交换机端口安全技术日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播第一节802.1X认证基本原理及配置第二节MAC地址认证基本原理及配置第三节端口隔离技术及配置第四节端口绑定技术及配置第五节ARP防攻击相关技术及配置目录协议,后者是标准的无线局域网协议,802.1x协议的全称是基于端口的访问控制协议,主要目的是为了解决无线局域网用户的接入认证问题,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性,随着局域网宽带接入的不断普及,局域网接入用户需要进行认证的要求越发迫切,802.1x现在已经开始被应用于一般的有线LAN的接入。协议简介802.1x协议首先是一个认证协议,是一种对用户进行认证的方法和策略802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准802.1x的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。:认证机制中负责处理算法和协议的实体。EAP:ExtensibleAuthenticationProtocol体系结构受控端口设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口1.非受控端口:始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。2.受控端口:在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。单向双向Internet我司产品在实现时,对端口在非授权状态下,实行入方向单向受控,即禁止从客户端接收帧,但允许向客户端发送帧。因此常常会发现,端口由授权状态转变成非授权状态后,用户主机的IPTV客户端仍然可以持续播放视频几分钟,就是这个原因。但由于收不到用户主机发来的组播组成员报告,随着组播组的老化被删除,最终IPTV被中断双向受控单向受控双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前两个方向的流量都不能通过受控端口交换认证的端口下只要有一个用户通过了认证则该端口打开,其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式两种端口受控方式:1.基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。2.基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证。当某个用户下线时,也只有该用户无法使用网络。通过认证的用户可以使用网络资源,没有通过的用户则不能,即使他们都接入了同一个端口组播方式客户端程序可以选择采用组播报文发送,此时客户端发送的所有EAPoL报文封装组播地址,有些情况下客户端程序也可以选择单播报文发送,此时客户端初次发送EAPoL-Start报文封装组播地址,回应设备端的response报文封装设备的端口地址采用单播发送,对于设备端发送的报文,若设备端知道客户端的地址,则封装客户端的地址采用单播发送,否则封装组播地址,采用组播发送广播方式客户端也可以选择广播方式发送报文,这时客户端初次发送EAPoL-Start报文封装广播地址,其余报文可以采用单播发送字节,固定为0x888EProtocolVersion占1字节,固定为1Type占1字节,EAP-Packet(00EAPOL-Start(01)EAPOL-Logoff(02)EAPOL-Key(03)EAPOL-Encapsulated-ASF-Alert(04)Length占2字节,指定packetbody字段的长度PacketBody当PacketType字段为EAPoL-Start或EAPoL-Logoff时,此字段为空域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定意义如下Code=1——RequestCode=2——ResponseCode=3——SuccessCode=4——FailureIndentifier域为一个字节,辅助进行request和response的匹配。每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了一个对应关系Length域为两个字节,表明了EAP数据包的长度,包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充(padding)在接收时将被忽略掉。Data域为0个或者多个字节,Data域的格式由Code的值来决定。当Code为3或4时,data域为0个字节。CodeIdentifierLengthData0124N报文Data域Type:占1个字节,该字段值指定Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type1Identity2Notification3Nak(Responseonly)4MD5-Challenge5One-TimePassword(OTP)(RFC1938)6GenericTokenCardTypedata:内容随不同类型的Request和Response而不同。TypeTypeData01N服务器生成,交换机只是负责将EAP报文透传Radius服务器,EAP中继方式要求Radius服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80),整个认证处理都由Radius服务器来完成。EAP中继方式有四种认证方法:EAP-MD5、EAP-TLS(TransportLayerSecurity,传输层安全)、EAP-TTLS(TunneledTransportLayerSecurity,隧道传输层安全)和PEAP(ProtectedExtensibleAuthenticationProtocol,受保护的扩展认证协议)。用来对用户口令信息进行加密处理的随机加密字由交换机生成,之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器,进行相关的认证处理。(EAP-Response/Identity)RADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)RADIUSAccess-Request(EAP-Response/MD5Challenge)端口被授权握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]EAPOL-Logoff......端口非授权(CHAP-Response/MD5Challenge)RADIUSAccess-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]EAPOL-Logoff......端口非授权典型配置案例#开启全局802.1x特性。Sysnamesystem-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]dot1x#开启指定端口Ethernet1/0/1的802.1x特性。[Sysname]dot1xinterfaceEthernet1/0/1#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。[Sysname]dot1xport-methodmacbasedinterfaceEthernet1/0/1#创建RADIUS方案radius1并进入其视图。[Sysname]radiusschemeradius1典型配置案例#设置主认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]primaryauthentication10.11.1.1[Sysname-radius-radius1]primaryaccounting10.11.1.2#设置备份认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]secondaryauthentication10.11.1.2[Sysname-radius-radius1]secondaryaccounting10.11.1.1#设置系统与认证RADIUS服务器交互报文时的加密密码。[