华为网络设备上的常用安全技术（二）

安全技术3&＃xff1a;aaa
说明&＃xff1a;
1.简介&＃xff1a;
AAA是Authentication&＃xff0c;Authorization and Accounting&＃xff08;认证、授权和计费&＃xff09;的简

称&＃xff0c;它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架&＃xff0c;实

际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制&＃xff0c;包括&＃xff1a;

   哪些用户可以访问网络服务器。

   具有访问权的用户可以得到哪些服务。

   如何对正在使用网络资源的用户进行计费。

针对以上问题&＃xff0c;AAA必须提供认证功能、授权功能和计费功能。

2. 授权功能
AAA支持以下授权方式&＃xff1a;

   直接授权&＃xff1a;对用户非常信任&＃xff0c;直接授权通过。

   本地授权&＃xff1a;根据设备上为本地用户帐号配置的相关属性进行授权。

   RADIUS 认证成功后授权&＃xff1a;RADIUS 协议的认证和授权是绑定在一起的&＃xff0c;不能

单独使用RADIUS 进行授权。

   HWTACACS 授权&＃xff1a;由TACACS服务器对用户进行授权。

 3. 计费功能
AAA支持以下计费方式&＃xff1a;

   不计费&＃xff1a;不对用户计费。

   远端计费&＃xff1a;支持通过RADIUS 服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/ 服务器结构&＃xff1a;客户端运行于被管理的资源侧&＃xff0c;服务器上集中存

放用户信息。因此&＃xff0c;AAA框架具有良好的可扩展性&＃xff0c;并且容易实现用户信息的集中

管理。

 案例&＃xff1a;关于利用radius 实现对用户telnet的控制&＃xff1a;

其中认证服务器是思科的ACS。

拓扑图&＃xff1a;本实验实现接入用户telnet交换机时采用acs服务器认证&＃xff0c;并且进入后是管理员。

 

交换的配置&＃xff1a;

 

#

radius scheme system&＃xff08;建立radius方案&＃xff09;

radius scheme test

 server-type   huawei  这个地方一定要是华为

 primary authentication 192.168.100.2

 accounting optional

 key authentication 123456

 user-name-format without-domain

#

domain system

domain tec&＃xff08;建立域&＃xff09;

 scheme radius-scheme test

 access-limit enable 30

 accounting optional

#

vlan 1

#

interface Vlan-interface1                

 ip address 192.168.100.24 255.255.255.0

Acs的配置&＃xff1a;

首先安装jdk 然后安装acs服务器。

安装完后导入h3c的私有radius 属性&＃xff1a;

1.     编写h3c.ini文件&＃xff08;绿色部分即为文件内容&＃xff09;

[User Defined Vendor]

Name&＃61;Huawei

IETF Code&＃61;2011

VSA 29&＃61;hw_Exec_Privilege

[hw_Exec_Privilege]

Type&＃61;INTEGER

Profile&＃61;IN OUT

Enums&＃61;hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0&＃61;Access

1&＃61;Monitor

2&＃61;Manager

3&＃61;Administrator

此文件主要用于定义私有属性的值

2.    将上面定义的文件导入到ACS中

 ACS提供了命令接口来导入私有属性&＃xff0c;此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:

(1) 点击ACS Server的windows开始菜单,在运行中输入cmd&＃xff0c;打开一个命令行窗口。

(2) 进入ACS的bin目录&＃xff0c;在默认安装的情况下&＃xff0c;该目录为

c:\Program Files\CiscoSecure ACS v4.0\bin

(3) 执行导入命令:

 

  

选择y,继续

 

3.     查看是否导入成功
导入完毕&＃xff0c;可以通过命令来查看:

可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性

另外可以进入ACS页面来查看通过点击interface  configuration 查看是否出现RADIUS Huawei 。:里面有一项需要打勾。如下图&＃xff1a;

Acs基本配置&＃xff1a;

用户的创建&＃xff1a;

 

 

 

 

组的创建&＃xff1a;

 

 

 

 

 

Network  配置&＃xff1a;

 

 

测试结果&＃xff1a;

用户user2 登陆成功&＃xff1a;权限是0级别。

用户asd登陆成功&＃xff1b;

 

安全技术4&＃xff1a;dot1x
说明&＃xff1a;
　802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前&＃xff0c;802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前&＃xff0c;802.1x只允许EAPoL&＃xff08;基于局域网的扩展认证协议&＃xff09;数据通过设备连接的交换机端口&＃xff1b;认证通过以后&＃xff0c;正常的数据可以顺利地通过以太网端口。

 802.1X应用环境特点
(1)交换式以太网络环境
　　对于交换式以太网络中&＃xff0c;用户和网络之间采用点到点的物理连接&＃xff0c;用户彼此之间通过VLAN隔离&＃xff0c;此网络环境下&＃xff0c;网络管理控制的关键是用户接入控制&＃xff0c;802.1x不需要提供过多的安全机制。

