第4章交换机安全配置

第4章交换机安全配置学习目标清楚交换机端口的重要性；掌握交换机的端口绑定功能,能够控制用户的非法接入；能够使用交换机的DAI功能防止ARP欺骗；能够根据实验拓扑连接网络；熟悉交换机的基本配置，并能根据故障诊断方法解决实验中遇到的基本问题。学习内容4.1交换机端口安全概述4.2实训4-1：交换机的端口安全配置4.3实训4-2：ARP攻击与防御4.4802.1x安全网络接入4.5实训4-4：配置交换机保护功能4.6实训4-5：交换机端口镜像与监听4.1交换机端口安全概述4.1交换机端口安全概述接入安全—保护端口概述禁止交换机端口之间的通讯（二层）保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯4.1交换机端口安全概述接入安全—全局地址绑定概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络应用场景4.1交换机端口安全概述接入安全—端口安全概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN4.1交换机端口安全概述DHCP监听概述DHCP嗅探（Snooping）功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口：拒绝DHCP回应报文信任口：允许DHCP回应报文默认角色：非信任口4.1交换机端口安全概述ARP的作用将IP地址映射到MAC地址4.1交换机端口安全概述ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法4.1交换机端口安全概述ARP攻击攻击者不但伪造网关，而且进行数据重定向4.1交换机端口安全概述DAIDAI（DynamicARPInspection）与ARP检查一样，用于防止ARP欺骗ARP检查需要静态配置安全地址DAI依赖于DHCPSnooping数据库要使用DAI，需要部署DHCP环境4.1交换机端口安全概述DAIDAI端口DAITrust端口:不检查ARP报文DAIUntrust端口:检查所有收到的ARP报文4.2实训4-1：交换机的端口安全配置4.3实训4-2：ARP攻击与防御4.4802.1x安全网络接入4.4802.1x安全网络接入AAA介绍AAA是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架AAA主要解决的是网络安全访问控制的问题Authentication：认证模块可以验证用户是否可获得访问权。Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。4.4802.1x安全网络接入AAA基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分4.4802.1x安全网络接入AAA配置启用AAARouter(config)#aaanew-model配置验证列表Router(config)#aaaauthenticationservice{default|list-name}method1[method2…]应用验证列表Router(config-line)#loginauthentication{default|list-name}将验证列表应用到PPP接口：Router(config-if)#pppauthentication{default|list-name}4.4802.1x安全网络接入RAIDUS概述RADIUS(RemoteAuthenticationDialInUserService远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议4.4802.1x安全网络接入RADIUS认证过程4.4802.1x安全网络接入配置RADIUS配置RADIUS服务器Router(config)#radius-serverhostip-address[auth-portport|acct-portport]*配置RADIUS服务器认证密钥Router(config)#radius-serverhostkey{0string|7string|string}配置服务器组Router(config)#aaagroupserverradiusgroup-name将RADIUS服务器加入到服务器组中：Router(config-gs-radius)#radius-serverhostip-address[auth-portport|acct-portport]*4.4802.1x安全网络接入AAA及RADIUS配置示例在拓扑中，需要对远程登录到NAS设备上的用户进行AAA认证。认证方法首先使用RADIUS进行验证，如果RADIUS无法访问，则进行本地验证。4.4802.1x安全网络接入802.1x介绍802.1x是一个Client/Server结构802.1x认证体系中的组件恳求者系统（SupplicantSystem）认证系统（AuthenticatorSystem）认证服务器系统（AuthenticationServerSystem）4.4802.1x安全网络接入802.1x工作机制概述在客户端与交换机之间，EAP协议报文（承载认证信息）直接被封装到LAN协议中在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态4.4802.1x安全网络接入802.1x基本配置启用AAA（Authentication、Authorization、Accounting）aaanew-model802.1x的实现基于AAA配置RADIUS服务器地址radius-serverhostip-address[auth-portnumber|acct-portnumber]*默认情况下，认证和授权端口为1812，计费端口为1813可以添加多个RADIUS服务器4.4802.1x安全网络接入802.1x基本配置配置RADIUS服务器秘钥radius-serverhostkey{0string|7string|string}要使交换机与RADIUS服务器之前正常工作，需配置RADIUS服务器认证秘钥秘钥必须与RADIUS服务器上配置的一致配置802.1x认证列表aaaauthenticationdot1x{default|list-name}method1[method2…]启用802.1xSwitch(config-if)#dot1xport-controlauto调用验证列表dot1xauthentication{default|list-name}4.4802.1x安全网络接入802.1x认证典型配置示例4.5实训4-4：配置交换机保护功能4.6实训4-5：交换机端口镜像与监听