01-正文
本章节下载: 01-正文 (1.26 MB)
· 建议使用以下浏览器访问Web:Internet Explorer 8及以上版本、Firefox 4及以上版本、Chrome 10及以上版本、Safari 5.1及以上版本、Opera 11.11及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
设备支持HTTP(Hypertext Transfer Protocol,超文本传输协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)两种Web访问方式。
设备出厂时已经缺省启用了HTTP和HTTPS服务,并且设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTP或HTTPS服务登录设备的Web界面。缺省的Web登录信息包括:
· 用户名:admin
· 密码:无
· 用户角色:network-admin
· 设备(Vlan-interface1)的IP地址:192.168.0.233/24
采用缺省登录信息Web登录设备的步骤如下:
(1) 连接设备和PC
用以太网线将PC和设备上的以太网口(缺省情况下,所有端口均属于VLAN 1)相连。
(2) 为PC配置IP地址,保证其能与设备互通,PC的IP地址需要与设备IP地址在同一个网段
(3) 启动浏览器
在PC上启动浏览器,在地址栏中输入设备地址,然后回车,进入设备的Web登录页面。通过HTTP方式访问Web时,输入的设备地址格式为“http://ip-address:80”(“http://”可以省略);通过HTTPS方式访问Web时,输入的设备地址格式为“https://ip-address:443”。其中,ip-address为设备的IP地址;80和443分别为HTTP服务和HTTPS服务的缺省端口号,可以省略。
(4) 输入登录信息
在登录页面中输入用户名admin和验证码,无需输入密码,单击<登录>按钮即可登录Web。
同时通过Web登录设备的最大用户数为32。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。
在Web页面上单击左上角的<退出>按钮,即可退出Web。
需要注意的是:
· 退出Web时,系统不会自动保存当前配置。因此,建议用户在退出Web前先点击页面左上方的“”按钮,或进入“设备 > 维护
> 配置文件”页面保存当前配置。
· 直接关闭浏览器不能使用户退出Web。
图2-1 Web页面布局
(1)标识和辅助区 |
(2)导航栏 |
(3)执行区 |
如上图所示,Web页面有以下几个功能区域:
· 标识和辅助区:该区域用来显示公司Logo、设备名称、当前登录用户信息,并提供语言切换、更改登录用户密码、保存当前配置、退出登录功能。点击“”可以切换语言、更改登录用户密码;点击“
”可以保存当前配置;点击“
”可以退出登录。
· 导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。
· 执行区:进行配置操作、信息查看、操作结果显示的区域。
根据执行区内容的不同,Web页面分为特性页面、表项显示页面和配置页面三种。
如图2-2所示,特性页面显示了该特性包含的表项的统计信息、该特性支持的主要功能等。
图2-2 特性页面示意图
如图2-3所示,表项显示页面用来显示表项的具体信息。点击标题项(如“MAC地址”),可以根据该标题项对表项信息进行升序或降序排列。
如图2-4所示,配置页面用来完成某项配置任务,如添加、修改一条表项。某项配置任务需要的所有配置均可在该页面上完成,不需要在页面之间跳转,以方便用户使用。如图2-4所示,在配置包过滤策略时需要创建并关联ACL,在包过滤策略的配置页面上点击“”即可创建ACL,无需跳转到ACL的配置页面。
Web页面上常用的按钮、图标及其功能,如表2-1所示。
表2-1 Web常用按钮和图标
按钮和图标 |
功能说明 |
|
用于查看特性的联机帮助信息 |
|
用于查看某个功能或参数的在线帮助信息 |
|
点击该图标,可以进入下一级页面进行配置或查看当前配置信息 |
|
表项的统计计数 |
|
显示功能当前的开启/关闭状态,点击该按钮可以修改开启/关闭状态 |
|
用于刷新表项内容 |
|
· 表项显示页面上,用于添加一条表项 · 配置页面上,具有如下功能: ¡ 用于对当前表项的添加进行确认,并新增一条表项 ¡ 添加一个ACL或策略等,以避免配置过程中在页面之间进行跳转 |
|
在文本框中输入查询关键字,点击该按钮对表项进行简单查询 |
|
高级查询按钮,点击该按钮后可以输入多个条件对表项进行组合条件查询 |
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于显示当前表项的详情。进入详情页面后,可以对该表项进行修改 |
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于删除当前表项 |
|
表项显示页面上,选中一条或多条表项后,将在页面的最下端显示该图标 该图标用于删除被选中的一条或多条表项 |
|
用于选择显示表项中的哪些标题项 |
|
用于进入配置页面 |
Web页面上常用的操作包括保存当前配置、显示表项详情、重启设备等。
对设备执行配置操作后,建议及时保存当前配置,以免配置丢失。保存当前配置的方法有以下两种:
· 点击页面左上方标识和辅助区内的“”按钮保存配置。
· 进入“设备 > 维护 > 配置文件”页面,保存配置。
在表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示详情图标“”。点击该图标进入详情页面后,不仅可以显示表项的详细信息,还可以对该表项进行修改。
执行某些操作后,需要重启设备才能使配置生效。重启设备的方法为:进入“设备 > 维护 > 重启”页面,点击重启设备按钮。
在重启设备前,建议先保存当前配置,以免配置丢失。
配置管理设备时,请注意:
· WiNet网络的管理VLAN只能为VLAN1。
· 一个WiNet网络中仅能配置一台管理设备。
· 请勿关闭Telnet服务器功能,否则会导致WiNet功能不可用。
· 请勿修改或删除本地用户admin,否则将导致WiNet功能无法配置。
· 管理设备的角色修改为成员设备时,请删除该设备Flash中后缀为“.db”的配置文件。
· 管理设备重启后,恢复WiNet相关配置时,配置恢复的时间与加入WiNet网络的成员设备数量有关。成员设备越少,配置恢复越快。反之,则越慢。
WiNet网络添加成员设备时:
· 管理设备每60秒扫描一次管理网段的IP地址,并将新扫描到的IP地址对应的设备加入到WiNet网络。
· 成员设备不会主动加入WiNet网络,需要管理设备扫描到成员设备并将成员设备加入WiNet网络。
· 对于能够扫描到IP地址,但无法将对应设备加入到WiNet网络的设备,则在<添加设备>按钮右上角显示无法加入到WiNet网络的设备数量。此时,用户可以单击<添加设备>,在弹出的对话框中查看待添加设备的信息。如果此时修改了设备的IP地址,则对话框中可能会同时显示修改前和修改后的IP地址,修改前的IP将在下一个扫描周期后删除。
· 管理设备扫描到成员设备处于非WiNet管理网段时,会自动将该设备IP地址修改为管理网段的IP地址。
· 如果成员设备未添加到管理网络,且该设备为级联设备到管理设备的唯一可达途径,则该设备以及该设备下级联的设备都不能显示在拓朴中。
· 如果成员设备关闭LLDP或者离线,且该设备为级联设备到管理设备的唯一可达途径,将导致级联设备无法计算拓朴,该设备以及该设备下级联的设备的跳数和状态可能显示错误。
· 用户管理IP地址的掩码长度越大,WiNet自动扫描上线越快,反之,掩码长度越小,则WiNet自动扫描上线越慢。
· 请勿将非WiNet设备加入WiNet网络,否则将导致WiNet网络拓扑不稳定或不能正确显示WiNet设备的拓扑状态。
配置WiNet管理时,请注意:
· WiNet网络内成员设备过多时(例如五十台以上),请勿配置自动刷新功能,否则,切换WiNet页面时,页面刷新缓冲时间较长,可能导致浏览器崩溃。
· 请通过WiNet管理页面中的设备命名功能修改设备名称,如果通过命令行或系统设置页面修改设备名称,修改后的设备名称不会显示到网络拓扑中。
