccountnodebugswitchportmaccountdebugswitchportarpcountnodebugswitchportarpcountdebugswitchportndcountnodebugswitchportndcount端口NEIGHBORdebugvlanmaccountnodebugvlanmaccountdebugiparpcountnodebugiparpcountdebugipv6ndcountnodebugipv6ndcountVLANMAC數(shù)量限制時，各種端口、VLAN中MAC、IP數(shù)量限制功能典型案SWITCHSWITCHSWITCH 3-1端口、VLANMAC、IPIP數(shù)量限制功能前，在系統(tǒng)硬件允許的情況下，SWITCHA，SWITCHB可以得到所有PCMAC、ARP、NDMAC、ARPDOS從而導(dǎo)致DOS的發(fā)生。對MAC、ARP、ND表項數(shù)量進行限制，可以預(yù)防DOSSWITCHAEthernet1/0/1上最大可以20個動態(tài)MAC地址、20ARP地址、10NEIGHBOR表項，VLAN130MAC地址，30ARP地址、20個NEIGHBOR表項。Switch(config)#interfaceethernetSwitch(Config-If-Ethernet1/0/1)#switchportmac-addressdynamicum20Switch(Config-If-Ethernet1/0/1)#switchportarpdynamic um20Switch(Config-If-Ethernet1/0/1)#switchportnddynamicum10Switch(Config-if-Vlan1)#vlanmac-addressdynamicum30端口、VLAN中MAC、IP數(shù)量限制功能排錯幫綁定端口。MACMAC地址數(shù)如果在正常配置下，啟動了端口、VLANMAC、IP數(shù)量限制功能后，可以debug第4章AM功能操作配AMAM（AccessManagement－管理）是指當(dāng)交換機收到IP報文或ARP報文時，它用收到報文的信息（IPMAC-IP地址）與配置硬件地址池相比較，如果在配置硬件地址池中找到與收到的報文相匹配的的信息（IPMAC-IP地址）則轉(zhuǎn)發(fā)該報文，否則丟棄。之所以在基于源IP地址的管理上增加基于源MAC-IP的管理，是因為對主機而言，IPIPIP地址改所以為了防止用戶修改主機IP地址來使本主機發(fā)出的報文能被交換機轉(zhuǎn)發(fā)，MAC-IP能通過該端口轉(zhuǎn)發(fā)，增強了用戶對的。AM配置轉(zhuǎn)發(fā)配置轉(zhuǎn)發(fā)MAC-IP或MAC-IPAMamenable啟動某端AMamportnoamport啟動/關(guān)閉端AM功能，端口AM功能啟動后，默認所有的IP報文與ARP報文轉(zhuǎn)發(fā)。配置轉(zhuǎn)amip-pool<ip-address><num>noamip-pool<ip-address><num>配置轉(zhuǎn)MAC- mac-ip- <mac- mac-ip- <mac-IPMAC-IP或全noamall[ip-pool|mac-ip-MAC-IPAMAM 4