DCN-07-以太网安全.pptVIP

1 DCN-07-以太网安全 学习目标 了解以太网安全的基本内容 掌握以太网访问控制列表的原理及配置 掌握802.1X的基本原理及配置 掌握神州数码设备防ARP的配置 课程内容 以太网访问列表 主要作用:在整个网络中分布实施接入安全性 访问列表 对到达端口的数据包进行分类，并打上不同的动作标记 访问列表可作用于交换机的部分或所有端口 访问列表的主要用途： 包过滤 流量限制 流量统计 分配队列优先级 流分类 通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式 Vlan ID 入/出端口 3/4层流分类项 协议类型 源/目的IP地址 源/目的端口号 DSCP IP 数据包过滤 课程内容 定义访问控制列表 在系统视图下，定义ACL并进入访问控制列表视图: access-list num {deny | permit} {eigrp | gre | igrp | ipinip | ip | protocol} {{sIpAddr sMask} | any-source | {host-source sIpAddr}} {{dIpAddr dMask} | any-destination | {host-destination dIpAddr}} [precedence prec] [tos tos][time-rangetime-range-name] 配置命名访问列表 ip access standard name ip access extended name 在系统视图下，删除ACL: No access-list num 二层访问控制列表的子规则配置 在二层访问控制列表视图下，配置相应的子规则 rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] | any } ] [ egress { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] | any } ] [ time-range name ] 在二层访问控制列表视图下，删除一条子规则 undo rule rule-id 绑定访问控制列表 在接口模式下，绑定ACL: {ip|ipv6|mac|mac-ip} access-group name {in|out}[traffic-statistic] 在接口模式下，取消绑定ACL: no {ip|mac|mac-ip} access-group name {in|out} 课程内容 以太网接入的AAA功能 802.1X的作用 IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol） 该协议适用于接入的用户设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理 802.1X的认证接入基于逻辑端口 802.1X的系统组成 传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息） EAPOL协议的消息格式 802.1X的EAPOL认证过程 802.1X的受控端口（1） 根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。 802.1X的受控端口（2） 受控端口支持三种认证授权模式 ForceAuthorized模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源 ForceUnauthorized模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求 Auto模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源 802.1X优势明显 结论： 802.1X适用于运营管理相对简单，业务复杂度较低的企业以及园区 是理想的低成本运营解决方案 课程内容 802.1X典型配置案例 802.1X典型配置案例 802.1X典型配置案例 课程内容 常见的ARP欺骗类型 网关欺骗 用户的网关ARP信息学习错误，不能访问外网和其他网段 ARP泛洪 主机收到大量ARP报文 主机欺骗 神州数码交换机的防护手段 网关防护 ARP-Guard 防网段扫描 Anti