· 成员设备老化周期为20秒,成员设备离开WiNet网络但在老化周期内,此时对成员设备设备状态显示正常,但对成员设备进行的操作不会生效。
· 激活Combo口中的光口后,请安装对应接口模块,否则设备无法识别Combo口的光电复用类型。
· 配置WiNet自动刷新后,如果设备在拓扑收集的过程中自动刷新页面,拓扑收集页面将会自动退出,此时不影响拓扑收集。
· 配置自动刷新功能后,设备会同时刷新WiNet管理、设置和用户管理三个配置页面。
用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。所有配置操作的缺省用户角色要求为network-admin。查看操作的缺省用户角色为所有角色。
用户角色为network-admin的用户登录后,Web页面导航栏上的一级菜单包括概览、设备、网络、资源、QoS、安全和日志。点击一级菜单,会展开子菜单,子菜单由分类和特性名称组成。依次点击“一级菜单—>特性名称”可以进入相应的Web页面对该特性进行配置。
显示系统日志、当前的CPU和内存利用率以及序列号、硬件版本等系统信息。
设备菜单包含的特性及其支持的功能如表4-1所示。
分类 |
特性名称 |
功能 |
维护 |
系统设置 |
· 设置设备的名称、位置和联系方式 · 配置系统时间 |
管理员 |
· 创建、修改、删除角色 · 创建、修改、删除管理员,并指定管理员对应的角色,以控制管理员的访问权限 · 管理密码 |
|
配置文件 |
· 保存当前配置 · 导入/导出配置 · 查看当前配置 · 将设备恢复到出厂配置 |
|
文件系统 |
· 查看存储介质的基本信息 · 查看文件/文件夹的基本信息 · 删除文件 · 下载文件 |
|
软件更新 |
· 升级系统软件 · 查看系统软件列表,包括设备本地启动使用的软件列表、下次启动将使用的主用软件列表和备用软件列表 |
|
诊断 |
收集诊断信息,用于定位问题 |
|
重启 |
重启设备 |
|
关于 |
显示设备的基本信息,比如:设备名称、序列号、版本信息、电子标签、法律声明等 |
网络菜单包含的特性及其支持的功能如表4-2所示。
分类 |
特性名称 |
功能 |
探测工具 |
Ping |
测试IPv4网络中某主机的连通性 |
Tracert |
IPv4 Tracert |
|
接口 |
接口 |
· 查看设备支持的接口列表以及接口的主要属性(状态、IP地址、速率、双工模式、描述) · 删除逻辑接口、创建子接口、启用/禁用接口等 |
链路聚合 |
创建、修改、删除二层聚合组 |
|
流量控制 |
· 设置流量统计时间间隔 · 设置流量控制参数 · 显示接口流量控制信息 |
|
端口隔离 |
· 创建、修改隔离组 |
|
链路 |
VLAN |
· 基于端口划分VLAN · 创建VLAN接口 |
语音VLAN |
· 语音VLAN添加端口 · 配置语音VLAN的自动模式或手动模式 · 配置语音VLAN的普通模式或安全模式 · 配置语音报文的QoS优先级 · 添加OUI地址 |
|
MAC |
· 创建和删除静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项 · 显示已有的MAC地址表项 |
|
STP |
· 全局和接口开启/关闭STP功能 · 配置STP、RSTP和MSTP工作模式 · 配置实例优先级 · 配置多生成树域 |
|
LLDP |
· 开启/关闭LLDP功能 · 修改LLDP工作模式 · 修改接口模式 · 配置LLDP发送的TLV类型 |
|
DHCP Snooping |
· 配置端口为信任或非信任端口 · 配置DHCP Snooping表项记录功能和表项备份机制 · DHCP Snooping端口设置,包括MAC地址检查、请求方向报文检查、接受DHCP报文限速和DHCP Snooping表项最大学习数 · 配置接口是否开启 Option 82功能。若开启该功能,则可以配置Option 82的处理方式,填充模式和填充内容 |
|
IP |
IP |
· 配置接口IP地址获取方式(DHCP或者手工配置) · 修改接口的IP地址和MTU值 · 创建LoopBack接口 |
ARP |
· 管理静态、动态ARP表项 · 配置ARP代理 · 配置免费ARP · 配置ARP攻击防御 |
|
DNS |
· 配置静态、动态域名解析 · 配置DNS代理 · 配置域名后缀 |
|
动态DNS |
· 管理动态DNS策略 · 配置动态DNS策略关联接口 |
|
镜像 |
端口镜像 |
· 配置本地镜像组 · 配置远程镜像组 |
路由 |
路由表 |
查看IPv4路由表项,包括路由表的概要信息和统计信息 |
静态路由 |
· 查看IPv4静态路由表项 · 创建、修改和删除IPv4静态路由表项 |
|
策略路由 |
· 创建、修改、删除IPv4策略路由对接口转发的报文应用策略 · 对本地发送的报文应用策略 |
|
组播 |
IGMP Snooping |
· 配置丢弃未知组播数据报文功能 · 配置IGMP查询器相关功能 · 配置端口快速离开功能 · 限制端口加入的组播组数量 |
服务 |
DHCP |
· DHCP服务器功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP服务器模式 ¡ 配置DHCP地址池 ¡ 配置IP地址冲突检测功能 · DHCP中继功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP中继模式,指定对应的DHCP服务器地址 · 配置是否记录DHCP中继表项,中继表项定时刷新功能和刷新时间间隔 |
HTTP/HTTPS |
· 启用/禁用设备HTTP/HTTPS登录功能 · 配置登录用户连接的空闲超时时间 · 配置HTTP/HTTPS的服务端口号 · 使用ACL过滤登录用户 |
|
SSH |
· 开启Stelnet服务功能 · 开启SFTP服务功能 · 开启SCP服务功能 |
|
FTP |
· 开启FTP服务器功能 · 配置设备发送的FTP报文的DSCP优先级 · 使用ACL过滤FTP用户 · 配置FTP连接的空闲超时时间 |
|
Telnet |
· 启用/禁用设备Telnet登录功能 · 配置IPv4 Telnet报文的DSCP优先级 · 使用ACL过滤登录用户 |
|
NTP |
配置本地时钟作为参考时钟 |
|
SNMP |
· 开启SNMP功能 · 配置SNMP版本、团体名、组、用户等参数 · 开启Trap发送功能及配置相关参数 |
资源菜单包含的特性及其支持的功能如表4-3所示。
特性名称 |
功能 |
|
ACL |
IPv4 |
· 创建基本或高级IPv4 ACL、二层ACL · 修改、删除在本页面和其他业务模块(如包过滤)页面创建的ACL |
二层 |
||
时间段 |
时间段 |
创建、修改和删除时间段 |
SSL |
SSL |
· 创建、修改和删除SSL客户端策略 · 创建、修改和删除SSL服务器端策略 |
公钥 |
公钥 |
· 管理本地非对称密钥对 · 管理对端主机公钥 |
PKI |
PKI |
· 管理CA证书和本地证书 · 创建、修改和删除PKI域、PKI实体 |
证书访问控制 |
· 创建、修改和删除证书访问控制策略 · 创建、修改和删除证书属性组 |
QoS菜单包含的特性及其支持的功能如表4-4所示。
表4-4 QoS菜单包含的特性及其支持的功能
分类 |
特性名称 |
功能 |
QoS |
QoS策略 |
创建、修改和删除基于接口的QoS策略、基于VLAN的QoS策略、全局QoS策略 |
硬件队列 |
修改接口硬件队列设置 |
|
优先级映射 |
· 配置端口优先级,配置端口优先级信任模式 · 修改802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表、DSCP到DSCP映射表 |
|
限速 |
创建、修改和删除接口限速 |
安全菜单包含的特性及其支持的功能如表4-5所示。
分类 |
特性名称 |
功能 |
包过滤 |
包过滤 |
· 创建、修改和删除基于接口的包过滤策略、基于VLAN的包过滤策略、基于全局的包过滤策略 · 配置包过滤缺省动作 |
IP Source Guard |
静态配置IPv4接口绑定表项 |
|
接入 |
802.1X |
