二层以太网交换机的二层以太网交换机的4 4种安全技术种安全技术地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术以太网交换机作为企业内部网络通讯的关键设备，有必要在企以太网交换机作为企业内部网络通讯的关键设备，有必要在企业网内部提供充分的安全保护功能业网内部提供充分的安全保护功能。 用户只要能接入以太网交换机，就可以访问用户只要能接入以太网交换机，就可以访问Internet网上的设备网上的设备或资源，使局域网上的安全性问题更显突出。或资源，使局域网上的安全性问题更显突出。HXXX系列以太网交换机针对网络安全问题提供了多种网络安系列以太网交换机针对网络安全问题提供了多种网络安全机制。全机制。引子引子学习完本课程，您应该能够：学习完本课程，您应该能够：了解以太网安全技术的基本内容了解以太网安全技术的基本内容掌握地址绑定及端口隔离的原理与配置掌握地址绑定及端口隔离的原理与配置掌握掌握Portal认证的基本原理与认证的基本原理与配置配置掌握访问控制列表进行报文过滤的原理与配置掌握访问控制列表进行报文过滤的原理与配置地址绑定技术的作用为了防止内部人员进行非法IP盗用，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败;由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。MAC、IP与端口绑定进行绑定操作后，只有指定MAC地址和IP地址的计算机发出的报文才能通过制定端口转发，提高了系统的安全性，增强了对网络安全的监控。该计算机可以在没有设置绑定的其他端口上使用。MAC、IP与端口绑定的基本配置n对同一个MAC地址，系统只允许进行一次绑定操作。操作操作命令命令说明说明进入系统视图 system-view - 将合法用户的MAC地址和IP地址绑定到指定端口上 am user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number 可选 进入以太网端口视图 interface interface-type interface-number - 将合法用户的MAC地址和IP地址绑定到当前端口上 am user-bind mac-addr mac-address ip-addr ip-address 可选MAC、IP与端口绑定的配置显示操作操作命令命令说明说明显示端口绑定的配置信息 display am user-bind interface interface-type interface-number | mac-addr mac-addr | ip-addr ip-addr display命令可以在任意视图下执行 地址绑定技术案例为了防止校园网内有恶意用户盗用PC1的IP地址，将PC1的MAC地址和IP地址绑定到SwitchA的Ethernet1/0/1端口上。Switch ASwitch BPC1PC2E1/0/1MAC:0001-0002-0003地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术端口隔离概述通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，增强了网络的安全性。端口隔离特性与以太网端口所属的VLAN无关。端口隔离技术基本配置操作操作命令命令说明说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 将以太网端口加入到隔离组中 port isolate 必选缺省情况下，隔离组中没有加入任何以太网端口 端口隔离的配置显示操作操作命令命令说明说明显示已经加入到隔离组中的以太网端口信息 display isolate port display命令可以在任意视图下执行 端口隔离技术案例小区用户PC1、PC2、PC3分别与交换机的以太网端口E1/0/2、E1/0/3、E1/0/4相连。交换机通过E1/0/1端口与外部网络相连。小区用户PC1、PC2和PC3之间不能互通。InternetPC1PC2PC3SwitchE1/0/1E1/0/2E1/0/3E1/0/4地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术网络认证技术常用的网络认证技术包括：Portal认证认证Portal认证的基本原理Portal认证的基本原理：未认证的Portal用户用户只能访问特定的站点服务器，其它任何访问都被无条件地重定向到Portal服务器；只有在认证通过后，用户才能访问Internet。Portal认证的优点Portal认证的优点包括：Poratl认证无需安装客户软件，终端用户使用方便。Portal认证对新业务支撑的能力强大。利用Portal认证的门户功能，运营商还可以将小区广播、广告、信息查询、网上购物等业务放到Portal上，用户上网时就会强制地看到上述信息。Portal的系统组成认证客户机NAS接入设备Portal服务器认证/计费服务器认证认证/计费服务器计费服务器Portal服务器服务器NAS接入设备接入设备认证客户机认证客户机C认证客户机认证客户机B认证客户机认证客户机APortal认证的过程NAS首次接收到登录用户的HTTP报文时，判断该登录用户是否为Portal用户。对于Portal用户访问其他站点的HTTP报文，交换机通过TCP仿冒将其重定向到Portal服务器；用户在Portal服务器提供的Web页面输入用户名和密码，输入的用户名和密码会通过Portal服务器转发到NAS；NAS将用户名和密码发到认证服务器进行认证，认证通过后，NAS允许用户访问Internet，之后不再对该用户的HTTP报文进行重定向。Portal的运行方式Portal有三种运行方式直接认证方式二次地址分配方式三层Portal认证方式注意：出于安全性考虑，直接认证方式和二次地址分配方式都要求检查用户的MAC地址，因此只能在用户接入的第一个三层接口上启用Portal，即在用户和接入设备之间不能跨越启用三层协议的网络设备。三层Portal认证方式不检查用户的MAC地址，安全性有所降低。在安全性要求较高的场合，不建议使用三层Portal认证方式。Portal免认证用户和免费IP免认证用户不不需要进行Portal认证即可访问Internet的用户。免费IP用户可以不受限制访问的IP地址。