交换机端口安全技术

数通 · 2022-09-08 · 58 人浏览
交换机端口安全技术

什么是端口安全技术

早期针对于物理端口接入的安全技术
因为没有验证或者认证功能
用户可以私自接入交换机并且访问内网中的所有资源
于是繁衍出了此功能,其实这个功能最早是应用在无线技术上的
无线用户接入需要验证功能。

802.1X基本原理

这个就是我们今天要了解的技术
起源于WLAN协议802.11,解决局域网终端的连接认证问题
认证
是一种基于端口的网络接入控制协议(Port Based NetWork Access Control)
通过对接入的端口和MAC进行认证绑定,通过认证才能给予访问网络的权限。
早期的ADSL、电话网,拨号上网就是用的这种技术

802.1X体系结构

模型
该系统采用典型的C/S架构,客户端、设备端、认证服务器
其中,本地服务器的认证服务器一般就在设备端上,再大规模网络中,才需要独立部署Radius

端口接入的方式

接入方式
一共有两种接入方式:基于端口基于MAC地址

基于端口

采用基于端口方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

基于MAC地址

当采用基于 MAC 方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
默认情况下,802.1X 在端口上进行接入控制方式为基于 MAC 地址的认证方式

基本配置方法

/*开启全局认证*/
[Switch] dot1x
/*开启接口认证*/
[Switch-Ten-GigabitEthernet1/0/1] dot1x
/*配置用于接入网络认证的用户*/
[Switch] local-user user-name class network
[Switch- luser-network-localuser] service-type lanaccess
[Switch- luser-network-localuser] password [
cipher | simple ] [Password]

实例

端口隔离技术

隔离
为了解决VLAN划分带来的资源浪费,将同VLAN内部的用户隔离
同一隔离组端口不能通讯,不同隔离组端口可以通讯

端口隔离基本配置

/*创建隔离组*/
[switch]port-isolate group [number]
/*将指定接口加入隔离组*/
[Switch-Ethernet1/0/1] port-isolate enable group [number]

实例

Theme Jasmine by Kent Liao