一、安全策略简介
1、端口隔离简介
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。
说明:
端口隔离特性与以太网端口所属的VLAN无关。
2、访问管理简介
为了满足接入层交换机对用户访问权限的控制,可在接入层交换机上配置访问管理功能。通过该功
能,可以控制接入层交换机(Switch A)端口下使用不同IP 地址的主机对外部网络的访问权限。
访问管理功能是指:在接入层以太网交换机的端口上,通过配置端口的访问管理IP 地址池,将指定
范围的IP 地址与端口进行绑定。
如果某个端口上配置了访问管理地址池,则只允许连接到该端口的,IP 地址在访问管理IP 地
址池内的主机与外部通信。
如果某个端口上未配置访问管理地址池,则只要主机 IP 地址不在交换机其它端口的访问管理
地址池中,该主机就可以与外部通信。
需要注意的是:端口上访问管理 IP 地址池中的地址,必须与该端口所属VLAN 的接口IP 地址在同一网段。
3、acl简介
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
4、AAA简介
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费3种安全功能。
认证(Authentication) 验证用户是否可以获得访问权,确定哪些用户可以访问网络。
授权(Authorization) 授权用户可以使用哪些服务。
计费(Accounting) 记录用户使用网络资源的情况。
AAA一般采用“Client/Server”结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。
①认证功能 S-switch设备所实现的AAA支持以下3种认证方式。
不认证 对用户非常信任,不检查用户的合法性。不建议采用这种方式。
本地认证 将用户信息(包括本地用户的用户名、密码和各种属性)配置在S-switch设备上。本地认证的优点是速度快,可以降低运营成本。缺点是存储信息量受设备硬件条件限制。
远端认证 通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议进行远端认证。由S-switch设备作为客户端,与RADIUS服务器或HWTACACS服务器通信。对于RADIUS协议,可以采用标准RADIUS协议或华为公司的扩展RADIUS协议,与iTELLIN/CAMS(Comprehensive Access Management Server)等设备配合完成认证。
②授权功能 S-switch设备所实现的AAA支持以下5种授权方式。
本地授权 根据S-switch设备上为本地用户配置的相关属性进行授权。
HWTACACS授权 由HWTACACS服务器对用户进行授权。
if-authenticated授权 如果用户通过了认证,并且使用的认证方法不是none,则对用户授权通过。
RADIUS认证成功后授权 RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。当用户通过RADIUS认证后,RADIUS服务器立即对此用户进行授权。
③计费功能 S-switch设备所实现的AAA支持以下2种计费方式。
远端计费 支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
二.端口隔离与访问管理典型配置案例
1、端口隔离
组网需求:
客户端 PC 通过以太网交换机(Switch A)与外部网络相连。IP 地址范围是202.10.20.1/24~
202.10.20.20/24 的PC 属于机构1;IP 地址范围是202.10.20.25/24~202.10.20.50/24 或
202.10.20.55/24~202.10.20.65/24 的PC 属于机构2。
允许机构 1 中的PC 通过Switch A 的端口Ethernet1/0/1 接入外部网络;
允许机构 2 中的PC 通过Switch A 的端口Ethernet1/0/2 接入外部网络;
端口 Ethernet1/0/1 和端口Ethernet1/0/2 均属于VLAN1,且Vlan-interface1 的IP 地址为
202.10.20.200/24;
机构 1 和机构2 的PC 之间二层隔离。
组网图:
配置步骤:
<Sysname> system-view
[sysname] sysname Switch A
# 配置Vlan-interface1 接口的IP 地址为202.10.20.200/24。
[Switch A] interface Vlan-interface 1
[Switch A-Vlan-interface1] ip address 202.10.20.200 24
[Switch A-Vlan-interface1] quit
# 配置端口Ethernet1/0/1 上的访问管理IP 地址池。
[Switch A] interface Ethernet 1/0/1
[Switch A-Ethernet1/0/1] am ip-pool 202.10.20.1 20
# 将端口Ethernet1/0/1 加入隔离组。
[Switch A-Ethernet1/0/1] port isolate
[Switch A-Ethernet1/0/1] quit
# 配置端口Ethernet1/0/2 上的访问管理IP 地址池。
[Switch A] interface Ethernet 1/0/2
[Switch A-Ethernet1/0/2] am ip-pool 202.10.20.25 26 202.10.20.55 11
# 将端口Ethernet1/0/2 加入隔离组。
[Switch A-Ethernet1/0/2] port isolate
[Switch A-Ethernet1/0/2] quit
2、acl访问控制
组网需求:
①在R2上配置标准访问列表,拒绝所有来自3.3.3.0网络的数据包。
②在R2上配置扩展访问列表,阻塞来自网络23.1.1.0/24发往12.1.1.1地址的ICMP 包。
④R1路由器只允许23.1.1.3的IP地址能够Telnet到路由器上。
在第④步骤中,R1路由器只允许R3在2013年9月1日至2013年9月30日的每周一到周五的8:00到18:00和周末的9:00到21:00才可以Telnet到R1。
⑤只允许R1能够主动发起连接Telnet到R3,不允许R3主动发起连接到R1路由器(Established)。
⑥在R2上配置Lock-and-key,R3与R1建立连接前需要在R2上进行认证(Telnet),在R2上的认证方式为本地 (在 VTY 线路下面开启 Login local),R2自动生成临时动态访问列表,并配置 绝对超时时间为5分钟,空闲时间为3分钟,自动生成的访问列表中的源地址必须用认证主机IP地址来进行替换。
组网图:
配置步骤:
Router(config)#hostname R1
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-router)#network 12.1.1.1
R1 只允许23.1.1.3的IP地址能Telnet到路由器上.
