定制培训教材_第7章_安全控制技术

1第7章_安全控制技术802.1x认证MAC-PORT绑定技术IP-PORT绑定技术OSPF邻居关系认证BGP邻居关系认证2802.1x协议的开发背景802.1x起源于EAPoW，802.11802.1x是IEEE为了解决基于端口的接入控制（Port-BasedNetworkAccessControl）而定义的一个标准可以加强传统园区网安全性特性，适用于以太接入运营网的安全认证，廉价而且易于实现协议状态：Draft11，协议号已经分配世界著名网络厂家都在加紧研究WindowsXP支持客户端3客户端认证系统认证服务器802.1x协议的体系结构4端口的类型设备的每个端口同时有Controlled和Uncontrolled两个通道Controlled通道受配置寄存器或者认证前后软件的控制Uncontrolled通道主要用于传送认证的协议报文5受控端口的状态变化用户通过认证后，受控端口闭合，端口状态为通过认证状态，此时交换机的交换功能打开，用户的业务报文就可以顺利通过用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，如果用户有业务报文是无法通过的6802.1x中的名词定义Supplicant－客户端客户端指LAN所连接的一端的实体，它向认证系统发起请求，对其身份的合法性进行检验Authenticator－认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体AuthenticationServer－认证服务器认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务7802.1X中的名词定义（续）NetworkAccessPort－网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址PortAccessEntity(PAE)－端口访问实体指一个端口的相关协议实体。PAE能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备System－系统系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统8802.1x协议的工作机制123456789109802.1x协议尚需完善的工作机制认证发起（用户和认证系统均可发起）退出已认证态（用户“下线”）重新认证（根据时间）认证包丢失重传与不支持802.1x的设备的兼容EAP包被Relay到AuthenticationServer加密EAPOL认证报文的传送10802.1x协议的优点802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求11•隔离•计费•防假冒•QOS•地址分配•多ISP选择AAAPolicy-Server/BillingFlex5210系列AuthenticatorUserUserUserEAPOverRadiusVLAN参数CAR参数优先级用户访问控制列表802.1x中交换与控制的分离12SiSiFlexHammeruHammer其它厂家L2PC1PC2PC3PC4PC5PC6L2EAPOLEAPOLEAPOL透传ISP1ISP1AAADHCPEAPOL透传Authenticator港湾网络802.1x解决方案802.1x在FlexHammer上实现L2是普通的以太网交换机，需要对EAPOL帧作透传，不能丢弃。对L2的VLAN支持无需求。Flex将不同的MAC作为不同的端口进行控制13GE/FERadiusserver宽带IP城域网uHammer1016FlexHammerBigHammerFEFEDHCPServer802.1x请求○1DHCPRelay○5○3○4Radius返回认证结果○2建立动态ACL带宽优先级向Radius发送计费信息○6802.1x发送logoff请求下线用户死机或异常可设时间ARP方式握手检查终止计费○7认证通过，受控端口打开客户端软件发送dhcp请求802.1x的实际应用：城域网14FlexHammeruHammer1016uHammer24ServerFarmuHammer24AuthenticatoruHammer24uHammer1016uHammer1016uHammer1016IP网uHammer1016uHammer1016uHammer1016组播单播MAC+Port邦定802.1x的实际应用：小区宽带认证过程的发起由用户发起(EAP-START)用户发起的认证报文，使用特定的组播MAC地址，设备发送到用户的报文使用单播MAC地址，解决了认证报文的广播的问题认证通过后的MAC地址与端口进行绑定15在认证系统上的配置步骤一、创建实际应用中的所有VLANintvlanuseripadress192.168.0.1/24addport1/24untaggedintvlaninternetaddport1/1untaggedipaddress202.0.0.1/24intvlanAAAaddport1/2-3untaggedipaddress61.0.0.1/2416在认证系统上的配置（续）步骤二、配置认证服务器和计费服务器的IP、端口及密钥radiusauthenticationadd-serverid0server-ip61.0.0.2client-ip61.0.0.1udp-port1812radiusauthenticationconfig-serverid0shared-secrettrainingradiusaccountingadd-serverid0server-ip61.0.0.2client-ip61.0.0.1udp-port1813radiusaccountingconfig-serverid0shared-secrettraining17在认证系统上的配置（续步骤三、在交换机上打开802.1x功能，启动认证、计费radiusauthenticationenableradiusaccountingenableconfigdot1xenable18ShowRadius显示信息flex24_01(config)#shradiusradiusauthenticationisenabled.radiusauthenticationserverconfig:idserver-statusserver-ipserver-udp-portclient-ipshared-secret--------------------------------------------------------------------------------0INUSE61.0.0.2181261.0.0.1trainingidretransmitintervalmaxretransmitcountmaxretransmitfailcountmaxsendfailcount--------------------------------------------------------------------------------010355================================================================================radiusaccountingisenabled.radiusaccountingserverconfig:idserver-statusserver-ipserver-udp-portclient-ipshared-secret--------------------------------------------------------------------------------0INUSE61.0.0.2181361.0.0.1trainingidretransmitintervalmaxretransmitcountmaxretransmitfailcountmaxsendfailcount--------------------------------------------------------------------------------010355maxWaitingMsgs:019ShowDot1x显示信息Harbour(config)#shdot1xdot1xauthentication:Enabledmultiple-host-one-portmax-host-count:255pae-count:25highest-pae-count:25------------------------------------------------------------------AUTHENTICATORSTATEMACHINE:quietPeriod:60txPeriod:30reAuthMax:2-----------------------------------------------------------------BACKENDAUTHENTICATIONSTATEMACHINE:suppTimeout:30serverTimeout:30maxReq:2------------------------------------------------------------------REAUTHENTICATIONSTATEMACHINE:reAuthEnabled:DisabledreAuthPeriod:3600-----------------------------------------------------------------KEEPALIVESTATEMACHINE:keepalive-mechanism:Ping-Pongkeepalive-State:Disabledkeepalive-Max-No-Response-count:5keepalive-PingPong-period:120keepalive-StateMAChine-period:30020显示FDB表的信息flex24_01(config)#shfdb-------BeginofMACAddressTableInformation(all)-------MACaddressPortVlannameFlags------------------------------------------------------------------------00:05:3b:00:28:680defaultSystemCPUPermanent00:05:3b:00:28:680userSystemCPUPermanent00:10:dc:47:7e:2324userDot1x00:05:3b:00:28:6803aSystemCPUPermanent00:10:5c:b4:48:0423aAge00:05:3b:00:28:680internetSystemCPUPermanent------------------------------------------------------------------------Total6MACaddressentryshowed.----------EndofMACAddressTa