1、第第4 4章章 交换机安全配置交换机安全配置学习目标学习目标清楚交换机端口的重要性;清楚交换机端口的重要性;掌握交换机的端口绑定功能掌握交换机的端口绑定功能, ,能够控制用户的非法接入;能够控制用户的非法接入;能够使用交换机的能够使用交换机的 DAI DAI功能防止功能防止ARPARP欺骗;欺骗;能够根据实验拓扑连接网络;能够根据实验拓扑连接网络;熟悉交换机的基本配置,并能根据故障诊断方法解决实熟悉交换机的基本配置,并能根据故障诊断方法解决实验中遇到的基本问题。验中遇到的基本问题。学习内容学习内容4.1 4.1 交换机端口安全概述交换机端口安全概述4.2 4.2 实训实训4-14-1:交换机的
2、端口安全配置:交换机的端口安全配置4.3 4.3 实训实训4-24-2:ARPARP攻击与防御攻击与防御4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入4.5 4.5 实训实训4-44-4:配置交换机保护功能:配置交换机保护功能4.6 4.6 实训实训4-54-5:交换机端口镜像与监听:交换机端口镜像与监听4.1 4.1 交换机端口安全概述交换机端口安全概述4.1 4.1 交换机端口安全概述交换机端口安全概述接入安全接入安全保护端口保护端口概述禁止交换机端口之间的通讯(二层)保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯4.1 4.1 交换
3、机端口安全概述交换机端口安全概述接入安全接入安全全局地址绑定全局地址绑定概述在交换机中绑定接入主机的IP+MAC地址只有被绑定的IP+MAC地址才能接入网络应用场景4.1 4.1 交换机端口安全概述交换机端口安全概述接入安全接入安全端口安全端口安全概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN4.1 4.1 交换机端口安全概述交换机端口安全概述DHCP监听概述DHCP嗅探(Snooping)功能功能防止网络中假冒的DHCP服务器形成Snooping表项为其他功能服务端口角色非信任口:拒绝DHCP回应报文信任口:允许DH
4、CP回应报文默认角色:非信任口4.1 4.1 交换机端口安全概述交换机端口安全概述ARP的作用将IP地址映射到MAC地址4.1 4.1 交换机端口安全概述交换机端口安全概述ARP的弱点ARP无验证机制,请求者不能判断收到的ARP应答是否合法4.1 4.1 交换机端口安全概述交换机端口安全概述ARP攻击攻击者不但伪造网关,而且进行数据重定向4.1 4.1 交换机端口安全概述交换机端口安全概述DAIDAI(Dynamic ARP Inspection)与ARP检查一样,用于防止ARP欺骗ARP检查需要静态配置安全地址DAI依赖于DHCP Snooping数据库要使用DAI,需要部署DHCP环境4.
5、1 4.1 交换机端口安全概述交换机端口安全概述DAIDAI端口DAI Trust端口:不检查ARP报文DAI Untrust端口:检查所有收到的ARP报文4.2 4.2 实训实训4-14-1:交换机的端口安全配置:交换机的端口安全配置4.3 4.3 实训实训4-24-2:ARPARP攻击与防御攻击与防御4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入AAAAAA介绍介绍AAA 是一个提供网络访问控制安全的模型,通常用于用户登录设备或接入网络。 AAA(Authentication、Authorizatio
6、n、Accounting,认证、授权、计费)提供了对认证、授权和计费功能的一致性框架AAA主要解决的是网络安全访问控制的问题Authentication:认证模块可以验证用户是否可获得访问权。 Authorization:授权模块可以定义用户可使用哪些服务或这拥有哪些权限。 Accounting:计费模块可以记录用户使用网络资源的情况。 可实现对用户使用网络资源情况的记帐、统计、跟踪。4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入AAAAAA基本模型基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分4.4 802.1x 4.4 802.1x 安全网络接入安全网络
7、接入AAAAAA配置配置启用AAARouter(config)#aaa new-model配置验证列表Router(config)#aaa authentication service default | list-name method1 method2 4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入RAIDUSRAIDUS概述概述RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议4.4 802.1x 4.4 802.1x 安全网
8、络接入安全网络接入RADIUSRADIUS认证过程认证过程 4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入配置配置RADIUSRADIUS配置RADIUS服务器 Router(config)#radius-server host ip-address auth-port port | acct-port port *配置RADIUS服务器认证密钥 Router(config)#radius-server host key 0 string | 7 string | string 配置服务器组 Router(config)#aaa group server radius g
9、roup-name 将RADIUS服务器加入到服务器组中:Router(config-gs-radius)#radius-server host ip-address auth-port port | acct-port port *4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入AAAAAA及及RADIUSRADIUS配置示例配置示例在拓扑中,需要对远程登录到NAS设备上的用户进行AAA认证。认证方法首先使用RADIUS进行验证,如果RADIUS无法访问,则进行本地验证。 4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入 4.4 802.1x 4.4 802.1x 安全网络接入安全网络接入 4.5 4.5 实训实训4-44-4:配置交换机保护功能:配置交换机保护功能4.6 4.6 实训实训4-54-5:交换机端口镜像与监听:交换机端口镜像与监听
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。