免费IP可以设置为DNS服务器的IP地址，或者ISP提供的免费访问网站的IP地址Portal的基本配置（一）操作操作命令命令说明说明进入系统视图 system-view - 配置Portal服务器 portal server server-name ip ip-address | key key-string | port port | url url-string * 必选 ；缺省情况下，无Portal服务器；当配置一个Portal服务器时，key-string缺省为Not configured；port缺省为50100；url-string缺省为ip-address的字符串方式 配置Portal的运行方式 portal method direct | layer3 | redhcp 可选 ；缺省情况下，Portal运行方式为直接认证方式（direct） 配置认证网段 portal auth-network network-address net-mask vlan vlan-id 当配置Portal运行方式为三层认证方式（layer3）时，必须配置此命令。其他方式略过此步骤 Portal的基本配置（二）操作操作命令命令说明说明配置与用户PC进行ARP握手的时间间隔和允许握手失败的最大次数 portal arp-handshake interval interval | retry-times retry-times * 可选 ；此任务仅对直接认证方式和二次地址分配方式有效 进入VLAN接口视图 interface vlan-interface vlan-id 以下VLAN接口视图的显示与输入的vlan-id对应 在VLAN接口上使能Portal认证 portal server-name 必选 Portal的配置信息的显示与清除操作操作命令命令说明说明显示与认证、连接、管理相关的状态机统计信息 display portal acm | server | tcp-cheat statistics - 显示Portal认证网段相关信息 display portal auth-network auth-vlan-id | free-ip | free-user | server server-name | vlan vlan-id - 显示Portal用户信息 display portal user ip ipaddress | interface interface-type interface-number | vlan vlan-id - 清除Portal的相关统计信息 reset portal acm | server | tcp-cheat statistics -Portal免认证用户和免费IP配置操作操作命令命令说明说明进入系统视图 system-view - 配置免费IP portal free-ip ip-address mask | mask-length 最多可以配置免费IP数由NAS设备决定，Portal服务器自动占用一个免费IP 配置免认证用户 系统视图下 portal free-user mac mac-address ip ip-address vlan vlan-id interface interface-type interface-number 最多可以配置免认证用户个数由NAS决定；在端口下配置该命令使用当前端口，不用指定interface 端口视图下 portal free-user mac mac-address ip ip-address vlan vlan-id 显示Portal免认证用户和免费IP的配置信息 display portal free-ip | free-user - 删除Portal用户的配置操作操作命令命令说明说明进入系统视图 system-view - 删除指定IP地址的Portal用户 portal delete-user ip-address - PortalPortal认证认证典型配置典型配置 VLAN34内的客户机需通过Portal服务器认证后方可访问其他网络资源。InternetPortal ServerWeb ServerVLAN1 E0/2VLAN1 E0/3VLAN10 E0/10VLAN1 E0/1E/0/4VLAN34 E0/34E/38地址绑定技术地址绑定技术端口隔离技术端口隔离技术接入认证技术接入认证技术报文过滤技术报文过滤技术报报文文过滤过滤技技术术概述概述报文过滤根据报文的源IP地址、目的IP地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。 实现报文过滤的核心技术就是ACL（Access Control List，访问控制列表）。ACLACL分分类类nACL分为下面几种基本ACL高级ACL二层ACL用户自定义ACLACLACL的作用的作用 可以限制网络流量、提高网络性能提供对通信流量的控制手段是提供网络安全访问的基本手段可以在端口处决定哪种类型的通信流量被转发或被丢弃ACLACL的配置的配置 访问控制列表的配置包括：配置时间段（可选）定义访问控制列表应用访问控制列表 以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后应用访问控制列表，使其生效。 ACLACL中中时间时间段的配置段的配置 操作操作命令命令说明说明进入系统视图 system-view - 创建一个时间段 time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date | from start-time start-date to end-time end-date | to end-time end-date 必选 显示时间段 display time-range all | time-name 可选 ；display命令可以在任意视图下执行 对时间段的配置有如下内容：配置周期时间段和绝对时间段。ACLACL中中时间时间段的配置段的配置举举例例n配置周期时间段，取值为周一到周五每天8:00到18:00 system-view HXXX time-range test 8:00 to 18:00 working-dayn配置绝对时间段，取值为2000年1月28日15:00起至2004年1月28日15:00结束 system-view HXXX time-range test from 15:00 1/28/2000 to 15:00 1/28/2004定定义义基本基本ACLACL规则规则的配置的配置操作操作命令命令说明说明进入系统视图 system-view - 创建或进入基本ACL视图 acl number acl-number match-order config | auto 缺省情况下匹配顺序为config 定义ACL规则 rule rule-id permit | deny fragment | source sour-addr sour-wildcard | any | time-range time-name * 可选 ；定义ACL的描述信息 description text 可选 显示ACL信息 display acl all | acl-number 可选 ；display命令可以在任意视图下执行 n基本ACL的编号号取值范围为20002999。