一.1端口隔离简介

 

通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。

目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。

􀀉 说明:

端口隔离特性与以太网端口所属的VLAN无关。

 

 

一.2 访问管理简介

 

为了满足接入层交换机对用户访问权限的控制,可在接入层交换机上配置访问管理功能。通过该功

能,可以控制接入层交换机(Switch A)端口下使用不同IP 地址的主机对外部网络的访问权限。

访问管理功能是指:在接入层以太网交换机的端口上,通过配置端口的访问管理IP 地址池,将指定

范围的IP 地址与端口进行绑定。

􀁺 如果某个端口上配置了访问管理地址池,则只允许连接到该端口的,IP 地址在访问管理IP 地

址池内的主机与外部通信。

􀁺 如果某个端口上未配置访问管理地址池,则只要主机 IP 地址不在交换机其它端口的访问管理

地址池中,该主机就可以与外部通信。

需要注意的是:端口上访问管理 IP 地址池中的地址,必须与该端口所属VLAN 的接口IP 地址在同一网段。



 

一.3 acl简介

  ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

 

ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

 

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。

 

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

 

 

例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。

 

一.4 AAA简介

AAAAuthentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费3种安全功能。

认证(Authentication

验证用户是否可以获得访问权,确定哪些用户可以访问网络。

授权(Authorization

授权用户可以使用哪些服务。

计费(Accounting

记录用户使用网络资源的情况。

AAA一般采用“Client/Server”结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。

1认证功能

S-switch设备所实现的AAA支持以下3种认证方式。

不认证

对用户非常信任,不检查用户的合法性。不建议采用这种方式。

本地认证

将用户信息(包括本地用户的用户名、密码和各种属性)配置在S-switch设备上。本地认证的优点是速度快,可以降低运营成本。缺点是存储信息量受设备硬件条件限制。

远端认证

通过RADIUSRemote Authentication Dial In User Service)协议或HWTACACSHuawei Terminal Access Controller Access Control System)协议进行远端认证。由S-switch设备作为客户端,与RADIUS服务器或HWTACACS服务器通信。对于RADIUS协议,可以采用标准RADIUS协议或华为公司的扩展RADIUS协议,与iTELLIN/CAMSComprehensive Access Management Server)等设备配合完成认证。

2授权功能

S-switch设备所实现的AAA支持以下5种授权方式。

直接授权

对用户非常信任,直接授权通过。

本地授权

根据S-switch设备上为本地用户配置的相关属性进行授权。

HWTACACS授权

HWTACACS服务器对用户进行授权。

if-authenticated授权

如果用户通过了认证,并且使用的认证方法不是none,则对用户授权通过。

RADIUS认证成功后授权

RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。当用户通过RADIUS认证后,RADIUS服务器立即对此用户进行授权。

3计费功能

S-switch设备所实现的AAA支持以下2种计费方式。

不计费

不对用户计费。

远端计费

支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

 

 

 

二.端口隔离与访问管理典型配置举例

 

1. 组网需求

客户端 PC 通过以太网交换机(Switch A)与外部网络相连。IP 地址范围是202.10.20.1/24~

202.10.20.20/24 的PC 属于机构1;IP 地址范围是202.10.20.25/24~202.10.20.50/24 或

202.10.20.55/24~202.10.20.65/24 的PC 属于机构2。

􀁺 允许机构 1 中的PC 通过Switch A 的端口Ethernet1/0/1 接入外部网络;

􀁺 允许机构 2 中的PC 通过Switch A 的端口Ethernet1/0/2 接入外部网络;

􀁺 端口 Ethernet1/0/1 和端口Ethernet1/0/2 均属于VLAN1,且Vlan-interface1 的IP 地址为

202.10.20.200/24;

􀁺 机构 1 和机构2 的PC 之间二层隔离。

2. 组网图

 

 

 3. 配置步骤

以下所有配置请在 Switch A 上进行。

关于端口隔离的具体原理和配置请参考“端口隔离”模块。

 

<Sysname> system-view

 