· 开启和关闭802.1X功能 · 配置802.1X的认证方法 · 配置端口接入控制方式 · 配置端口的授权状态 · 配置端口的认证ISP域 |
MAC地址认证 |
· 开启和关闭MAC地址认证功能 · 配置MAC地址认证的用户认证域 · 配置用户名格式 |
|
端口安全 |
· 开启和关闭端口安全功能 · 配置端口安全模式 · 配置入侵保护模式 · 配置NTK模式 · 配置安全MAC老化模式 |
|
Portal |
· 开启和关闭Portal认证功能 · 配置Portal认证服务器 · 配置Portal Web服务器 · 配置免认证规则 · 配置接口策略 |
|
认证 |
ISP域 |
配置ISP域 |
RADIUS |
配置RADIUS方案 |
|
本地认证 |
配置本地用户 |
WiNet菜单包含的特性及其支持的功能如表4-7所示。
表4-6 WiNet菜单包含的特性及其支持的功能
分类 |
特性名称 |
功能 |
WiNet |
WiNet管理 |
· 收集和显示WiNet网络拓扑 · 网络快照 · 拓扑初始化 · 添加成员设备 · 管理成员设备 · 对成员设备初始化 · 重启成员设备 · 查看该设备的主机名、MAC地址、设备类型、IP地址、版本等 |
设置 |
· 开启和关闭WiNet · 配置WiNet名称 · 配置WiNet的管理IP地址及掩码 |
|
用户管理 |
· 创建用户 · 配置用户的授权VLAN · 配置用户的授权ACL · 配置用户的过期时间 · 配置备注信息 |
日志菜单包含的特性及其支持的功能如表4-7所示。
分类 |
特性名称 |
功能 |
日志 |
系统日志 |
查询、统计、删除日志信息 |
设置 |
· 开启或关闭日志输出到日志缓冲区的功能,并配置日志缓冲区可存储的信息条数 · 配置日志主机的地址及端口号 |
系统设置功能用来对设备的名称、位置等信息以及系统时间进行设置。
通过命令行修改设备名称时,修改后的名称不会动态显示到Web的标识和辅助区,此时请刷新Web页面更新设备名称。
为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。系统时间的获取方式有两种:
· 手工配置:为系统手工配置日期/时间、时区和夏令时。在手工配置时,如果没有修改日期/时间而只修改了时区/夏令时,则设备会将当前系统时间换算为指定时区/夏令时的时间。设备重启后,会恢复到出厂时间。
· 自动同步:通过NTP或SNTP协议先获取到GMT时间,设备再依据GMT时间、时区和夏令时,计算出系统时间。
NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。
SNTP(Simple NTP,简单NTP)采用与NTP相同的报文格式及交互过程,但简化了NTP的时间同步过程,以牺牲时间精度为代价实现了时间的快速同步,并减少了占用的系统资源。在时间精度要求不高的情况下,可以使用SNTP来实现时间同步。
NTP支持服务器模式和对等体模式两种时钟源工作模式,如表5-1所示。在服务器模式中,设备只能作为客户端;在对等体模式中,设备只能作为主动对等体。
SNTP只支持服务器模式这一种时钟源工作模式。在该模式中,设备只能作为客户端,从NTP服务器获得时间同步,不能作为服务器为其他设备提供时间同步。
表5-1 NTP时钟源工作模式
模式 |
工作过程 |
时间同步方向 |
应用场合 |
服务器模式 |
客户端上需要手工指定NTP服务器的地址。客户端向NTP服务器发送NTP时间同步报文。NTP服务器收到报文后会自动工作在服务器模式,并回复应答报文 一个客户端可以配置多个时间服务器,如果客户端从多个时间服务器获取时间同步,则客户端收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
客户端能够与NTP服务器的时间同步 NTP服务器无法与客户端的时间同步 |
该模式通常用于下级的设备从上级的时间服务器获取时间同步 |
对等体模式 |
主动对等体(Symmetric active peer)上需要手工指定被动对等体(Symmetric passive peer)的地址。主动对等体向被动对等体发送NTP时间同步报文。被动对等体收到报文后会自动工作在被动对等体模式,并回复应答报文 如果主动对等体可以从多个时间服务器获取时间同步,则主动对等体收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
主动对等体和被动对等体的时间可以互相同步 如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步 |
该模式通常用于同级的设备间互相同步,以便在同级的设备间形成备份。如果某台设备与所有上级时间服务器的通信出现故障,则该设备仍然可以从同级的时间服务器获得时间同步 |
NTP/SNTP时钟源身份验证功能可以用来验证接收到的NTP报文的合法性。只有报文通过验证后,设备才会接收该报文,并从中获取时间同步信息;否则,设备会丢弃该报文。从而,保证设备不会与非法的时间服务器进行时间同步,避免时间同步错误。
管理员通过SSH、Telnet、FTP、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
· 帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
· 角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。
· 密码管理:对用户登录密码的设置、老化、更新以及用户登录状态等方面的管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的帐户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:
· 通过角色规则实现对系统功能的操作权限的控制。
· 通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN 10,禁止用户操作接口GigabitEthernet1/0/1。
一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。
目前,系统实际支持的实体类型仅为Web菜单:通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
资源控制策略规定了用户对系统资源的操作权限。对于登录Web页面的用户而言,对接口/VLAN的操作是指创建接口/VLAN、配置接口/VLAN的属性、删除接口/VLAN和应用接口/VLAN。
资源控制策略需要与角色规则相配合才能生效。
系统预定义了多种角色,这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
根据用户登录方式的不同,为用户授权角色分为以下两类:
· 对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。
· 对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。
将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。
一个用户可同时拥有多个角色。拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
· 密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
当用户登录密码的使用时间超过老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于为用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,用户的当前登录密码,不会被记录到该用户的密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户帐号立即失效,系统不再允许使用该帐号的用户登录。
流量控制用于控制以太网上的报文风暴。配置该功能后,系统会按照配置的时间间隔统计端口收到的未知单播/组播/广播报文流量。如果某类报文流量超过上限阈值,系统会执行相应的控制动作,以及决定是否输出Trap和日志。控制动作包括:
