《交换机端口安全技术讲义课件.ppt》由会员分享,可在线阅读,更多相关《交换机端口安全技术讲义课件.ppt(63页珍藏版)》请在三一办公上搜索。
1、,H3C交换机端口安全技术讲义TOIP解决方案专家,交换机端口安全技术讲义H3C交换机端口安全技术讲义TOIP解决方案专家目录第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置8021X协议起源H3C802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,80
2、2.1X现在已经开始被应用于一般的有线LAN的接入,目录第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置,8021X协议起源H3C802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1X现在已经开始被应用于一般的有线LAN的接入,8021x协议简
3、介H3C802.1X协议首先是一个认证协议,是一种对用户进行认证的方法和策略8021协议是lEE为了解决基于端口的接入控制而定义的一个标准8021X的认证的最终目的就是确定一个端口是否可用对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(EXtensible Authentication Protocol overLAN)通过。,8021x协议简介H3C8021x认证系统组成Over RadiOR StandaRadiusEAPOAuthenticatorAuthentication ser
4、verSupplicant,8021X体系结构H3Capplicant SystemAuthenticatoAuthentication Serve设备端棵供的务备PA证服务器PAE:认证机制中负责处理算法和协议的实体EAP: Extensible authentication protoc,8021X体系结构H3C受控端口设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口1.非受控端口:始终处于双向连通状态,主要用来传递 EAPOL协议帧,保证客户端始终能够发出或接受认证2受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止
5、传递任何报文,8021X体系结构H3C端口受控方向92.168双向受控双向受控对受控端口的输入流和输岀流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口单向受控我司产品在实现时,对端口在非授权状态下,实行入方向单向受控,即禁止从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的|PTv客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终|PTV被中断,8021x的工作方式H3CRADIUS协议承载的AP/ PAP/CHAP交客户端PAE设备端PAE认证服务器客户端和设备端通
6、过 EAPOL帧来交互消2设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息3设备端和认证服务器端可以分布在两个不同的实体上也可以集中在同一个实体上,8021x端口受控方式H3C基于端口的认证方式基于MAc的认证方式启用802.1X认证的端口下只通过认证的用户可以使用网要有一个用户通过了认证则络资源,没有通过的用户则该端口打开,其余下挂在这不能,即使他们都接入了同个端口下的用户也可以通过个端口这个端口传输数据两种端口受控方式基于端口的认证:只要该物理端口下的第一个用户认证成功后其他接入用户无须认证就可使用网络资源,当第一个用户下线后其他用户也会被拒绝使用网络。2.基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络,