(2)共享式网络环境
　　当802.1x应用于共享式的网络环境时&＃xff0c;为了防止在共享式的网络环境中出现类似“搭载”的问题&＃xff0c;有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系&＃xff0c;并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中&＃xff0c;用户之间共享接入物理媒介&＃xff0c;接入网络的管理控制必须兼顾用户接入控制和用户数据安全&＃xff0c;可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中&＃xff0c;可以通过加速WEP密钥重分配周期&＃xff0c;弥补WEP静态分配秘钥导致的安全性的缺陷。

802.1X认证的安全性分析
　　802.1x协议中&＃xff0c;有关安全性的问题一直是802.1x反对者***的焦点。实际上&＃xff0c;这个问题的确困扰了802.1x技术很长一段时间&＃xff0c;甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案&＃xff1a;802.1x结合EAP&＃xff0c;可以提供灵活、多样的认证解决方案。

 

案例&＃xff1a;

拓扑图&＃xff1a;

本实验实现的是接入的客户可以成功通过802.1x的认证。

交换机的配置&＃xff1a;

 

 dot1x

 dot1x authentication-method pap

#

radius scheme system

radius scheme abc

 server-type standard

 primary authentication 192.168.101.250

 accounting optional

 key authentication 123456

 user-name-format without-domain

#

domain system

domain tec

 scheme radius-scheme abc

 authentication radius-scheme abc

 access-limit enable 30

 accounting optional

#

local-user user1

 password simple 123

 service-type telnet

 level 3                                 

#

vlan 1

#

interface Vlan-interface1

 ip address 192.168.101.21 255.255.255.0

#

#

interface Ethernet1/0/14

 dot1x

 

windows下的aaa服务器搭建&＃xff1a;

在windows里面的添加删除组件中&＃xff0c;选择网络服务中的internet验证服务&＃xff0c;并安装。

安装完新建radius 客户端&＃xff1a;名为test  ip&＃xff1a;192.168.101.21

然后选择远程策略那一项&＃xff0c;在里面选择如下&＃xff1a;

在计算机管理里面新建用户test  密码123  并在其属性里面选择&＃xff1a;

 

下面是华为的801.x客户端上测试结果&＃xff1a;test用户验证成功&＃xff1a;

 

安全技术5&＃xff1a;arp绑定

说明&＃xff1a;

为了更好的对网络中的计算机进行管理&＃xff0c;您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。

　MAC地址&＃xff1a; 网络中被控制的计算机的MAC地址。

　IP地址&＃xff1a; 设定被控制计算机MAC地址的主机的IP地址。

　绑定&＃xff1a; 是否使能改MAC和IP的绑定匹配

　

 

案例&＃xff1a;

案例1&＃xff1a;端口&＃43;MAC

[sw]mac-address static 0026-22bb-22ff interface Ethernet0/2 vlan 1

[sw-Ethernet0/1]mac-address max-mac-count 0限制学习的地址&＃xff0c;让其不会学习别的mac地址。

当pc1接在e0/1接口时&＃xff1a;

测试&＃xff1a;

当pc1接在e0/2,由于其mac绑定在端口e1/0上所以不通了。

 

案例2&＃xff1a;

ip和mac的绑定

只需要全局下配置如下命令即可

[sw]arp static 192.168.100.1 0026-22bb-22ff

其主要用来防止arp欺骗。

 

此外还有下面的一些方法&＃xff1a;

AM命令实现的绑定&＃xff1a;

使用特殊的AM User-bind命令&＃xff0c;来完成MAC地址与端口之间的绑定。

例如&＃xff1a;[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明&＃xff1a;由于使用了端口参数&＃xff0c;则会以端口为参照物&＃xff0c;即此时端口E0/1只允许PC1上网&＃xff0c;而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

 

IP&＃43;MAC

华为交换机H3C端口AM命令

使用特殊的AM User-bind命令&＃xff0c;来完成IP地址与MAC地址之间的绑定。例如&＃xff1a;[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明&＃xff1a;以上配置完成对PC机的IP地址和MAC地址的全局绑定。

即与绑定的IP地址或者MAC地址不同的PC机&＃xff0c;在任何端口都无法上网。

 

 

端口&＃43;IP&＃43;MAC

使用特殊的AM User-bind命令&＃xff0c;来完成IP、MAC地址与端口之间的绑定。华为交换机H3C端口例如&＃xff1a;[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。

 

配置说明&＃xff1a;可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数&＃xff0c;则会以端口为参照物&＃xff0c;即此时端口E0/1只允许PC1上网&＃xff0c;而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。