· 无:在端口上不执行任何动作。
· 阻塞端口:端口将暂停转发该类报文(其它类型报文照常转发),端口处于阻塞状态,但仍会统计该类报文的流量。当该类报文的流量小于其下限阈值时,端口将自动恢复对此类报文的转发。
· 关闭端口:端口将被关闭,系统停止转发所有报文。当该类报文的流量小于其下限阈值时,端口状态不会自动恢复,需要手工启用接口或取消端口上流量阈值的配置来恢复。
为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限。采用端口隔离特性,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源。
隔离组内的端口与未加入隔离组的端口之间二层流量双向互通。
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
语音VLAN是为用户的语音数据流而专门划分的VLAN。通过划分语音VLAN并将连接语音设备的端口加入语音VLAN,系统自动为语音报文修改QoS(Quality of Service,服务质量)优先级,来提高语音数据报文优先级、保证通话质量。
设备可以根据端口接收的报文的源MAC地址来判断该数据流是否为语音数据流。源MAC地址符合系统配置的语音设备OUI(Organizationally Unique Identifier,全球统一标识符)地址的报文被认为是语音数据流。OUI地址是MAC地址和掩码参数相与的结果。
设备缺省的OUI地址如下表所示。
表6-1 设备缺省的OUI地址
序号 |
OUI地址 |
生产厂商 |
1 |
0001-E300-0000 |
Siemens phone |
2 |
0003-6B00-0000 |
Cisco phone |
3 |
0004-0D00-0000 |
Avaya phone |
4 |
000F-E200-0000 |
H3C Aolynk phone |
5 |
0060-B900-0000 |
Philips/NEC phone |
6 |
00D0-1E00-0000 |
Pingtel phone |
7 |
00E0-7500-0000 |
Polycom phone |
8 |
00E0-BB00-0000 |
3Com phone |
语音VLAN在实现中,通过提高语音报文的QoS优先级(CoS和DSCP值)来保证语音通信的质量。语音报文会自带QoS优先级。用户可以选择信任模式,使语音报文通过设备时不修改报文的QoS优先级;也可以选择将语音报文的CoS和DSCP值修改为指定值。
根据端口加入语音VLAN的方式,可以将语音VLAN的模式分为自动模式和手动模式。
自动模式下,系统利用IP电话上电时发出的协议报文,通过识别报文的源MAC地址,匹配OUI地址。匹配成功后,系统将自动把语音报文的入端口加入语音VLAN,并下发ACL规则、配置报文的优先级。用户可以在设备上配置语音VLAN的老化时间,当在老化时间内,系统没有从入端口收到任何语音报文时,系统将把该端口从语音VLAN中删除。
端口的添加/删除到语音VLAN的过程由系统自动实现。
手动模式下,需要通过手工把IP电话接入端口加入语音VLAN中。再通过识别报文的源MAC地址,匹配OUI地址。匹配成功后,系统将下发ACL规则、配置报文的优先级。
端口的添加/删除到语音VLAN的过程由管理员手动实现。
根据配置语音VLAN功能的端口对接收到的报文的过滤机制,可以将语音VLAN的模式分为普通模式和安全模式。
普通模式下,端口加入语音VLAN后,设备对于接收的语音报文不再一一进行识别,凡是带有语音VLAN Tag的报文,设备将不再检查其源MAC地址是否为语音设备的OUI地址,均接收并在语音VLAN中转发。对于PVID就是语音VLAN的手工模式端口,会接收Untagged报文并在语音VLAN中传输。
安全模式下,设备将对每一个要进入语音VLAN传输的报文进行源MAC地址匹配检查,对于不能匹配OUI地址的报文,则将其丢弃。
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项分为以下几种:
· 动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
· 黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。
用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。
如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。
生成树协议运行于二层网络中,通过阻塞冗余链路构建出无数据环路的树型网络拓扑,并在设备或数据链路故障时,重新计算出新的树型拓扑。
生成树协议包括STP、RSTP和MSTP。
· STP:由IEEE制定的802.1D标准定义,是狭义的生成树协议。
· RSTP:由IEEE制定的802.1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
· MSTP:由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
生成树的工作模式有以下几种:
· STP模式:设备的所有端口都将向外发送STP BPDU。如果端口的对端设备只支持STP,可选择此模式。
· RSTP模式:设备的所有端口都向外发送RSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是MSTP BPDU,则不会进行迁移。
· MSTP模式:设备的所有端口都向外发送MSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是RSTP BPDU,则不会进行迁移。
MSTP把一个交换网络划分成多个域,这些域称为MST(Multiple Spanning Tree Regions,多生成树域)域。每个域内形成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(Multiple Spanning Tree Instance,多生成树实例)。CST(Common Spanning Tree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。CIST(Common and Internal Spanning Tree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树。
其中,对于属于同一MST域的设备具有下列特点:
· 都使能了生成树协议。
· 域名相同。
· VLAN与MSTI间映射关系的配置相同。
· MSTP修订级别的配置相同。
· 这些设备之间有物理链路连通。
生成树可能涉及到的端口角色有以下几种:
· 根端口(Root Port):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。
· 指定端口(Designated Port):负责向下游网段或设备转发数据的端口就称为指定端口。
· 替换端口(Alternate Port):是根端口或主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。
· 备份端口(Backup Port):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。
· 主端口(Master Port):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口。
STP只涉及根端口、指定端口和替换端口三种端口角色,RSTP的端口角色中新增了备份端口,MSTP涉及所有的端口角色。
RSTP和MSTP中的端口状态可分为三种,如表6-2所示。
表6-2 RSTP和MSTP中的端口状态
状态 |
描述 |
Forwarding |
该状态下的端口可以接收和发送BPDU,也转发用户流量 |
Learning |
是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
Discarding |
