H3C交換機端口安全技術講義[TOIP解決方案專家交換機端口安全技術講義H3C交換機端口安全技術講義[TOIP解決方案專家目錄第一節802.1X認證基本原理及配置第二節MAC地址認證基本原理及配置第三節端口隔離技術及配置第四節端口綁定技術及配置■第五節ARP防攻擊相關技術及配置8021X協議起源H3C802.1x協議起源于802.11協議,后者是標準的無線局域網協議,802.1x協議的全稱是基于端口的訪問控制協議,主要目的是為了解決無線局域網用戶的接入認證問題,它通過控制端口訪問節點來提供無線局域網用戶接入認證和安全性,隨著局域網寬帶接入的不斷普及,局域網接入用戶需要進行認證的要求越發迫切,802.1X現在已經開始被應用于一般的有線LAN的接入H3C交換機端口安全技術講義H3C1目錄第一節802.1X認證基本原理及配置第二節MAC地址認證基本原理及配置第三節端口隔離技術及配置第四節端口綁定技術及配置■第五節ARP防攻擊相關技術及配置目錄28021X協議起源H3C802.1x協議起源于802.11協議,后者是標準的無線局域網協議,802.1x協議的全稱是基于端口的訪問控制協議,主要目的是為了解決無線局域網用戶的接入認證問題,它通過控制端口訪問節點來提供無線局域網用戶接入認證和安全性,隨著局域網寬帶接入的不斷普及,局域網接入用戶需要進行認證的要求越發迫切,802.1X現在已經開始被應用于一般的有線LAN的接入8021X協議起源38021x協議簡介H3C●802.1X協議首先是一個認證協議,是一種對用戶進行認證的方法和策略8021×協議是lEE為了解決基于端口的接入控制而定義的一個標準8021X的認證的最終目的就是確定一個端口是否可用對于一個端口,如果認證成功那么就“打開”這個端口,允許所有的報文通過;如果認證不成功就使這個端口保持“關閉”,此時只允許802.1x的認證報文EAPOL(EXtensibleAuthenticationProtocoloverLAN)通過。8021x協議簡介48021x協議簡介H3C8021x認證系統組成OverRadiORStandaRadiusEAPOAuthenticatorAuthenticationserverSupplicant8021x協議簡介58021X體系結構H3CapplicantSystemAuthenticatoAuthenticationServe設備端棵供的務備PA證服務器PAE:認證機制中負責處理算法和協議的實體EAP:Extensibleauthenticationprotoc8021X體系結構68021X體系結構H3C受控端口設備端為客戶端提供接入局域網的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口1.非受控端口:始終處于雙向連通狀態,主要用來傳遞EAPOL協議幀,保證客戶端始終能夠發出或接受認證2受控端口:在授權狀態下處于連通狀態,用于傳遞業務報文;在非授權狀態下處于斷開狀態,禁止傳遞任何報文8021X體系結構78021X體系結構H3C端口受控方向92.168雙向受控雙向受控對受控端口的輸入流和輸岀流都進行控制,在端口未授權前兩個方向的流量都不能通過受控端口單向受控我司產品在實現時,對端口在非授權狀態下,實行入方向單向受控,即禁止從客戶端接收幀,但允許向客戶端發送幀。因此常常會發現,端口由授權狀態轉變成非授權狀態后,用戶主機的|PTv客戶端仍然可以持續播放視頻幾分鐘,就是這個原因。