交換機端口安全技術(shù)講義課件

H3C交換機端口安全技術(shù)講義[TOIP解決方案專家交換機端口安全技術(shù)講義H3C交換機端口安全技術(shù)講義[TOIP解決方案專家目錄第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置■第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置8021X協(xié)議起源H3C802.1x協(xié)議起源于802.11協(xié)議,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議,802.1x協(xié)議的全稱是基于端口的訪問控制協(xié)議,主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題,它通過控制端口訪問節(jié)點來提供無線局域網(wǎng)用戶接入認證和安全性,隨著局域網(wǎng)寬帶接入的不斷普及,局域網(wǎng)接入用戶需要進行認證的要求越發(fā)迫切,802.1X現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入H3C交換機端口安全技術(shù)講義H3C1目錄第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置■第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄28021X協(xié)議起源H3C802.1x協(xié)議起源于802.11協(xié)議,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議,802.1x協(xié)議的全稱是基于端口的訪問控制協(xié)議,主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題,它通過控制端口訪問節(jié)點來提供無線局域網(wǎng)用戶接入認證和安全性,隨著局域網(wǎng)寬帶接入的不斷普及,局域網(wǎng)接入用戶需要進行認證的要求越發(fā)迫切,802.1X現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入8021X協(xié)議起源38021x協(xié)議簡介H3C●802.1X協(xié)議首先是一個認證協(xié)議,是一種對用戶進行認證的方法和策略8021×協(xié)議是lEE為了解決基于端口的接入控制而定義的一個標(biāo)準(zhǔn)8021X的認證的最終目的就是確定一個端口是否可用對于一個端口,如果認證成功那么就“打開”這個端口,允許所有的報文通過;如果認證不成功就使這個端口保持“關(guān)閉”,此時只允許802.1x的認證報文EAPOL(EXtensibleAuthenticationProtocoloverLAN)通過。8021x協(xié)議簡介48021x協(xié)議簡介H3C8021x認證系統(tǒng)組成OverRadiORStandaRadiusEAPOAuthenticatorAuthenticationserverSupplicant8021x協(xié)議簡介58021X體系結(jié)構(gòu)H3CapplicantSystemAuthenticatoAuthenticationServe設(shè)備端棵供的務(wù)備PA證服務(wù)器PAE:認證機制中負責(zé)處理算法和協(xié)議的實體EAP:Extensibleauthenticationprotoc8021X體系結(jié)構(gòu)68021X體系結(jié)構(gòu)H3C受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口1.非受控端口:始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,保證客戶端始終能夠發(fā)出或接受認證2受控端口:在授權(quán)狀態(tài)下處于連通狀態(tài),用于傳遞業(yè)務(wù)報文;在非授權(quán)狀態(tài)下處于斷開狀態(tài),禁止傳遞任何報文8021X體系結(jié)構(gòu)78021X體系結(jié)構(gòu)H3C端口受控方向92.168雙向受控雙向受控對受控端口的輸入流和輸岀流都進行控制,在端口未授權(quán)前兩個方向的流量都不能通過受控端口單向受控我司產(chǎn)品在實現(xiàn)時,對端口在非授權(quán)狀態(tài)下,實行入方向單向受控,即禁止從客戶端接收幀,但允許向客戶端發(fā)送幀。因此常常會發(fā)現(xiàn),端口由授權(quán)狀態(tài)轉(zhuǎn)變成非授權(quán)狀態(tài)后,用戶主機的|PTv客戶端仍然可以持續(xù)播放視頻幾分鐘,就是這個原因。但由于收不到用戶主機發(fā)來的組播組成員報告,隨著組播組的老化被刪除,最終|PTV被中斷8021X體系結(jié)構(gòu)88021x的工作方式H3CRADIUS協(xié)議承載的AP/PAP/CHAP交客戶端PAE設(shè)備端PAE認證服務(wù)器客戶端和設(shè)備端通過EAPOL幀來交互消2設(shè)備端和認證服務(wù)器端可以通過EAP中繼方式或EAP終結(jié)方式交互信息3設(shè)備端和認證服務(wù)器端可以分布在兩個不同的實體上也可以集中在同一個實體上8021x的工作方式98021x端口受控方式H3C基于端口的認證方式基于MAc的認證方式啟用802.1X認證的端口下只通過認證的用戶可以使用網(wǎng)要有一個用戶通過了認證則絡(luò)資源,沒有通過的用戶則該端口打開,其余下掛在這不能,即使他們都接入了同個端口下的用戶也可以通過個端口這個端口傳輸數(shù)據(jù)兩種端口受控方式基于端口的認證:只要該物理端口下的第一個用戶認證成功后其他接入用戶無須認證就可使用網(wǎng)絡(luò)資源,當(dāng)?shù)谝粋€用戶下線后其他用戶也會被拒絕使用網(wǎng)絡(luò)。2.基于MAC地址認證:該物理端口下的所有接入用戶都需要單獨認證。當(dāng)某個用戶下線時,也只有該用戶無法使用網(wǎng)絡(luò)8021x端口受控方式10交換機端口安全技術(shù)講義課件11交換機端口安全技術(shù)講義課件12交換機端口安全技術(shù)講義課件13交換機端口安全技術(shù)講義課件14交換機端口安全技術(shù)講義課件15交換機端口安全技術(shù)講義課件16交換機端口安全技術(shù)講義課件17交換機端口安全技術(shù)講義課件18交換機端口安全技術(shù)講義課件19交換機端口安全技術(shù)講義課件20交換機端口安全技術(shù)講義課件21交換機端口安全技術(shù)講義課件22交換機端口安全技術(shù)講義課件23交換機端口安全技術(shù)講義課件24交換機端口安全技術(shù)講義課件25交換機端口安全技術(shù)講義課件26交換機端口安全技術(shù)講義課件27交換機端口安全技術(shù)講義課件28交換機端口安全技術(shù)講義課件29交換機端口安全技術(shù)講義課件30交換機端口安全技術(shù)講義課件31交換機端口安全技術(shù)講義課件32交換機端口安全技術(shù)講義課件33交換機端口安全技術(shù)講義課件34交換機端口安全技術(shù)講義課件35交換機端口安全技術(shù)講義課件36交換機端口安全技術(shù)講義課件37交換機端口安全技術(shù)講義課件38交換機端口安全技術(shù)講義課件39交換機端口安全技術(shù)講義課件40交換機端口安全技術(shù)講義課件41交換機端口安全技術(shù)講義課件42交換機端口安全技術(shù)講義課件43交換機端口安全技術(shù)講義課件44交換機端口安全技術(shù)講義課件45交換機端口安全技術(shù)講義課件46交換機端口安全技術(shù)講義課件47交換機端口安全技術(shù)講義課件48交換機端口安全技術(shù)講義課件49交換機端口安全技術(shù)講義課件50交換機端口安全技術(shù)講義課件51交換機端口安全技術(shù)講義課件52交換機端口安全技術(shù)講義課件53交換機端口安全技術(shù)講義課件54交換機端