该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
STP定义了五种端口状态:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening状态都对应RSTP/MSTP中的Discarding状态。
LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。
在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。
TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现) TLV。
基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
开启本功能后,设备可以利用LLDP来接收、识别Cisco的IP电话发送的CDP报文,并向其回应CDP报文。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能,即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。
DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失。如果DHCP Snooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCP Snooping表项备份功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82包含两个子选项:Circuit ID和Remote ID。
支持Option 82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
具体的处理方式见表6-3。
表6-3 Option 82处理方式
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
收到的报文中带有Option 82 |
Drop |
丢弃报文 |
Keep |
保持报文中的Option 82不变并进行转发 |
|
Replace |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发 |
|
收到的报文中不带有Option 82 |
- |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发 |
IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
· 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
· 主机号码字段(Host-id):用于区分一个网络内的不同主机。
IP地址分为5类,每一类地址范围如表6-4所示。目前大量使用的IP地址属于A、B、C三类。
表6-4 IP地址分类
地址类型 |
地址范围 |
说明 |
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
B |
128.0.0.0~191.255.255.255 |
- |
C |
192.0.0.0~223.255.255.255 |
- |
D |
224.0.0.0~239.255.255.255 |
组播地址 |
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其它地址保留今后使用 |
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
· 通过手动指定IP地址
· 通过DHCP分配得到IP地址
当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为两种:动态ARP表项、静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。
动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。
静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭学习免费ARP报文功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。
开启回复免费ARP报文功能后,当设备收到非同一网段的ARP请求时发送免费ARP报文。关闭该功能后,设备收到非同一网段的ARP请求时不发送免费ARP报文。
用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
支持配置的ARP攻击防御功能如下:
· 网关设备支持配置的功能包括:ARP黑洞路由、ARP源抑制、源MAC地址一致性检查、ARP主动确认、源MAC地址固定的ARP攻击检测、授权ARP和ARP扫描;
· 接入设备支持配置的功能包括:ARP报文限速、ARP网关保护、ARP过滤保护和ARP Detection。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
· ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
· ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:
· 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
· 收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。
所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。
使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
建议在网吧这种环境稳定的小型网络中使用这两个功能。
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
建议用户在配置了ARP Detection或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。
配置ARP报文限速功能后,如果用户开启了ARP限速日志功能,则当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。为防止过多的日志信息干扰用户工作,用户可以设定日志信息的发送时间间隔。当用户设定的时间间隔超时时,设备执行发送日志的操作。
在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
ARP过滤保护功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
· 如果相同,则认为此报文合法,继续进行后续处理;
· 如果不相同,则认为此报文非法,将其丢弃。
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
(1) 用户合法性检查
如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
(2) ARP报文有效性检查
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;
· 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;
· IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
(3) ARP报文强制转发
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
· 对于ARP请求报文,通过信任接口进行转发;
对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换。
设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。
