用户访问的安全
Quidway 系列以太网交换机的命令行采用分级保护方式,防止未授权用户的非法侵
入。
命令行划分为访问级、监控级、系统级、管理级 4个级别,简介如下:
访问级:包含的命令用于网络诊断、用户界面的语言模式切换。包括 ping、
tracert、language-mode命令等,该级别命令不能被保存到配置文件中。
监控级:包含的命令用于系统维护、业务故障诊断等。包括display、 debugging
命令等,该级别命令不能被保存到配置文件中。
系统级:包含的命令用于业务配置。包括各个网络层次的命令,用于向用户提
供直接网络服务。
管理级:包含的命令关系到系统的基本运行、系统支撑的模块,这些命令对业
务提供支撑作用。包括文件系统、FTP、TFTP、XModem 下载、用户管理命
令、级别设置命令等。
登录交换机的用户也划分为 4 个级别,分别与命令级别相对应,即不同级别的用户
登录后,只能使用等于或低于自己级别的命令。
同时为了防止误操作,以及越权操作等,亦可以通过用户级别切换密码加以防范.设置用户级别切换密码的口令为
super-view进入系统试图
super password [ level level ] { simple | cipher } password 设置相应级别的切换密码
super {level} 切换到 级别
VLAN安全
默认情况下不同vlan是不可以通讯的,这从某个方面保证了安全,但是若不想让单个vlan之间的某些端口相互通信,则可以将其端口加入隔离组
其常用的安全协议及技术有
acl策略技术
AAA验证服务
MAC绑定
Arp绑定
AM接口
802.1x
下面我们逐一对其进行解读
一 ACL
ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为
了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特
定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等。
根据应用目的,可将ACL分为以下几种
基本 ACL:只根据三层源 IP地址制定规则。
高级 ACL:根据数据包的源 IP地址信息、目的 IP地址信息、IP承载的协议类
型、协议特性等三、四层信息制定规则。
二层 ACL:根据源 MAC 地址、目的 MAC 地址、VLAN 优先级、二层协议类
型等二层信息制定规则。
其常用的安全协议及技术有
acl策略技术
AAA验证服务
MAC绑定
Arp绑定
AM接口
802.1x
下面我们逐一对其进行解读
一 ACL
说明:ACL(Access Control List,访问控制列表)
ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
基本 ACL:只根据数据包的源IP 地址制定规则。
高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。
二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。
用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。(华为设备默认允许)
Ø 100~199:表示WLAN ACL;
Ø 2000~2999:表示IPv4 基本ACL;
Ø 3000~3999:表示IPv4 高级ACL;
Ø 4000~4999:表示二层ACL;
Ø 5000~5999:表示用户自定义ACL。
Ø 创建时间段:time-range
案例一 标准acl 将192.168.100.170限定为不可tenlet登录交换机
交换机上配置
[sw3]acl number 2000
[sw3-acl-basic-2000]rule deny source 192.168.100.170 0(建立acl)
[sw3-acl-basic-2000]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 192.168.100.170 0 (0 times matched)
未启用前pc可以telnet上
[sw3]user-interface vty 0 4
[sw3-ui-vty0-4]acl 2000 inbound(将acl加入生效)
[sw3-ui-vty0-4]quit
加入后则不可以telnet上
案例二 拓展acl
配置过程如下
路由器配置:
路由器配置:
acl 3000 match-order auto
rule normal permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal deny ip source any destination any
rule normal permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule normal deny ip source any destination any
interface Ethernet1
!
interface Ethernet1.1
vlan-type dot1q vid 10
ip address 192.168.10.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.2
vlan-type dot1q vid 20
ip address 192.168.20.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.3
vlan-type dot1q vid 30
ip address 192.168.30.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.4
vlan-type dot1q vid 40
ip address 192.168.40.1 255.255.255.0
firewall packet-filter 3000 inbound
交换机配置
#
vlan 1
#
vlan 10
name vlan10
#
vlan 20
name TEC
#
vlan 30
name MKT
#
vlan 40
name SERVER
!
interface Ethernet1.1
vlan-type dot1q vid 10
ip address 192.168.10.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.2
vlan-type dot1q vid 20
ip address 192.168.20.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.3
vlan-type dot1q vid 30
ip address 192.168.30.1 255.255.255.0
firewall packet-filter 3000 inbound
!
