交換機(jī)端口安全技術(shù)講義課件

H3C交換機(jī)端口安全技術(shù)講義[TOIP解決方案專家交換機(jī)端口安全技術(shù)講義H3C交換機(jī)端口安全技術(shù)講義[TOIP解決方案專家目錄第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置■第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置8021X協(xié)議起源H3C802.1x協(xié)議起源于802.11協(xié)議,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議,802.1x協(xié)議的全稱是基于端口的訪問控制協(xié)議,主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題,它通過控制端口訪問節(jié)點(diǎn)來提供無線局域網(wǎng)用戶接入認(rèn)證和安全性,隨著局域網(wǎng)寬帶接入的不斷普及,局域網(wǎng)接入用戶需要進(jìn)行認(rèn)證的要求越發(fā)迫切,802.1X現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入H3C交換機(jī)端口安全技術(shù)講義H3C1目錄第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置■第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄28021X協(xié)議起源H3C802.1x協(xié)議起源于802.11協(xié)議,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議,802.1x協(xié)議的全稱是基于端口的訪問控制協(xié)議,主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題,它通過控制端口訪問節(jié)點(diǎn)來提供無線局域網(wǎng)用戶接入認(rèn)證和安全性,隨著局域網(wǎng)寬帶接入的不斷普及,局域網(wǎng)接入用戶需要進(jìn)行認(rèn)證的要求越發(fā)迫切,802.1X現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入8021X協(xié)議起源38021x協(xié)議簡介H3C●802.1X協(xié)議首先是一個認(rèn)證協(xié)議,是一種對用戶進(jìn)行認(rèn)證的方法和策略8021×協(xié)議是lEE為了解決基于端口的接入控制而定義的一個標(biāo)準(zhǔn)8021X的認(rèn)證的最終目的就是確定一個端口是否可用對于一個端口,如果認(rèn)證成功那么就“打開”這個端口,允許所有的報(bào)文通過;如果認(rèn)證不成功就使這個端口保持“關(guān)閉”,此時只允許802.1x的認(rèn)證報(bào)文EAPOL(EXtensibleAuthenticationProtocoloverLAN)通過。8021x協(xié)議簡介48021x協(xié)議簡介H3C8021x認(rèn)證系統(tǒng)組成OverRadiORStandaRadiusEAPOAuthenticatorAuthenticationserverSupplicant8021x協(xié)議簡介58021X體系結(jié)構(gòu)H3CapplicantSystemAuthenticatoAuthenticationServe設(shè)備端棵供的務(wù)備PA證服務(wù)器PAE:認(rèn)證機(jī)制中負(fù)責(zé)處理算法和協(xié)議的實(shí)體EAP:Extensibleauthenticationprotoc8021X體系結(jié)構(gòu)68021X體系結(jié)構(gòu)H3C受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口1.非受控端口:始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,保證客戶端始終能夠發(fā)出或接受認(rèn)證2受控端口:在授權(quán)狀態(tài)下處于連通狀態(tài),用于傳遞業(yè)務(wù)報(bào)文;在非授權(quán)狀態(tài)下處于斷開狀態(tài),禁止傳遞任何報(bào)文8021X體系結(jié)構(gòu)78021X體系結(jié)構(gòu)H3C端口受控方向92.168雙向受控雙向受控對受控端口的輸入流和輸岀流都進(jìn)行控制,在端口未授權(quán)前兩個方向的流量都不能通過受控端口單向受控我司產(chǎn)品在實(shí)現(xiàn)時,對端口在非授權(quán)狀態(tài)下,實(shí)行入方向單向受控,即禁止從客戶端接收幀,但允許向客戶端發(fā)送幀。