域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
使用动态域名解析时,需要手工指定域名服务器的地址。
动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。
动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
· 如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。
· 如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
· 如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。
手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。
DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。
使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。
DNS仅仅提供了域名和地址之间的静态对应关系,当节点的地址发生变化时,DNS无法动态地更新域名和地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的地址是错误的,从而导致访问失败。
DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和地址之间的对应关系,保证通过域名解析到正确的地址。
使用DDNS服务前,用户需要先登录DDNS服务器,注册账户。设备作为DDNS客户端,在地址变化时,向DDNS服务器发送更新域名和地址对应关系的DDNS更新请求,更新请求中携带用户的账户信息(用户名和密码)。DDNS服务器对账户信息认证通过后,通知DNS服务器动态更新域名和地址之间的对应关系。
目前,只有IPv4域名解析支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。
为了简化配置,设备通过DDNS策略来管理和维护DDNS客户端的参数,如DDNS服务提供商信息(即DDNS服务器信息)、用户的账户信息(用户名和密码)、更新时间间隔、关联的SSL客户端策略等。创建DDNS策略后,可以在不同的接口上应用相同的DDNS策略,从而简化DDNS的配置。
端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文(称为镜像报文),以进行网络监控和故障排除。
在端口镜像中涉及以下概念:
(1) 源端口:设备上被监控的端口。源端口上的报文会被复制一份到目的端口。源端口所在的设备称为源设备。
(2) 目的端口:设备上与数据监测设备相连的端口,源端口上的报文将被复制一份到此端口。目的端口所在的设备称为目的设备。
(3) 镜像组:源端口和目的端口的组合,它分为:
· 本地镜像组:当源端口和目的端口位于同一设备时,端口所在镜像组称为本地镜像组。
· 远程镜像组:当源端口和目的端口位于不同设备时,源端口和目的端口所在的镜像组分别称为远程源镜像组和远程目的镜像组,镜像报文通过远程镜像VLAN在源设备与目的设备之间传输。
静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,必须由管理员手工修改配置。
缺省路由是在没有找到匹配的路由表项时使用的路由。配置IPv4缺省路由时,指定目的地址为0.0.0.0/0。
与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则)的报文,执行指定的操作(设置报文的下一跳)。
策略用来定义报文的匹配规则,以及对报文执行的操作。一个策略可以由一个或者多个节点组成。节点的构成如下:
· 每个节点由节点编号来标识。节点编号越小节点的优先级越高,优先级高的节点优先被执行。
· 每个节点的具体内容由报文匹配规则和执行操作来指定。报文匹配规则定义该节点的匹配规则,执行操作定义该节点的动作。
· 每个节点对报文的处理方式由匹配模式决定。匹配模式分为允许和拒绝两种。
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配规则,则根据路由表来转发报文。
通过配置ACL规则用于匹配报文,用于执行后续操作。
设置报文转发的下一跳,并指定当前下一跳是否为直连下一跳。
IGMP snooping(Internet Group Management Protocol snooping,互联网组管理协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的IGMP报文建立IGMP snooping转发表,并根据该表指导组播数据的转发。
IGMP snooping转发表的表项由VLAN、组播组地址、组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向组播组成员的端口。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
在以下场合通常利用DHCP服务器来完成IP地址分配:
· 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
· 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。
· 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。
DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。
地址池的地址管理方式有以下几种:
· 静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址;
· 动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。
在DHCP地址池中还可以指定这两种类型地址的租约时长。
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
(1) 如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。
(2) 如果不存在静态绑定的地址池,则按照以下方法选择地址池:
· 如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
· 如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
DHCP服务器为客户端分配IP地址的优先次序如下:
(1) 与客户端MAC地址或客户端ID静态绑定的IP地址。
(2) DHCP服务器记录的曾经分配给客户端的IP地址。
(3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。
(4) 按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。
(5) 如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。
Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:
· 随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。
· 有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option 43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。
· Web页面只提供了有限的配置功能,其他功能可以通过DHCP选项来配置。例如,可以通过Option 4,IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。
· 扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。
