交换机端口安全技术

交换机端口安全技术

1、802.1X

定义

起源于WLAN协议802.11，解决局域网终端的接入认证问题

认证方式

• 本地认证

由设备端内置本地服务器对客户端进行认证

• 远程集中认证

由远程的认证服务器对客户端进行认证

端口接入控制方式

• 基于端口认证

只要该端口下的第一个用户认证成功后，其他接入用户就无需认证就可以使用网络资源，但是当第一个接入用户下线后，其他用户也会被拒绝使用网络资源

• 基于Mac地址认证

该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络

2、常用命令

//开启全局的802.1X特性
[h3c]dot1x

//开启端口的802.1X特性
[h3c]dot1x interface inteface-list

//添加本地接入用户
[h3c]loca-user user-name class network

//设置服务类型
[h3c-luser-network-locaouser]service-type lan-access

//设置密码
[h3c-luser-network-locaouser]password{cipher | smiple }password

3、端口隔离技术

1. 为了减小VLAN资源的浪费，于是采用端口隔离特性，实现同一VLAN内端口之间的隔离
2. 用于在同vlan内部隔离用户
3. 同一隔离组端口不能通讯，不同隔离组端口可以通讯

4、常用命令

//创建隔离组
[h3c]port-isolate group 1

//将指定端口加入隔离组中，使端口成为隔离组的普通端口
[h3c-ethernet1/0/1]port-isolate enable group 1

//将指定端口加入隔离组中，使端口成为隔离组的上行端口
[h3c-ethernet1/0/1]port-isolate uplink-port

5、端口绑定技术

1. 通过“mac+ip+端口”进行绑定
2. 可以实现设备对转发报文的过滤控制，提高安全性
3. 当端口收到报文时，会查看报文中的源Mac，源IP地址与交换机上所配置的静态表项是否一致
   • 如果报文中源Mac，源IP地址与所设定的Mac、ip相同，端口将转发该报文
   • 如果报文中源Mac，源IP地址中与所设定的Mac、ip有任意一个不同，端口将丢弃该报文

6、常用命令

//配置静态绑定表项
[h3c-ethernet1/0/1]user-bind ip-address ip-address [mac-address mac-address]