因此常常會發(fā)現(xiàn),端口由授權(quán)狀態(tài)轉(zhuǎn)變成非授權(quán)狀態(tài)后,用戶主機(jī)的|PTv客戶端仍然可以持續(xù)播放視頻幾分鐘,就是這個原因。但由于收不到用戶主機(jī)發(fā)來的組播組成員報(bào)告,隨著組播組的老化被刪除,最終|PTV被中斷8021X體系結(jié)構(gòu)88021x的工作方式H3CRADIUS協(xié)議承載的AP/PAP/CHAP交客戶端PAE設(shè)備端PAE認(rèn)證服務(wù)器客戶端和設(shè)備端通過EAPOL幀來交互消2設(shè)備端和認(rèn)證服務(wù)器端可以通過EAP中繼方式或EAP終結(jié)方式交互信息3設(shè)備端和認(rèn)證服務(wù)器端可以分布在兩個不同的實(shí)體上也可以集中在同一個實(shí)體上8021x的工作方式98021x端口受控方式H3C基于端口的認(rèn)證方式基于MAc的認(rèn)證方式啟用802.1X認(rèn)證的端口下只通過認(rèn)證的用戶可以使用網(wǎng)要有一個用戶通過了認(rèn)證則絡(luò)資源,沒有通過的用戶則該端口打開,其余下掛在這不能,即使他們都接入了同個端口下的用戶也可以通過個端口這個端口傳輸數(shù)據(jù)兩種端口受控方式基于端口的認(rèn)證:只要該物理端口下的第一個用戶認(rèn)證成功后其他接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源,當(dāng)?shù)谝粋€用戶下線后其他用戶也會被拒絕使用網(wǎng)絡(luò)。2.基于MAC地址認(rèn)證:該物理端口下的所有接入用戶都需要單獨(dú)認(rèn)證。當(dāng)某個用戶下線時,也只有該用戶無法使用網(wǎng)絡(luò)8021x端口受控方式10交換機(jī)端口安全技術(shù)講義課件11交換機(jī)端口安全技術(shù)講義課件12交換機(jī)端口安全技術(shù)講義課件13交換機(jī)端口安全技術(shù)講義課件14交換機(jī)端口安全技術(shù)講義課件15交換機(jī)端口安全技術(shù)講義課件16交換機(jī)端口安全技術(shù)講義課件17交換機(jī)端口安全技術(shù)講義課件18交換機(jī)端口安全技術(shù)講義課件19交換機(jī)端口安全技術(shù)講義課件20交換機(jī)端口安全技術(shù)講義課件21交換機(jī)端口安全技術(shù)講義課件22交換機(jī)端口安全技術(shù)講義課件23交換機(jī)端口安全技術(shù)講義課件24交換機(jī)端口安全技術(shù)講義課件25交換機(jī)端口安全技術(shù)講義課件26交換機(jī)端口安全技術(shù)講義課件27交換機(jī)端口安全技術(shù)講義課件28交換機(jī)端口安全技術(shù)講義課件29交換機(jī)端口安全技術(shù)講義課件30交換機(jī)端口安全技術(shù)講義課件31交換機(jī)端口安全技術(shù)講義課件32交換機(jī)端口安全技術(shù)講義課件33交換機(jī)端口安全技術(shù)講義課件34交換機(jī)端口安全技術(shù)講義課件35交換機(jī)端口安全技術(shù)講義課件36交換機(jī)端口安全技術(shù)講義課件37交換機(jī)端口安全技術(shù)講義課件38交換機(jī)端口安全技術(shù)講義課件39交換機(jī)端口安全技術(shù)講義課件40交換機(jī)端口安全技術(shù)講義課件41交換機(jī)端口安全技術(shù)講義課件42交換機(jī)端口安全技術(shù)講義課件43交換機(jī)端口安全技術(shù)講義課件44交換機(jī)端口安全技術(shù)講義課件45交換機(jī)端口安全技術(shù)講義課件46交換機(jī)端口安全技術(shù)講義課件47交換機(jī)端口安全技術(shù)講義課件48交換機(jī)端口安全技術(shù)講義課件49交換機(jī)端口安全技術(shù)講義課件50交換機(jī)端口安全技術(shù)講義課件51交換機(jī)端口安全技術(shù)講義課件52交換機(jī)端口安全技術(shù)講義課件53交換機(jī)端口安全技術(shù)講義課件54交換機(jī)端