【交换机端口安全技术 】

一、交换机端口安全技术
1、802.1X的基本原理和配置
IEEE 802.1X 标准(以下简称 802.1X)是一种基于端口的网络接入控制(Port Based
Network Access Control)协议,IEEE 于 2001 年颁布该标准文本并建议业界厂商使用其中的
协议作为局域网用户接入认证的标准协议。

2、802.1X的体系结构
 本地认证
由设备端内置本地服务器对客户端进行认证

 远程集中认证
由远程的认证服务器对客户端进行认证
在这里插入图片描述
使用 802.1X 的系统为典型的客户端/服务器体系结构,包括三个实体,如上图所示分别为:
客户端(Supplicant System)、设备端(Authenticator System)以及认证服务器(Authentication
Server System)。

 客户端:安装有 802.1X 客户端软件的用户终端设备。用户通过客户端软件发起 802.1X
认证。客户端必须支持 EAPOL(Extensible Authentication Protocol over LANs,局
域网上的可扩展认证协议)。

 设备端:通常为支持 802.1X 协议的网络设备,它为客户端提供接入局域网的端口,
如支持 802.1X 协议的交换机。认证通过后,设备端开放端口,客户端能够访问网络。

 认证服务器:能够对用户实现进行认证、授权和计费功能。

认证服务器可分为本地认证服务器和远程集中认证服务器,分别适用于不同场合:
 本地认证服务器通常集成在设备端上。设备端内置的认证服务器对客户端进行认证,
认证通过后开放端口。本地认证方式适用于网络规模小,客户端数量不多的情况下;
但用户信息数据库分散在设备本地上,维护管理不便。

 远程集中认证服务器通常是一台专门的认证服务器。设备端把客户端信息发送到远程
认证服务器,由服务器查找用户信息数据库后返回消息给设备端。在远程集中认证方
式下,用户信息数据库能够集中管理,维护管理方便,适用于较大规模网络中。

3、端口接入控制方式
 基于端口的认证方式
采用基于端口方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就
可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

 基于MAC的认证方式
当采用基于 MAC 方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,
也只有该用户无法使用网络。
默认情况下,802.1X 在端口上进行接入控制方式为基于 MAC 地址的认证方式。

基本配置

[Switch] dot1x   			开启全局的802.1X特性

[Switch-Ten-GigabitEthernet1/0/1] dot1x开启端口的802.1X特性

[Switch] local-user user-name class network
[Switch- luser-network-localuser] service-type lanaccess
[Switch-luser-network-localuser] password { 
cipher | simple } password添加本地接入用户并设置相关参数

802.1X典型配置举例
【交换机端口安全技术 】_第1张图片
【交换机端口安全技术 】_第2张图片
在上图中,PC 连接到交换机的端口 E1/0/1 上。交换机启用 802.1X 来对 PC 接入进行认
证,认证方式为本地认证。

配置 SWA: 
[SWA]dot1x 
[SWA]interface GigabitEthernet 1/0/1 
[SWA-GigabitEthernet1/0/1]dot1x 
[SWA]local-user localuser class network 
[SWA-luser-network-localuser]password simple hello 
[SWA-luser-network-localuser]service-type lan-access

配置完成后,在 PC 上打开 802.1X 认证客户端软件,按照提示输入用户名 localuser 和密
码 hello 后,PC 就能够接入网络了。

端口隔离技术及其配置
1、端口隔离简介
 端口隔离用于在VLAN内隔离以太网端口

为了实现报文之间的二层隔离,可以将不同的端口加入不同的 VLAN,但会浪费有限的
VLAN 的资源。采用端口隔离特性,可以实现同一 VLAN 内端口之间的隔离。用户只需要将端
口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供
了更安全、更灵活的组网方案。

用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组内端口之间二层数据的
隔离。

端口隔离基本配置

[switch]port-isolate group 1         创建隔离组
[Switch-Ethernet1/0/1] port-isolate enable group 1	 将指定端口加入到隔离组中,端口成为
隔离组的普通端口

端口隔离配置举例
【交换机端口安全技术 】_第3张图片
图中网络中,PCA、PCB、PCC 分别与交换机的端口 Ethernet1/0/2、Ethernet1/0/3、
Ethernet1/0/4 相连,服务器与端口 Ethernet1/0/1 相连。在交换机配置端口隔离。

配置交换机: 
[SWA] port-isolate group 2 
[SWA]interface ethernet1/0/2 
[SWA-Ethernet1/0/2] port-isolate enable group 2 
[SWA]interface ethernet1/0/3 
[SWA-Ethernet1/0/3] port-isolate enable group 2 
[SWA]interface ethernet1/0/4 
[SWA-Ethernet1/0/4] port-isolate enable group 2

配置完成后,网络中 PCA、PCB、PCC 之间被隔离,不能互相访问;但所有的 PC 都能
够访问服务器

你可能感兴趣的:(安全,服务器,网络)