R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23
R1(config-if)#ip access-gup 110 in
在第③步骤中,R1路由器只允许R3在2013年9月1日至2013年9月30日的每周一到周五的8:00到18:00和周末的9:00到21:00才可以Telnet到R1.
R1(config)#time-range telnettime //建立允许访问的时间范围
R1(config-time-range)#absolute start 00:00 1 sep 2013 end 00:00 1 oct 2013
R1(config-time-range)#periodic weekday 08:00 to 18:00
R1(config-time-range)#periodic weekend 09:00 to 21:00
R1(config-time-range)#exit
R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime
//建立访问控制列表只允许R3 telnet 登入到 R1,将允许时间范围应用上
R1(config-if)#ip access-group 110 in
只允许R1能够主动发起连接Telnet到R3,不允许R3主动发起连接到R1路由器(Established).
R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime established
//建立 Established列表,只允许 R1 主动发起连接 Telnet 到 R3,这里的源地址指的是 R3 的接口地址23.1.1.3,因为要检查的是R3回应的数据流,只有回应的数据流中 TCP的ACK或RST比特才会被设置成1,主动发起连接的设备R1数据流中的TCP的ACK 为 0。
R1(config-if)#ip access-group 110 in
Router(config)#hostname R2
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
在R2上配置标准访问列表,拒绝所有来自3.3.3.0网络的数据包.
R2(config)#access-list 10 deny 3.3.3.0 0.0.0.255
R2(config)#access-list 10 permit any
R2(config-if)#ip access-group 10 in
在R2上配置扩展访问列表,阻塞来自网络23.1.1.0/24发往12.1.1.1地址的ICMP 包.
R2(config)#access-list 100 deny icmp 23.1.1.0 0.0.0.255 host 12.1.1.1
R2(config)#access-list 100 permit ip any any
R2(config-if)#ip access-group 100 in
在 R2上配置 Lock-and-key,R3与R1建立连接前需要在R2上进行认证(Telnet),在R2上的认证方式为本地数据库(在 VTY 线路下面开启 Login local),R2自动生成临时动态访问列表,并配置绝对超时时间为5分钟,空闲时间为3分钟,自动生成的访问列表中的源地址必须用认证主机IP地址来进行替换.
R2(config)#access-list 120 dynamic spoto timeout 5 permit tcp any host 12.1.1.1//绝对超时5分钟
R2(config)#access-list 120 permit tcp host 23.1.1.3 host 23.1.1.2 //允许 R3 通过 tcp 协议访问 R2
R2(config-if)#ip access-group 120 in
R2#access-enable host timeout 3
//配置 Lock-and-key 特性的最后步骤是让路由器能在一个动态访问控制列表中创建一个临时性的访问控 制列表条目,缺省情况下,路由器是不这么做的,可以使用下面此命令来进行启用.
