常用的技术有:
acl 、AAA、 dotlx、MAC绑定、arp绑定、am
安全技术1:ACL
ACL: ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。
基本ACL:只根据三层源IP地址制定规则。
高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule deny source 1.1.1.1 0
[Quidway] acl number 3000
禁止192.168.10.100与192.168.10.200通信
192.168.10.100的MAC地址为:00ae-1dd6-456d 对应的接口为eth1
acl number 4000
rule 10 deny ingress 00ae-1dd6-456d 0000-0000-0000 interface Ethernet 0/1 egress 121a-8a2e-c009 0000-0000-0000 interface Ethernet 0/2
安全技术2:AAA
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
1.哪些用户可以访问网络服务器
2.具有访问权的用户可以得到哪些服务。
3.如何对正在使用网络资源的用户进行计费。
认证功能:
支持的认证方式:1.不认证 2.本地认证 3.远程认证
授权功能:
授权方式:1.直接授权 2.本地授权 3.RADIUS认证成功后授权 4.HWTACACS授权
计费功能:
1.不计费 2.远端计费
案例:
配置要求: 通过配置交换机实现对登录交换机的Telnet用户进行本地认证。
配置方法:
创建本地用户telnet
local-user user1
service-type telnet level 3
配置Telnet用户采用AAA认证方式。
配置缺省system域采用的认证方式。
802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中,主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议。
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。
Quidway系列交换机支持以下两种端口受控方式:基于端口的认证,基于MAC的认证。
组网要求:
1.在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是 基于MAC地址的接入控制
2. 本地802.1x接入用户的用户名为localuser,密码为localuser,使用明文输入,闲置切断功能处于打开状
拓扑图:
配置方法:
开启指定端口Ethernet 1/0/1的802.1x特性。
设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
创建RADIUS方案radius1并进入其视图。
设置主认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
设置备份认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
设置系统与认证RADIUS服务器交互报文时的加密密码。
设置系统与计费RADIUS服务器交互报文时的加密密码。
设置系统向RADIUS服务器重发报文的时间间隔与次数。
设置系统向RADIUS服务器发送实时计费报文的时间间隔。
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
创建域abc.net并进入其视图。
指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[Sysname-isp-abc.net] scheme radius-scheme radius1 local
设置该域最多可容纳30个用户。
启动闲置切断功能并设置相关参数。
配置域aabbcc.net为缺省用户域。
添加本地接入用户。
[Sysname-luser-localuser] password simple localuser
安全技术4:MAC地址绑定
配置要求:管理员希望在端口eth0/2上对用户经行端口绑定,以控制用户访问Internet
配制方法:mac static 1111-2222-3333 interface ethernet 0/2 vlan 1
安全技术5:ARP绑定
ARP,即地址解析协议,实现通过IP地址得知其物理地址。目前对于ARP***防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。下面来了解以下三种方法:静态绑定、Antiarp和具有ARP防护功能的路由器。
案例1:静态绑定
system-vew
arp static ip-address mac-address [ vlan-id interface-type interface-number ]
安全技术6:AM