interface Ethernet1.4
vlan-type dot1q vid 40
ip address 192.168.40.1 255.255.255.0
firewall packet-filter 3000 inbound
交换机配置
#
vlan 1
#
vlan 10
name vlan10
#
vlan 20
name TEC
#
vlan 30
name MKT
#
vlan 40
name SERVER
#
interface Ethernet0/2
port access vlan 10
#
interface Ethernet0/3
#
interface Ethernet0/4
port access vlan 20
#
interface Ethernet0/5
#
interface Ethernet0/6
port access vlan 30
#
interface Ethernet0/7
#
interface Ethernet0/8
port access vlan 40
#
#
interface Ethernet0/24
port link-type trunk
port trunk permit vlan all
dot1x
interface Ethernet0/2
port access vlan 10
#
interface Ethernet0/3
#
interface Ethernet0/4
port access vlan 20
#
interface Ethernet0/5
#
interface Ethernet0/6
port access vlan 30
#
interface Ethernet0/7
#
interface Ethernet0/8
port access vlan 40
#
#
interface Ethernet0/24
port link-type trunk
port trunk permit vlan all
dot1x
测试结果:
Vlan10 访问20:
以及Vlan10 访问40:
二 AAA服务
AAA是 Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,
它是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器?
具有访问权的用户可以得到哪些服务?
如何对正在使用网络资源的用户进行计费?
认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证,设备
(如 Quidway系列交换机)作为客户端,与 RADIUS服务器或 TACACS服务
器通信。对于 RADIUS协议,可以采用标准或扩展的 RADIUS协议。
AAA可完成下列服务:
认证:验证用户是否可获得访问权。
授权:授权用户可使用哪些服务。
计费:记录用户使用网络资源的情况。
AAA的优点
(1) 灵活易控。
(2) 标准化的认证方法。
(3) 多重备用系统。
AAA的基本配置包括:
(1) 使能 AAA
(2) 配置认证
(3) 配置授权
( 4 ) 配置计费
AAA的高级配置包括:
配置本地用户数据库
配置本地 IP地址池
为 PPP用户分配 IP地址
相关功能及命令简介
只有使能了 AAA,才可继续进行 AAA的其它配置任务。
使能AAA aaa-enable
禁止AAA undo aaa-enable
配置认证
在 AAA 中,认证是必须使用的。就是说在 AAA 中可以只使用认证,而不使用授权
或计费。
配置本地用户
本地用户用于采用本地验证方法时的用户名与密码验证。
请在系统视图下进行下列各项配置。
配置用户及口令local-user user-name [ password { simple | cipher } password ] ...
删除用户 undo local-user user-name
配置回呼(Callback)用户
Callback技术即回呼技术,最初由Client端(用户侧)发起呼叫,要求 Server端向
本端回呼;Server端接受呼叫,并决定是否向 Client端发起回呼。
利用 Callback技术可增强安全性。回呼处理中,Server端会根据本端配置的呼叫号
码来呼叫 Client端, 从而可避免因用户名、 口令失密而导致的不安全性。 另外, Server
端还可根据本端的配置,对呼入请求进行分类,即拒绝呼叫、接收呼叫(不回呼)
或接收回呼,从而可以对不同的 Client端实施不同的限制,并且 Server端在外部呼
入时可以实现资源访问的主动性。
配置回呼用户及其回呼号码
local-user user-name [ callback-n telephone-number ] ...
删除回呼用户及其回呼号码
undo local-user user-name
配置有主叫号码的用户
local-user user-name [ call-number telephone-number ]
[ :sub-telephone-number ] ...
删除有主叫号码的用户
undo local-user user-name
配置FTP用户与其可用的目录
local-user user-name [ ftp-directory directory ] ...
删除FTP用户与其可用的目录
undo local-user user-name
授权用户可使用的服务类型
在本地数据库中可对以下五种服务类型用户能使用的服务进行授权:
administrator:授权用户为管理员,管理员可以通过 Telnet或其它方式(如
Console口、AUX口、X.25 PAD呼叫等)登录到路由器进行配置操作。
guest:授权用户为访客。
operator:授权用户为操作员。
ssh:通过 SSH登录的用户。
ftp是指通过文件传输方式登录到路由器,以享用相应的服务。
ppp是指用户可以享用远程拨号服务。
配置授权用户可使用的服务
local-user user-name [ service-type [ exec-administrator
exec-guest | exec-operator ] [ ssh ][ ftp ] [ ppp ] ... ] ...