Cisco 强烈推荐用户使用该命令的关键字 Host,其源地址总是用认证主机的IP地址来替换,所以我们在 定义动态访问列表的源地址中总是指定 any;Timeout规定了空闲超时值,指示连接在被切断之前允许保 持的空闲时间。
R2(config)#username spoto password spoto //建立本地用户和口令
R2(config-line)#login local //登入使用本地认证
R2(config-line)#autocommand access-enable host timeout 10 //触发 access-enable 的命令
Router(config)#ostname R3
R3(config-if)#ip add 23.1.1.3 255.255.255.0
R3(config-if)#ip add 3.3.3.3 255.255.255.0
R3(config-router)#network 3.3.3.3
R3(config-router)#network 23.1.1.3
3、AAA现在MAC地址验证
①ACS搭建AAA认证服务器
拓扑图:
实验环境:Windows Server 2003、cisico acs4.0-build-24.zip、华为Quideway S2000交换机一台、华为Quideway R2621路由器一台
交换机(RADIUS-Client)配置结果:
[RADIUS-Client]discu
#
sysname RADIUS-Client
#
radius schemesystem
radius scheme xxx
server-type standard
primary authentication 192.168.30.110
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
scheme radius-scheme xxx
access-limit enable 10
accounting optional
#
vlan 1
#
interfaceVlan-interface1
ip address 192.168.30.10 255.255.255.0
#
interfaceEthernet1/0/14
MAC-authentication
路由器(代替PC机)配置结果:
[PC-Client]dis cu
Now createconfiguration...
Current configuration
!
version 1.74
sysname PC-Client
undo pos-server addr-switch
firewall enable
aaa-enable
aaa accounting-scheme optional
!
interfaceEthernet1
ip address 192.168.30.6 255.255.255.0
!
ACS服务器配置:在Windows Server 2003安装cisico acs4.0-build-24软件
AAA客户端添加:
添加用户的MAC地址为账号密码:
测试结果:
[PC-Client]ping -a192.168.30.6 192.168.30.10
PING 192.168.30.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.30.10: bytes=56Sequence=0 ttl=255 time = 4 ms
Reply from 192.168.30.10: bytes=56Sequence=1 ttl=255 time = 3 ms
Reply from 192.168.30.10: bytes=56Sequence=2 ttl=255 time = 2 ms
Reply from 192.168.30.10: bytes=56 Sequence=3ttl=255 time = 3 ms
Reply from 192.168.30.10: bytes=56Sequence=4 ttl=255 time = 3 ms
--- 192.168.30.10 ping statistics ---
5 packets transmitted
5 packets received
0.00% packet loss
round-trip min/avg/max = 2/3/4 ms
②IAS搭建AAA认证服务器
拓扑图:
实验环境:安装有验证服务器组件的Windows Server 2003计算机一台、华为Quideway S2000交换机一台、华为Quideway R2621路由器一台
交换机配置结果:
<SW>dis cu
#
sysname SW
#
MAC-authentication
MAC-authentication authmodeusernameasmacaddress usernameformat with-hyphen
#
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.100
accountingoptional
keyauthentication 123456
user-name-format without-domain
#
domain system
scheme radius-scheme xxx
access-limit enable 10
accounting optional
#
vlan 1
#
interface Vlan-interface1
ipaddress 192.168.30.10 255.255.255.0
#
interface Ethernet1/0/14
MAC-authentication
路由器(代替PC机)配置结果:
[Router]dis cu
Nowcreate configuration...
Current configuration
!
version 1.74
undo pos-server addr-switch
firewall enable
aaa-enable
aaa accounting-scheme optional
!
interface Ethernet1
ip address 192.168.30.2 255.255.255.0
!
IAS服务器配置:
服务器添加账户,账户名与密码都是PC机的MAC地址,并设置允许拨入的权限。
在IAS服务器上添加RADIUS客户端,RADIUS客户端就是交换机。客户端地址设置为交换机IP地址。
实验结果测试:PC机ping 交换机
[Router]ping -a 192.168.30.2 192.168.30.10
PING 192.168.30.10: 56 databytes, press CTRL_C to break
Relay from 192.168.30.10 bytes=56 Sequence=1ttl=225 time=5 ms
Relay from 192.168.30.10 bytes=56 Sequence=2ttl=225 time=6 ms
Relay from 192.168.30.10 bytes=56 Sequence=3ttl=225 time=6 ms
Relay from 192.168.30.10 bytes=56 Sequence=4ttl=225 time=5 ms
Relay from 192.168.30.10 bytes=56 Sequence=5ttl=225 time=5 ms
---192.168.30.2 ping statistics ---
5packets transmitted
5packets received