但由于收不到用戶主機發來的組播組成員報告,隨著組播組的老化被刪除,最終|PTV被中斷8021X體系結構88021x的工作方式H3CRADIUS協議承載的AP/PAP/CHAP交客戶端PAE設備端PAE認證服務器客戶端和設備端通過EAPOL幀來交互消2設備端和認證服務器端可以通過EAP中繼方式或EAP終結方式交互信息3設備端和認證服務器端可以分布在兩個不同的實體上也可以集中在同一個實體上8021x的工作方式98021x端口受控方式H3C基于端口的認證方式基于MAc的認證方式啟用802.1X認證的端口下只通過認證的用戶可以使用網要有一個用戶通過了認證則絡資源,沒有通過的用戶則該端口打開,其余下掛在這不能,即使他們都接入了同個端口下的用戶也可以通過個端口這個端口傳輸數據兩種端口受控方式基于端口的認證:只要該物理端口下的第一個用戶認證成功后其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線后其他用戶也會被拒絕使用網絡。2.基于MAC地址認證:該物理端口下的所有接入用戶都需要單獨認證。當某個用戶下線時,也只有該用戶無法使用網絡8021x端口受控方式10交換機端口安全技術講義課件11交換機端口安全技術講義課件12交換機端口安全技術講義課件13交換機端口安全技術講義課件14交換機端口安全技術講義課件15交換機端口安全技術講義課件16交換機端口安全技術講義課件17交換機端口安全技術講義課件18交換機端口安全技術講義課件19交換機端口安全技術講義課件20交換機端口安全技術講義課件21交換機端口安全技術講義課件22交換機端口安全技術講義課件23交換機端口安全技術講義課件24交換機端口安全技術講義課件25交換機端口安全技術講義課件26交換機端口安全技術講義課件27交換機端口安全技術講義課件28交換機端口安全技術講義課件29交換機端口安全技術講義課件30交換機端口安全技術講義課件31交換機端口安全技術講義課件32交換機端口安全技術講義課件33交換機端口安全技術講義課件34交換機端口安全技術講義課件35交換機端口安全技術講義課件36交換機端口安全技術講義課件37交換機端口安全技術講義課件38交換機端口安全技術講義課件39交換機端口安全技術講義課件40交換機端口安全技術講義課件41交換機端口安全技術講義課件42交換機端口安全技術講義課件43交換機端口安全技術講義課件44交換機端口安全技術講義課件45交換機端口安全技術講義課件46交換機端口安全技術講義課件47交換機端口安全技術講義課件48交換機端口安全技術講義課件49交換機端口安全技術講義課件50交換機端口安全技術講義課件51交換機端口安全技術講義課件52交換機端口安全技術講義課件53交換機端口安全技術講義課件54交換機端口安全技術講義課件55交換機端口安全技術講義課件56交換機端口安全技術講義課件57交換機端口安全技術講義課件58交換機端口安全技術講義課件59交換機端口安全技術講義課件60交換機端口安全技術講義課件61交換機端口安全技術講義課件62交換機端口安全技術講義課件63H3C交換機端口安全技術講義[TOIP解決方案專家交換機端口安全技術講義H3C交換機端口安全技術講義[TOIP解決方案專家目錄第一節802.1X認證基本原理及配置第二節MAC地址認證基本原理及配置第三節端口隔離技術及配置第四節端口綁定技術及配置■第五節ARP防攻擊相關技術及配置8021X協議起源H3C802.1x協議起源于802.11協議,后者是標準的無線局域網協議,802.1x協議的全稱是基于端口的訪問控制協議,主要目的是為了解決無線局域網用戶的接入認證問題,它通過控制端口訪問節點來提供無線局域網用戶接入認證和安全性,隨著局域網寬帶接入的不斷普及,局域網接入用戶需要進行認證的要求越發迫切,802.1X現在已經開始被應用于一般的有線LAN的接入H3C交換機端口安全技術講義H3C64目錄第一節802.1X認證基本原理及配置第二節MAC地址認證基本原理及配置第三節端口隔離技術及配置第四節端口綁定技術及配置■第五節ARP防攻擊相關技術及配置目錄658021X協議起源H3C802.1x協議起源于802.11協議,后者是標準的無線局域網協議,802.1x協議的全稱是基于端口的訪問控制協議,主要目的是為了解決無線局域網用戶的接入認證問題,它通過控制端口訪問節點來提供無線局域網用戶接入認證和安全性,隨著局域網寬帶接入的不斷普及,局域網接入用戶需要進行認證的要求越發迫切,802.1X現在已