常用的DHCP选项配置如表6-5所示。
表6-5 常用DHCP选项配置
选项编号 |
选项名称 |
推荐的选项填充类型 |
3 |
Router Option |
IP地址 |
6 |
Domain Name Server Option |
IP地址 |
15 |
Domain Name |
ASCII字符串 |
44 |
NetBIOS over TCP/IP Name Server Option |
IP地址 |
46 |
NetBIOS over TCP/IP Node Type Option |
十六进制数串 |
66 |
TFTP server name |
ASCII字符串 |
67 |
Bootfile name |
ASCII字符串 |
43 |
Vendor Specific Information |
十六进制数串 |
为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。
DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文,则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址,并重复上述操作。如果在指定时间内没有收到回显响应报文,则继续发送ICMP回显请求报文,直到发送的回显显示报文数目达到最大值。如果仍然没有收到回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。
启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。
本功能与其他IP地址安全功能(如ARP地址检查和授权ARP)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。
DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。
DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:
· 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。
· 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。
为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持的Web登录方式有以下两种:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。
采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。
FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。
设备可以开启Telnet服务器功能,以便用户能够通过Telnet登录到设备进行远程管理和监控。
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。
SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。
本设备可作为SSH服务器,为SSH客户端提供以下几种应用:
· Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务。
· Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。
· Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。
SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。设备作为SSH服务器时,支持SSH2和SSH1两个版本。
设备作为SSH服务器时,利用本地本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。
NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。
NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。
在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。
通过Web页面可以配置本地时钟作为参考时钟。
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。
使用SNMP协议,网络的管理者(NMS)可以读取/设置设备(Agent)上参数的值,设备可以向NMS发送Trap信息,自动告知设备上发生的紧急事件。
MIB(Management Information Base,管理信息库)是被管理对象的集合,比如接口状态、CPU利用率等,这些被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
MIB以树状结构进行存储。树的每个节点都是一个被管理对象,它用从根开始的一条路径唯一地识别(OID)。例如,被管理对象internet可以用一串数字{1.3.6.1}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
子树是MIB树上的一个分枝,是子树根节点和根节点下所有子节点的集合。子树可以用该子树根节点的OID来标识,例如,以private为根节点的子树的OID为private的OID——{1.3.6.1.4}。
MIB视图是MIB的子集合,将团体名/用户名与MIB视图绑定,可以限制NMS能够访问的MIB对象。当用户配置MIB视图包含某个MIB子树时,NMS可以访问该子树的所有节点;当用户配置MIB视图不包含某个MIB子树时,NMS不能访问该子树的所有节点。
子树掩码用来和子树OID共同来确定一个视图的范围。子树掩码用十六进制格式表示,转化成二进制后,每个比特位对应OID中的一个小节,其中,
· 1表示精确匹配,即要访问的节点OID与MIB对象子树OID对应小节的值必须相等;
· 0表示通配,即要访问的节点OID与MIB对象子树OID对应小节的值可以不相等。
例如:子树掩码为0xDB(二进制格式为11011011),子树OID为1.3.6.1.6.1.2.1,所确定的视图就包括子树OID为1.3.*.1.6.*.2.1(*表示可为任意数字)的子树下的所有节点。
· 若子树掩码的bit数目大于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中多出的bit位将被忽略。
· 若子树掩码的bit数目小于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中不足的bit位将自动设置为1。
· 如果没有指定子树掩码,则使用缺省子树掩码(全1)。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1和SNMPv2c使用团体名认证。只有设备和NMS上配置的团体名相同,NMS才可以访问设备。
· SNMPv3采用用户名认证机制,并且可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
用户在创建团体名的时候可以:
· 使用MIB视图限定NMS可以访问的节点。一个团体名只能绑定一个MIB视图。
¡ 当访问规则配置为只读时,表示NMS只能获取MIB视图中包含的MIB节点的值。
¡ 当访问规则配置为读写时,表示NMS可以读取和设置MIB视图中包含的MIB节点的值。
· 使用IPv4基本ACL限制非法NMS访问设备:
¡ 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
¡ 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
用户在创建组的时候,可以使用MIB视图限定NMS可以访问的节点。只读视图、读写视图或通知视图,至少配置一个:
· 配置只读视图,表示NMS使用该组内的用户名访问设备时,只能获取只读视图中包含的MIB节点的值。一个组只能绑定一个只读视图。
