这系列文章为计算机网络理论的学习笔记,学习笔记基于老师给的的PPT、他人学习笔记和维基百科、百度百科等一系列权威资料。学习笔记仅个人学习用,便于记录和复习,无广泛传播之意,若有侵权,请联系我删除。欢迎各位大佬指正和交流。

       每部分都有相应的实验swf文件,便于大家更好的理解学习,由于CSDN不方便放出,有需要的可以找博主私信要。

1 交换机端口安全技术

1.1 802.1X技术(IEEE802.1X)

802.1X技术(IEEE802.1X)是一种基于端口的网络接入控制协议。

起源于标准的无线局域网协议802.11。主要目的是为了解决有线局域网用户的接入认证问题。

1.1.1 体系结构

        客户端:客户端是位于局域网段一端的一个实体,由另一端的设备端对其进行认证。客户端必须支持EAPOL(局域网上可扩展认证协议)。

        设备端:是位于局域网段一端的一个实体,对另一端的实体进行认证。是支持802.1X协议的网络设备,它为客户端提供了提供接入局域网的端口,该端口可以是物理口或者是逻辑口。

        认证服务器:为设备端提供认证服务的实体,认证服务器用于实现对用户进行认证、授权和计费。

认证方式:

        本地认证:由设备端内置本地服务器对客户端进行认证。

        远程集中认证:由远程的认证服务器对客户端进行认证。

1.1.2 端口PAE:

  • 端口PAE(端口访问实体):

    • 设备端PAE利用 认证服务器 对需要接入局域网的客户端 执行认证操作,并根据认证结果相应地控制受控端口的授权/非授权状态。
    • 客户端PAE负责 响应设备端的认证请求 ,向设备端提交用户的认证信息,客户端PAE也可以主动向设备端发送认证请求和下限请求。
  • 受控端口和非受控端口:设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控和非受控端口。
    • 非受控端口始终处于双向,主要用来传递EAPOL协议帧,保证客户端始终能够给发出或接收认证报文
    • 受控端口在授权状态下双向连通状态。用于传递业务报文。在非授权状态下禁止从客户端接收认证报文。
    • 授权端口和非授权端口是同一端口的两个部分,任何到达该端口的帧,在受控端口与非受控端口上均可见。

1.1.3 工作机制:

端口接入控制方式:

  • 基于端口的认证(一对多连接):

    • 采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他计入用户无须认证就可使用网络资源,但当第一个用户下线后,其他用户也会被拒绝使用网络。
  • 基于MAC的认证(点对点连接):
    • 当采用基于MAC方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线,也只有该用户无法使用网络。

        默认情况,802.1X在端口上进行接入控制的方式为基于MAC地址的认证方式。

802.1X本地认证配置:

[Switch] local-user user-name 

[Switch-luser-localuser] service-type lan-access

[Switch-luser-localuser] password { cipher | simple } password 

//添加本地接入用户并设置相关参数

int  g1/0/1

dot1x port-method portbased                      //dot1x的默认认证模式为mac地址

[Switch] dot1x                                              //开启全局的802.1x的特性

[Switch] dot1x interface interface-list           //开启端口的802.1x的特性

802.1X典型配置:

可选配置:

[H3C]dot1x authentication-method      {chap|eap|pap}    //配置系统的认证方法。默认情况下,设备启用EAP终结方式,并采用CHAP认证方法

[H3C-Ethernet1/0/13]dot1x port-control    { authorized-force | auto | unauthorized-force }            //配置端口的授权状态,默认情况下,端口的授权状态为auto

[H3C-Ethernet1/0/13]dot1x port-method      { macbased | portbased }                    //配置端口接入控制方式,默认情况下,端口采用的接入控制方式为macbased

[H3C-Ethernet1/0/13]dot1x max-user 10   //配置端口同时接入用户数最大值,缺省最大值256

[H3C]dot1x   retry   10            //设备接入用户发送认证请求报文的最大次数,默认情况下设备最多可向接入用户发送2次认证请求报文(重认证请求报文的最大次数)

[H3C]dot1x timer supp-timeout 10      //客户端认证超时定时器,默认为30s (1~120s)

[H3C]dot1x timer server-timeout 200          //认证服务器超时定时器,默认为100s(100~300s)

[H3C-Ethernet1/0/13]dot1x handshake       //开启在线用户握手功能。默认开启

[H3C]dot1x timer handshake-period 15       //握手定时器,默认为15s(5~1024s)

[H3C]dot1x timer tx-period 30         //用户请求超时定时器,默认为30s(1~120s)

[H3C-Ethernet1/0/13]dot1x  { multicast-trigger | unicast-trigger }       //开启认证触发功能(默认为组播触发功能)

[H3C-Ethernet1/0/13]dot1x mandatory-domain system        //指定端口上802.1x用户使用强制的认证域,默认未指定

[H3C]dot1x quiet-period           //开启静默定时器功能,默认处于关闭状态

[H3C]dot1x timer quiet-period 60                    //配置静默定时器,默认为60s

[H3C-Ethernet1/0/13]dot1x re-authenticate                //开启周期性重认证功能,默认关闭

[H3C]dot1x timer reauth-period 60                       //配置周期性重认证定时器,默认值为3600s

1.2 端口隔离技术及其配置

为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN。

但是如果接入用户数大于4096,就无法实现二层隔离。所以采用端口隔离属性,实现同一VLAN内端口之间的隔离。

隔离组分为普通端口和上行端口,普通端口之间被二层隔离,但普通端口与和上行端口之间可以互通。

port-isolate enable      //接口视图下,加入隔离组中成为普通端口

port-isolate uplink-port       //接口视图下,加入隔离组中成为上行端口

注意:系统自动创建了了隔离组且组号为1,一个隔离组中只能配置一个上行端口。

端口隔离配置:

1.3 端口绑定技术及其配置:

通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提供安全性。配置后,只有指定MAC和IP的主机才能在指定端口上收发报文,访问网络资源。

进行“MAC+IP+端口”绑定配置后,当端口接收到报文是,会查看报文中的源MAC、源IP地址与交换机上所配置的静态表项是否一致。

  • 如果报文中的源MAC、源IP地址与所设定的MAC、IP相同,端口将转发该报文。
  • 如果报文中的源MAC、源IP中任一个所设定不同,端口将丢弃该报文。

配置IP和mac地址静态绑定:

[Switch-Ethernet1/0/1] user-bind ip-address ip-address [ mac-address mac-address ]

端口绑定典型配置:

交换机端口安全技术(IEEE802.1X相关推荐

  1. 交换机端口安全如何部署

       交换机端口安全技术 作用:主要起到保护访问端口,也就是与客户端主机相连的接口的安全. 部署方式主要有:静态.动态.静态+动态.粘滞 需要注意的是在交换机上部署端口安全时,一定要先把端口置为接入模 ...

  2. cisco 3560 MAC MOVE功能解决802.1x认证主机从交换机端口之间移动认证会话不断开问题

    最近碰到的问题描述: 交换机端口启用了802.1x功能,下接了hub或傻瓜交换机或无线AP,下连的笔记本电脑从一个端口移动到交换机的另外一个端口时,用show auth session可以看到其对应的 ...

  3. 你最需要了解的H3C交换机端口安全模式

    以下内容摘自正在全国热销的<Cisco/H3C交换机高级配置与管理技术手册>一书(畅销经典--<Cisco/H3C交换机配置与管理完全手册>(第二版)的配套姊妹篇).目前京东网 ...

  4. 详解H3C交换机“端口安全”功能

    以下内容摘自正在全面热销的最新网络设备图书"豪华四件套"之一--<H3C交换机配置与管理完全手册>(第二版)(其余三本分别是:<Cisco交换机配置与管理完全手册 ...

  5. 各种交换机端口安全总结(配置实例)

    各种交换机端口安全总结(配置实例) 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某 ...

  6. cisco交换机端口“假死”现象

    "假死"现象蔓延 不得不根治? 但是最近几天单位那台连接数字电视前端系统的交换机上也出现了端口"假死"的现象,故障原因很快查清了:是因为该端口下面连接的一台交换 ...

  7. 虚拟局域网VLAN和以太网交换机端口分类(access,trunk,hybird)

    1.虚拟局域网优点: 2.划分虚拟局域网方法 1)基于交换机端口划分 最简单.也是最常用的方法.优点:连接设备可以更换.缺点:不允许用户移动 2)基于计算机网卡的MAC地址划分 优点:允许用户移动.缺 ...

  8. 交换机端口假死(err-disable)解决方法

    出现了这个问题,我们不得不重视起交换机端口"假死"的现象,寻求在交换机不重启的状态下将该端口"拯救"回来 的方法. 拯救步骤1:查看日志/端口的状态 登录进入交 ...

  9. Cisco交换机端口假死(err-disable)解决方法

    我的一台3750G透过单模光纤接2960交换机,今天早上之间网络不通,3750G和2960上的SFP模块指示灯都不亮,查看CISCO 3750G的日志,有如下提示: Apr 27 05:22:03: ...

最新文章

  1. Linux中的进程之初步了解
  2. 5G、物联网、人工智能和机器学习将成为2021年最重要的技术
  3. netty服务器定时发送消息,netty+websocket+quartz实现消息定时推送
  4. pyspark使用ipython
  5. Linux 发行版与Linux内核
  6. 爬虫数据executemany插入_金融数据的获取——一个爬虫的简单例子
  7. C语言入门基础——Brute-Force算法
  8. 高并发面试 - 如何设计一个高并发系统?
  9. python高级编程总结
  10. @程序员,你的 996,可能是给公司无能的管理背锅
  11. 添加manifest解决IDirect3DDevice9::GetFrontBufferData抓屏返回失败
  12. 直播APP源码开发,直播APP源码搭建,如何优化程序?
  13. 行业的英语术语大全之家居类术语
  14. 飞机有“站票”?英乘客机票座位不存在 无奈坐地板
  15. 什么是Virtual Dom
  16. 在计算机语言中的乘法,LOGO语言编程题  高精度乘法★★
  17. 数据分析师会被算法取代么?
  18. 安卓rom包解包linux,[ROM开发]解包打包ROM详细教程 2017.9.8更新安卓7.0
  19. NLP 常用模型和数据集高速下载
  20. tomcat(一个牛人写的文章,自己看)

热门文章

  1. 安卓WebView无法显示百度地图网页版的解决办法
  2. 很伤感的一句话,让人思考...
  3. C语言三角型n题(从入门到熟练)
  4. 我微笑,不代表我快乐
  5. 用户与实体行为分析在实时网络攻击检测中的角色
  6. Pinia——State
  7. java基础梳理及感悟
  8. temps matlab,matlab插值方法PPT演示文稿
  9. 有了HTTP,为什么还要RPC?
  10. CC2530定时器3