[Sysname] am enable

# 配置Vlan-interface1 接口的IP 地址为202.10.20.200/24。

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.10.20.200 24

[Sysname-Vlan-interface1] quit

# 配置端口Ethernet1/0/1 上的访问管理IP 地址池。

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] am ip-pool 202.10.20.1 20

# 将端口Ethernet1/0/1 加入隔离组。

[Sysname-Ethernet1/0/1] port isolate

[Sysname-Ethernet1/0/1] quit

# 配置端口Ethernet1/0/2 上的访问管理IP 地址池。

[Sysname] interface Ethernet 1/0/2

[Sysname-Ethernet1/0/2] am ip-pool 202.10.20.25 26 202.10.20.55 11

# 将端口Ethernet1/0/2 加入隔离组。

1-5

[Sysname-Ethernet1/0/2] port isolate

[Sysname-Ethernet1/0/2] quit

三.ACL典型配置举例

1.组网需求

 

1R2上配置标准访问列表,拒绝所有来自3.3.3.0网络的数据包。

2R2上配置扩展访问列表,阻塞来自网络23.1.1.0/24发往12.1.1.1地址的ICMP 包。

3.用命名的访问列表完成上述两个实验。

4R1路由器只允许23.1.1.3IP地址能够Telnet到路由器上。

5.在第4步骤中,R1路由器只允许R32006111日至20061130日的每周一到周五的8001800和周末的9002100才可以TelnetR1

6.只允许R1能够主动发起连接TelnetR3,不允许R3主动发起连接到R1路由器(Established)。

7R2上配置Lock-and-keyR3R1建立连接前需要在R2上进行认证(Telnet),在R2上的认证方式为本地数据库(在 VTY 线路下面开启 Login local),R2自动生成临时动态访问列表,并配置 绝对超时时间为5分钟,空闲时间为3分钟,自动生成的访问列表中的源地址必须用认证主机IP地址来进行替换。

 

2. 组网图

 

  3. 配置步骤

 

配置R1

Router>en 

Router#conf t

Router(config)#hostname R1

R1(config)#int S0

R1(config-if)#ip add 12.1.1.1  255.255.255.0

R1(config-if)#no shut

R1(config-if)#router  rip

R1(config-router)#network 12.1.1.1

R1(config-router)#end

R1 路由器只允许23.1.1.3IP地址能Telnet到路由器上

R1#conf t

R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23

R1(config)#int S0

R1(config-if)#ip access-gup 110 in

在第3步骤中,R1路由器只允许R32006111日至20061130日的每周一到周五的8001800和周末的9002100才可以TelnetR1. 

R1#conf t

R1(config)#time-range  telnettime    //建立允许访问的时间范围

R1(config-time-range)#absolute start 00:00 1 nov 2006 end 00:00 1 dec 2006

R1(config-time-range)#periodic weekday 08:00 to 18:00

R1(config-time-range)#periodic weekend 09:00 to 21:00

R1(config-time-range)#exit

R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime

//建立访问控制列表只允许R3 telnet 登入到 R1,将允许时间范围应用上

R1(config)#int S0

R1(config-if)#ip access-group 110 in

只允许R1能够主动发起连接TelnetR3,不允许R3主动发起连接到R1路由器(Established.

R1#conf t

R1(config)#access-list   110  permit  tcp  host  23.1.1.3  host  12.1.1.1  eq  23 time-range  telnettime established

//建立 Established列表,只允许 R1 主动发起连接 Telnet  R3这里的源地址指的是 R3 的接口地址23.1.1.3,因为要检查的是R3回应的数据流,只有回应的数据流中 TCPACKRST比特才会被设置成1,主动发起连接的设备R1数据流中的TCPACK  0

R1(config)#int S0

R1(config-if)#ip access-group 110 in

配置 R2

Router>en Router#conf t

Router(config)#hostname R2

R2(config)#int S0

R2(config-if)#ip add 12.1.1.2  255.255.255.0

R2(config-if)#no shut

R2(config-if)#clock rate 64000

R2(config-if)#int S1

R2(config-if)#ip add 23.1.1.2  255.255.255.0

R2(config-if)#no shut

R2(config-if)#clock rate 64000

R2(config-if)#router  rip

R2(config-router)#network 12.1.1.2

R2(config-router)#network 23.1.1.2

R2(config-router)#end

R2上配置标准访问列表,拒绝所有来自3.3.3.0网络的数据包.

