华为网络设备上的常用安全技术（二）

wind-cold

　　安全技术3：aaa
　　说明：
　　1.简介：
　　AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简
　　称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实
　　际上是对网络安全的一种管理。
　　这里的网络安全主要是指访问控制，包括：
　　哪些用户可以访问网络服务器。
　　具有访问权的用户可以得到哪些服务。
　　如何对正在使用网络资源的用户进行计费。
　　针对以上问题，AAA必须提供认证功能、授权功能和计费功能。
　　2. 授权功能
　　AAA支持以下授权方式：
　　直接授权：对用户非常信任，直接授权通过。
　　本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。
　　RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能
　　单独使用RADIUS 进行授权。
　　HWTACACS 授权：由TACACS服务器对用户进行授权。
　　3. 计费功能
　　AAA支持以下计费方式：
　　不计费：不对用户计费。
　　远端计费：支持通过RADIUS 服务器或TACACS服务器进行远端计费。
　　AAA一般采用客户端/ 服务器结构：客户端运行于被管理的资源侧，服务器上集中存
　　放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中
　　管理。
　　案例：关于利用radius 实现对用户telnet的控制：
　　其中认证服务器是思科的ACS。
　　拓扑图：本实验实现接入用户telnet交换机时采用acs服务器认证，并且进入后是管理员。

　　交换的配置：
　　
　　#
　　radius scheme system（建立radius方案）
　　radius scheme test
　　server-type   huawei  这个地方一定要是华为
　　primary authentication 192.168.100.2
　　accounting optional
　　key authentication 123456
　　user-name-format without-domain
　　#
　　domain system
　　domain tec（建立域）
　　scheme radius-scheme test
　　access-limit enable 30
　　accounting optional
　　#
　　vlan 1
　　#
　　interface Vlan-interface1
　　ip address 192.168.100.24 255.255.255.0
　　Acs的配置：
　　首先安装jdk 然后安装acs服务器。
　　安装完后导入h3c的私有radius 属性：
　　1.     编写h3c.ini文件（绿色部分即为文件内容）
　　[User Defined Vendor]
　　Name=Huawei
　　IETF Code=2011
　　VSA 29=hw_Exec_Privilege
　　[hw_Exec_Privilege]
　　Type=INTEGER
　　Profile=IN OUT
　　Enums=hw_Exec_Privilege-Values
　　[hw_Exec_Privilege-Values]
　　0=Access
　　1=Monitor
　　2=Manager
　　3=Administrator
　　此文件主要用于定义私有属性的值
　　2.    将上面定义的文件导入到ACS中
　　ACS提供了命令接口来导入私有属性，此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
　　(1) 点击ACS Server的windows开始菜单,在运行中输入cmd，打开一个命令行窗口。
　　

　　(2) 进入ACS的bin目录，在默认安装的情况下，该目录为
　　c:\Program Files\CiscoSecure ACS v4.0\bin
　　

　　(3) 执行导入命令:

　　
　　选择y,继续
　　

　　
　　3.     查看是否导入成功
　　导入完毕，可以通过命令来查看:
　　

　　可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性
　　另外可以进入ACS页面来查看通过点击interface  configuration 查看是否出现RADIUS Huawei 。:里面有一项需要打勾。如下图：
　　

　　Acs基本配置：
　　用户的创建：

　　

　　

　　
　　
　　
　　组的创建：
　　
　　

　　

　　
　　

　　

　　
　　
　　
　　Network  配置：

　　

　　

　　

　　测试结果：
　　用户user2 登陆成功：权限是0级别。
　　

　　用户asd登陆成功；
　　

　　
　　安全技术4：dot1x
　　说明：
　　802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
　　802.1X应用环境特点
　　(1)交换式以太网络环境
　　对于交换式以太网络中，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。
　　(2)共享式网络环境
　　当802.1x应用于共享式的网络环境时，为了防止在共享式的网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中，可以通过加速WEP密钥重分配周期，弥补WEP静态分配秘钥导致的安全性的缺陷。
　　802.1X认证的安全性分析
　　802.1x协议中，有关安全性的问题一直是802.1x反对者***的焦点。实际上，这个问题的确困扰了802.1x技术很长一段时间，甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案：802.1x结合EAP，可以提供灵活、多样的认证解决方案。

案例：
　　拓扑图：
　　

　　本实验实现的是接入的客户可以成功通过802.1x的认证。
　　交换机的配置：
　　
　　dot1x
　　dot1x authentication-method pap
　　#
　　radius scheme system
　　radius scheme abc
　　server-type standard
　　primary authentication 192.168.101.250
　　accounting optional
　　key authentication 123456
　　user-name-format without-domain
　　#
　　domain system
　　domain tec
　　scheme radius-scheme abc
　　authentication radius-scheme abc
　　access-limit enable 30
　　accounting optional
　　#
　　local-user user1
　　password simple 123
　　service-type telnet
　　level 3
　　#
　　vlan 1
　　#
　　interface Vlan-interface1
　　ip address 192.168.101.21 255.255.255.0
　　#
　　#
　　interface Ethernet1/0/14
　　dot1x
　　
　　windows下的aaa服务器搭建：
　　在windows里面的添加删除组件中，选择网络服务中的internet验证服务，并安装。
　　安装完新建radius 客户端：名为test  ip：192.168.101.21
　　

　　
　　然后选择远程策略那一项，在里面选择如下：
　　

　　在计算机管理里面新建用户test  密码123  并在其属性里面选择：
　　

　　
　　下面是华为的801.x客户端上测试结果：test用户验证成功：
　　

　　
安全技术5：arp绑定
说明：
　　为了更好的对网络中的计算机进行管理，您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
　　MAC地址： 网络中被控制的计算机的MAC地址。
　　IP地址： 设定被控制计算机MAC地址的主机的IP地址。
　　绑定： 是否使能改MAC和IP的绑定匹配
　
案例：
　　

　　案例1：端口+MAC
　　[sw]mac-address static 0026-22bb-22ff interface Ethernet0/2 vlan 1
　　　　[sw-Ethernet0/1]mac-address max-mac-count 0限制学习的地址，让其不会学习别的mac地址。


　　当pc1接在e0/1接口时：
　　

　　测试：

　　

　　当pc1接在e0/2,由于其mac绑定在端口e1/0上所以不通了。
　　

　　案例2：
　　ip和mac的绑定
　　只需要全局下配置如下命令即可
　　[sw]arp static 192.168.100.1 0026-22bb-22ff
　　其主要用来防止arp欺骗。
　　此外还有下面的一些方法：
　　AM命令实现的绑定：
　　使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。
　　例如：[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。
　　IP+MAC
　　华为交换机H3C端口AM命令
　　使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
　　配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。
　　即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。
　　
　　端口+IP+MAC
　　使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。华为交换机H3C端口例如：[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。
　　配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。