經開始被應用于一般的有線LAN的接入8021X協議起源668021x協議簡介H3C●802.1X協議首先是一個認證協議,是一種對用戶進行認證的方法和策略8021×協議是lEE為了解決基于端口的接入控制而定義的一個標準8021X的認證的最終目的就是確定一個端口是否可用對于一個端口,如果認證成功那么就“打開”這個端口,允許所有的報文通過;如果認證不成功就使這個端口保持“關閉”,此時只允許802.1x的認證報文EAPOL(EXtensibleAuthenticationProtocoloverLAN)通過。8021x協議簡介678021x協議簡介H3C8021x認證系統組成OverRadiORStandaRadiusEAPOAuthenticatorAuthenticationserverSupplicant8021x協議簡介688021X體系結構H3CapplicantSystemAuthenticatoAuthenticationServe設備端棵供的務備PA證服務器PAE:認證機制中負責處理算法和協議的實體EAP:Extensibleauthenticationprotoc8021X體系結構698021X體系結構H3C受控端口設備端為客戶端提供接入局域網的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口1.非受控端口:始終處于雙向連通狀態,主要用來傳遞EAPOL協議幀,保證客戶端始終能夠發出或接受認證2受控端口:在授權狀態下處于連通狀態,用于傳遞業務報文;在非授權狀態下處于斷開狀態,禁止傳遞任何報文8021X體系結構708021X體系結構H3C端口受控方向92.168雙向受控雙向受控對受控端口的輸入流和輸岀流都進行控制,在端口未授權前兩個方向的流量都不能通過受控端口單向受控我司產品在實現時,對端口在非授權狀態下,實行入方向單向受控,即禁止從客戶端接收幀,但允許向客戶端發送幀。因此常常會發現,端口由授權狀態轉變成非授權狀態后,用戶主機的|PTv客戶端仍然可以持續播放視頻幾分鐘,就是這個原因。但由于收不到用戶主機發來的組播組成員報告,隨著組播組的老化被刪除,最終|PTV被中斷8021X體系結構718021x的工作方式H3CRADIUS協議承載的AP/PAP/CHAP交客戶端PAE設備端PAE認證服務器客戶端和設備端通過EAPOL幀來交互消2設備端和認證服務器端可以通過EAP中繼方式或EAP終結方式交互信息3設備端和認證服務器端可以分布在兩個不同的實體上也可以集中在同一個實體上8021x的工作方式728021x端口受控方式H3C基于端口的認證方式基于MAc的認證方式啟用802.1X認證的端口下只通過認證的用戶可以使用網要有一個用戶通過了認證則絡資源,沒有通過的用戶則該端口打開,其余下掛在這不能,即使他們都接入了同個端口下的用戶也可以通過個端口這個端口傳輸數據兩種端口受控方式基于端口的認證:只要該物理端口下的第一個用戶認證成功后其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線后其他用戶也會被拒絕使用網絡。2.基于MAC地址認證:該物理端口下的所有接入用戶都需要單獨認證。當某個用戶下線時,也只有該用戶無法使用網絡8021x端口受控方式73交換機端口安全技術講義課件74交換機端口安全技術講義課件75交換機端口安全技術講義課件76交換機端口安全技術講義課件77交換機端口安全技術講義課件78交換機端口安全技術講義課件79交換機端口安全技術講義課件80交換機端口安全技術講義課件81交換機端口安全技術講義課件82交換機端口安全技術講義課件83交換機端口安全技術講義課件84交換機端口安全技術講義課件85交換機端口安全技術講義課件86交換機端口安全技術講義課件87交換機端口安全技術講義課件88交換機端口安全技術講義課件89交換機端口安全技術講義課件90交換機端口安全技術講義課件91交換機端口安全技術講義課件92交換機端