第三章交换机安全配置课件.pptx

第4章 交换机安全配置,学习目标,清楚交换机端口的重要性；掌握交换机的端口绑定功能,能够控制用户的非法接入；能够使用交换机的 DAI功能防止ARP欺骗；能够根据实验拓扑连接网络；熟悉交换机的基本配置，并能根据故障诊断方法解决实验中遇到的基本问题。,学习内容,4.1 交换机端口安全概述4.2 实训4-1：交换机的端口安全配置4.3 实训4-2：ARP攻击与防御4.4 802.1x 安全网络接入4.5 实训4-4：配置交换机保护功能4.6 实训4-5：交换机端口镜像与监听,4.1 交换机端口安全概述,4.1 交换机端口安全概述,接入安全保护端口概述禁止交换机端口之间的通讯（二层）保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯,4.1 交换机端口安全概述,接入安全全局地址绑定概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络应用场景,4.1 交换机端口安全概述,接入安全端口安全概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN,4.1 交换机端口安全概述,DHCP监听概述DHCP嗅探（Snooping）功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口：拒绝DHCP回应报文信任口：允许DHCP回应报文默认角色：非信任口,4.1 交换机端口安全概述,ARP的作用将IP地址映射到MAC地址,4.1 交换机端口安全概述,ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法,4.1 交换机端口安全概述,ARP攻击攻击者不但伪造网关，而且进行数据重定向,4.1 交换机端口安全概述,DAIDAI（Dynamic ARP Inspection）与ARP检查一样，用于防止ARP欺骗ARP检查需要静态配置安全地址DAI依赖于DHCP Snooping数据库要使用DAI，需要部署DHCP环境,4.1 交换机端口安全概述,DAIDAI端口DAI Trust端口:不检查ARP报文DAI Untrust端口:检查所有收到的ARP报文,4.2 实训4-1：交换机的端口安全配置,4.3 实训4-2：ARP攻击与防御,4.4 802.1x 安全网络接入,4.4 802.1x 安全网络接入,AAA介绍AAA 是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架AAA主要解决的是网络安全访问控制的问题Authentication：认证模块可以验证用户是否可获得访问权。Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。,4.4 802.1x 安全网络接入,AAA基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分,4.4 802.1x 安全网络接入,AAA配置启用AAARouter(config)#aaa new-model配置验证列表Router(config)#aaa authentication service default|list-name method1 method2 应用验证列表Router(config-line)#login authentication default|list-name 将验证列表应用到PPP接口：Router(config-if)#ppp authentication default|list-name,4.4 802.1x 安全网络接入,RAIDUS概述RADIUS(Remote Authentication Dial In User Service 远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议,4.4 802.1x 安全网络接入,RADIUS认证过程,4.4 802.1x 安全网络接入,配置RADIUS配置RADIUS服务器 Router(config)#radius-server host ip-address auth-port port|acct-port port*配置RADIUS服务器认证密钥 Router(config)#radius-server host key 0 string|7 string|string 配置服务器组 Router(config)#aaa group server radius group-name 将RADIUS服务器加入到服务器组中：Router(config-gs-radius)#radius-server host ip-address auth-port port|acct-port port*,4.4 802.1x 安全网络接入,AAA及RADIUS配置示例在拓扑中，需要对远程登录到NAS设备上的用户进行AAA认证。认证方法首先使用RADIUS进行验证，如果RADIUS无法访问，则进行本地验证。,4.4 802.1x 安全网络接入,802.1x介绍802.1x是一个Client/Server结构802.1x认证体系中的组件恳求者系统（Supplicant System）认证系统（Authenticator System）认证服务器系统（Authentication Server System）,4.4 802.1x 安全网络接入,802.1x工作机制概述在客户端与交换机之间，EAP协议报文（承载认证信息）直接被封装到LAN协议中在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态,4.4 802.1x 安全网络接入,802.1x基本配置启用AAA（Authentication、Authorization、Accounting）aaa new-model 802.1x的实现基于AAA配置RADIUS服务器地址radius-server host ip-address auth-port number|acct-port number*默认情况下，认证和授权端口为1812，计费端口为1813可以添加多个RADIUS服务器,4.4 802.1x 安全网络接入,802.1x基本配置配置RADIUS服务器秘钥radius-server host key 0 string|7 string|string 要使交换机与RADIUS服务器之前正常工作，需配置RADIUS服务器认证秘钥 秘钥必须与RADIUS服务器上配置的一致配置802.1x认证列表aaa authentication dot1x default|list-name method1 method2 启用802.1xSwitch(config-if)#dot1x port-control auto 调用验证列表dot1x authentication default|list-name,4.4 802.1x 安全网络接入,802.1x认证典型配置示例,4.5 实训4-4：配置交换机保护功能,4.6 实训4-5：交换机端口镜像与监听,