R2#conf t

R2(config)#access-list 10 deny 3.3.3.0 0.0.0.255

R2(config)#access-list 10 permit any

R2(config)#int S1

R2(config-if)#ip access-group 10 in

R2上配置扩展访问列表,阻塞来自网络23.1.1.0/24发往12.1.1.1地址的ICMP 

R2#conf t

R2(config)#access-list 100 deny icmp 23.1.1.0 0.0.0.255 host 12.1.1.1

R2(config)#access-list 100 permit ip any any

R2(config)#int S1

R2(config-if)#ip access-group 100 in

 R2上配置 Lock-and-keyR3R1建立连接前需要在R2上进行认证(Telnet),在R2上的认证方式为本地数据库(在 VTY 线路下面开启 Login local),R2自动生成临时动态访问列表,并配置绝对超时时间为5分钟,空闲时间为3分钟,自动生成的访问列表中的源地址必须用认证主机IP地址来进行替换.

R2#conf t

R2(config)#access-list  120 dynamic spoto timeout 5 permit tcp any host    12.1.1.1//绝对超时5分钟

R2(config)#access-list 120 permit tcp host 23.1.1.3 host 23.1.1.2 //允许 R3 通过 tcp 协议访问 R2

R2(config)#int S1

R2(config-if)#ip access-group 120 in

R2(config-if)#end

R2#access-enable  host timeout 3

//配置 Lock-and-key  特性的最后步骤是让路由器能在一个动态访问控制列表中创建一个临时性的访问控 制列表条目,缺省情况下,路由器是不这么做的,可以使用下面此命令来进行启用.

Cisco 强烈推荐用户使用该命令的关键字 Host,其源地址总是用认证主机的IP地址来替换,所以我们在 定义动态访问列表的源地址中总是指定 anyTimeout规定了空闲超时值,指示连接在被切断之前允许保 持的空闲时间。

R2#conf t

R2(config)#username  spoto password spoto    //建立本地用户和口令

R2(config)#lin vty 0 4

R2(config-line)#login  local     //登入使用本地认证

R2(config-line)#autocommand access-enable host timeout 10 //触发 access-enable 的命令

 

配置 R3

Router>en Router#conf t

Router(config)#ostname R3

R3(config)#int S0

R3(config-if)#ip add 23.1.1.3    255.255.255.0

R3(config-if)no shut

R3(config-if)#int loop0

R3(config-if)#ip add 3.3.3.3    255.255.255.0

R3(config-if)#no shut

R3(config-if)#router  rip

R3(config-router)#network 3.3.3.3

R3(config-router)#network 23.1.1.3

R3(config-router)#end

R3#sh run

 四.ACL典型配置举例

1. 组网需求

 

采用RADIUS协议对Telnet用户的认证。

最多允许5Telnet用户登录设备,对Telnet用户先用RADIUS服务器进行认证,如果没有响应,则不认证。认证服务器IP地址为1.1.1.1,无备用服务器,接口号为默认值1812

 

 2. 组网图

 

 

3. 配置步骤

 

配置登录用户只能使用Telnet协议登录并设置AAA认证登录用户。

[S-switch-A] user-interface vty 0 4

[S-switch-A-ui-vty0-4] protocol inbound telnet

[S-switch-A-ui-vty0-4] authentication-mode aaa

[S-switch-A-ui-vty0-4] quit

配置RADIUS服务器模板。

[S-switch-A] radius-server template shiva

配置RADIUS认证服务器IP地址和接口。

[S-switch-A-radius-shiva] radius-server authentication 1.1.1.1 1812

配置RADIUS服务器密钥、重传次数。

[S-switch-A-radius-shiva] radius-server shared-key it-is-my-secret

[S-switch-A-radius-shiva] radius-server retransmit 2

[S-switch-A-radius-shiva] quit

进入AAA视图。

[S-switch-A] aaa

配置认证方案liuwei,认证方法为先RADIUS,如果没有响应,则不认证。

[S-switch-Aaaa] authentication-scheme liuwei

[S-switch-A-aaa-authen-r-n] authentication-mode radius none

[S-switch-A-aaa-authen-r-n] quit

配置名称为r-n的域,在域下采用r-n认证方案、缺省的计费方案(不计费),shivaRADIUS模板。

[S-switch-A-aaa] domain liuwei

[S-switch-A-aaa-domain-default] authentication-scheme liuwei

[S-switch-A-aaa-domain-default] radius-server shiva