删除授权用户可使用的服务 undo local-user user-name
AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
案例三
需要通过交换机实现登录交换机的telnet用户进行本地认证
交换机配置如下:
radius scheme xxx
primary authen 192.168.100.100
key authentication 123456
user-name -formatt without-domain
accounting option
server-type huawei
quit
domain tec
radius-scheme xxx
access-limit enable 10
accouting option
quit
primary authen 192.168.100.100
key authentication 123456
user-name -formatt without-domain
accounting option
server-type huawei
quit
domain tec
radius-scheme xxx
access-limit enable 10
accouting option
quit
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.25 255.255.255.0
#
interface Vlan-interface1
ip address 192.168.100.25 255.255.255.0
三 ARP绑定
案例四
1. 组网需求
关闭 ARP 表项检查功能。
设置交换机上动态 ARP 表项的老化时间为5 分钟。
增加一个静态ARP 表项,IP 地址为192.168.100.170,对应的MAC 地址为
全1,对应的出端口为Ethernet1/0/2。
2. 组网图
[sw3]undo arp check enable
[sw3]arp timer aging 5
[sw3]arp static 192.168.100.170 1111-1111-1111
取消后进行测试
四 802.1x
IEEE 802.1x 标准(以下简称802.1x )的主要内容是一种基于端口的网络接入控制
(Port Based Network Access Control )协议。
在符合IEEE 802 标准的局域网中,只要与局域网接入控制设备如LANSwitch 相接,
用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、商务
局域网(典型的例子是写字楼中的 LAN )以及移动办公等应用场合,局域网服务的
提供者普遍希望能对用户的接入进行控制,为此产生了本章开始就提到的对“基于
端口的网络接入控制”的需求。
“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的
设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域
网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物
理断开。
802.1x 定义了基于端口的网络接入控制协议,并且仅定义了接入设备与接入端口间
点到点这一种连接方式。其中端口既可以是物理端口,也可以是逻辑端口。典型的
应用环境如:LANSwitch 的每个物理端口仅连接一个用户的计算机工作站(基于物
理端口),IEEE 802.11 标准定义的无线LAN 接入环境(基于逻辑端口)等。
(Port Based Network Access Control )协议。
在符合IEEE 802 标准的局域网中,只要与局域网接入控制设备如LANSwitch 相接,
用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、商务
局域网(典型的例子是写字楼中的 LAN )以及移动办公等应用场合,局域网服务的
提供者普遍希望能对用户的接入进行控制,为此产生了本章开始就提到的对“基于
端口的网络接入控制”的需求。
“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的
设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域
网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物
理断开。
802.1x 定义了基于端口的网络接入控制协议,并且仅定义了接入设备与接入端口间
点到点这一种连接方式。其中端口既可以是物理端口,也可以是逻辑端口。典型的
应用环境如:LANSwitch 的每个物理端口仅连接一个用户的计算机工作站(基于物
理端口),IEEE 802.11 标准定义的无线LAN 接入环境(基于逻辑端口)等。
案例五
1.要求在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是基于MAC地址的接入控制。
2.所有接入用户都属于一个缺省的域:abc,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过 20分钟流量持续小于2000Bytes的情况则切断其连接。
3. 由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码 “money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15 分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
4.本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态
3. 由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码 “money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15 分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
4.本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态
组网图:
radius scheme 2000
primary authentication 10.11.1.1 1812
primary accouting 10.11.1.1 1813
# 开启全局802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
# 开启指定端口Ethernet 1/0/1的802.1x特性。
[Sysname] dot1x interface Ethernet 1/0/1
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
# 创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
# 设置系统与认证RADIUS服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的加密密码。
[Sysname-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Sysname-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建域aabbcc.net并进入其视图。
[Sysname] domain aabbcc.net
# 指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[Sysname-isp-aabbcc.net] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[Sysname-isp-aabbcc.net] idle-cut enable 20 2000
[Sysname-isp-aabbcc.net] quit
# 配置域aabbcc.net为缺省用户域。
[Sysname] domain default enable aabbcc.net
# 添加本地接入用户。
[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple localpass
五 am
当以太网交换机接入的用户数量不多时从成本方面考虑 分配给不同企业的端口
要求属于同一个 VLAN 同时为每个企业分配固定的 IP 地址范围 只有 IP 地址
在该地址范围内的用户才能通过该端口接入外部网络另外出于安全的考虑 不
同企业之间不能互通 利用以太网交换机提供的访问管理功能端口和 IP 地址的绑定
案例六
pc1 连接到以太网交换机的端口 1 ,pc2 连接到以太网交换机的端口 2 端口 1
和端口 2 属于同一个 VLAN 端口1 下可以接入的 IP 地址范围为 192.168.100.1~192.168.100.10,端口 2 下可以接入的 IP 地址范围为 192.168.100.11~192.168.10.30机构1 和机构 2 的设备不能互通
# 全局开启访问管理功能
[Quidway] am enable
# 配置端口 1 上的访问管理 IP 地址池
[Quidway-Ethernet0/1] am ip-pool 192.168.100.1 10
# 设置端口 1 与端口 2 二层隔离
[Quidway-Ethernet0/1] am isolate ethernet0/2
# 配置端口 2 上的访问管理 IP 地址池
[Quidway-Ethernet0/2] am ip-pool 192.168.100.11 20
若Pc1和pc2处于指定ip范围时则 Pc1访问pc2,此时不通。
六 MAC绑定
案例七交换机的管理者希望在端口 Ethernet1/0/10 上对用户接入进行MAC 地址认证,以控制用户对Internet 的访问。
拓扑图