基本基本ACLACL的配置的配置举举例例配置一个ACL 2000，禁止源地址为的报文通过 system-viewHXXX acl number 2000HXXX-acl-basic-2000 rule deny source 1.1.1.1 0HXXX-acl-basic-2000 display acl 2000Basic ACL 2000, 1 ruleAcls step is 1rule 0 deny source 1.1.1.1 0 定定义义高高级级ACLACL规则规则的配置的配置操作操作命令命令说明说明进入系统视图 system-view - 创建或进入高级ACL视图 acl number acl-number match-order config | auto 缺省情况下匹配顺序为config 定义ACL规则 rule rule-id permit | deny rule-string 必选 定义ACL规则的注释字符串 rule rule-id comment text 可选定义ACL的描述信息 description text 可选 显示ACL信息 display acl all | acl-number 可选 ；display命令可以在任意视图下执行 高级ACL的编号号取值范围为30003999。高高级级ACLACL的配置的配置举举例例n配置ACL 3000，允许从网段的主机向网段的主机发送的端口号为80的TCP报文通过 system-viewHXXX acl number 3000HXXX-acl-adv-3000 rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80HXXX-acl-adv-3000 display acl 3000Advanced ACL 3000, 1 ruleAcls step is 1 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www定定义义二二层层ACLACL规则规则的配置的配置操作操作命令命令说明说明进入系统视图 system-view - 创建或进入二层ACL视图 acl number acl-number 必选 定义ACL规则 rule rule-id permit | deny rule-string 必选 定义ACL规则的注释字符串 rule rule-id comment text 可选定义ACL的描述信息 description text 可选 显示ACL信息 display acl all | acl-number 可选 ；display命令可以在任意视图下执行 n二层ACL的编号取值范围为40004999。二二层层ACLACL的配置的配置举举例例n配置ACL 4000，禁止从MAC地址000d-88f5-97ed发送到MAC地址011-4301-991e且优先级为3的报文通过 system-viewHXXX acl number 4000HXXX-acl-ethernetframe-4000 rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffffHXXX-acl-ethernetframe-4000 display acl 4000Ethernet frame ACL 4000, 1 ruleAcls step is 1 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff 用用户户自定自定义义ACLACL规则规则的配置的配置操作操作命令命令说明说明进入系统视图 system-view - 创建或进入用户自定义ACL视图 acl number acl-number 必选 定义ACL规则 rule rule-id permit | deny rule-string rule-mask offset & time-range name 必选 定义ACL规则的注释字符串 rule rule-id comment text 可选定义ACL的描述信息 description text 可选 显示ACL信息 display acl all | acl-number 可选 ；display命令可以在任意视图下执行 用户自定义ACL的编号取值范围为50005999。用用户户自定自定义义ACLACL的配置的配置举举例例配置ACL 5001，禁止所有的TCP报文通过（假设没有端口启动VLAN VPN功能） system-viewHXXX time-range t1 18:00 to 23:00 satHXXX acl number 5001HXXX-acl-user-5001 rule 25 deny 06 ff 27 time-range t1HXXX-acl-user-5001 display acl 5001User defined ACL 5001, 1 rulesAcls step is 1rule 25 deny 06 ff 27 time-range t1 (Inactive) 在端口上在端口上应应用用ACLACL规则规则的配置的配置 操作操作命令命令说明说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 在端口上应用ACL packet-filter inbound | outbound acl-rule 必选 基于基于VLANVLAN的的ACLACL规则规则配置配置 操作操作命令命令说明说明进入系统视图 system-view - 在VLAN上应用ACL packet-filter vlan vlan-id inbound | outbound acl-rule 必选 基本基本ACLACL典型配置典型配置 通过基本ACL，实现在每天8:0018:00时间段内对源IP为主机发出的报文过滤（该主机从交换机的GigabitEthernet1/1/1接入） S3600Internet高高级级ACLACL典型配置典型配置 校园网通过HXXX S3600系列以太网交换机的端口实现各部门之间的互连。实验室网络由GigabitEthernet1/1/1接入交换机，FTP服务器的地址为。要求正确配置ACL，限制在实验室学习的学生在8:00至18:00访问FTP服务器 。S3600FTP服务器实验室网络其他部门PC以太网交以太网交换换机用机用户户自定自定义义ACLACL典型配置典型配置 通过用户自定义ACL，实现在每天8:0018:00时间段内禁止所有的TCP报文通过。该用户自定义ACL在Ethernet1/0/1端口上应用。S3600Internet