· 配置读写视图,表示NMS使用该组内的用户名访问设备时,可以读取和设置读写视图中包含的MIB节点的值。一个组只能绑定一个读写视图。
· 配置通知视图,表示NMS使用该组内的用户名访问设备时,通知视图中的Trap节点会自动向NMS发送通告。一个组只能绑定一个只读视图。
用户在创建用户名的时候和组绑定,表示NMS使用该用户名访问设备时,只能访问组内限定的节点。
用户在创建组和用户的时候,均可以使用IPv4基本ACL限制非法NMS访问设备。只有组和用户绑定的ACL均允许的NMS才能访问设备,组和用户绑定的ACL均遵循以下规则:
· 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
· 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL包括表7-1所列的几种类型,它们的主要区别在于规则制订依据不同:
表7-1 ACL分类
ACL分类 |
规则制定依据 |
|
IPv4 ACL |
基本ACL |
依据报文的源IPv4地址制订规则 |
高级ACL |
依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则 |
|
二层ACL |
依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,见表7-2:
表7-2 各类型ACL的“深度优先”排序法则
ACL分类 |
规则制定依据 |
|
IPv4 ACL |
基本ACL |
1. 先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先 2. 如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先 |
高级ACL |
1. 先比较协议范围,指定有IPv4承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv4地址范围,较小者优先 3. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 4. 如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 5. 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
二层ACL |
1. 先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先 2. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 3. 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
譬如,当一个ACL规则只需在某个特定时间范围内生效时,就可以先配置好这个时间段,然后在配置该ACL规则时引用此时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。
时间段可分为以下两种类型:
· 周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
· 绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效时间段。
每个时间段都以一个名称来标识,一个时间段内可包含一或多个周期时间段和绝对时间段。当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证。
SSL提供的安全连接可以实现如下功能:
· 保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(Rivest Shamir and Adleman),加密传输对称密钥算法中使用的密钥。
· 验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证。SSL服务器和SSL客户端通过PKI(Public Key Infrastructure,公钥基础设施)提供的机制获取数字证书。
· 保证数据的完整性:消息传输过程中使用MAC(Message Authentication Code,消息验证码)来检验消息的完整性。
在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥。公钥和私钥一一对应,二者统称为非对称密钥对。设备支持的非对称密钥算法包括RSA(Rivest Shamir and Adleman)和DSA(Digital Signature Algorithm,数字签名算法)等。
非对称密钥算法广泛应用于各种应用中,例如SSH(Secure Shell,安全外壳)、SSL(Secure Sockets Layer,安全套接字层)、PKI(Public Key Infrastructure,公钥基础设施)。为配合具体应用使用非对称密钥算法进行加/解密和数字签名,设备统一对自身及远端的密钥对进行了管理。
在本地设备上,可以生成RSA、DSA两种类型的本地非对称密钥。
在本地设备上,可以对本地非对称密钥对进行查看和导出操作,具体包括:
· 直接查看非对称密钥对中的公钥信息。记录下该主机公钥数据后,在远端主机上,可以通过文本粘贴的方式将记录的本地主机公钥导入到远端设备上。
· 按照指定格式将本地主机公钥导出到指定文件。将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
· 按照指定格式将本地主机公钥导出到页面上显示。通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到远端设备上。
在如下几种情况下,建议用户销毁旧的非对称密钥对,并生成新的密钥对:
· 本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。
· 保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。
· 本地证书到达有效期,需要删除对应的本地密钥对。
在本地设备上,可以对远端非对称密钥对的公钥进行导入、查看和删除操作。在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上保存远端主机的RSA或DSA主机公钥。保存远端主机公钥是通过导入远端主机公钥的操作实现的。
导入远端主机公钥的方式有如下两种:
· 从公钥文件中获取:事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥。导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
· 文本输入:事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容。在本地设备上采用手工输入的方式将远端主机的公钥数据导入到本地。手工输入对端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。
PKI系统以数字证书的形式分发和使用公钥。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务)提供各种安全服务。目前,设备的PKI系统可为安全协议SSL(Secure Sockets Layer,安全套接字层)提供证书管理机制。
数字证书是经CA(Certificate Authority,证书颁发机构)签名的、包含公钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书是可信任的。数字证书的格式遵循ITU-T X.509国际标准,目前最常用的为X.509 V3标准。数字证书中包含多个字段,包括证书签发者的名称、被签发者的名称(或者称为主题)、公钥信息、CA对证书的数字签名、证书的有效期等。
本文涉及两类证书:CA证书、本地证书。
· CA证书是CA持有的证书。若PKI系统中存在多个CA,则会形成一个CA层次结构,最上层的CA是根CA,它持有一个自签名的证书(即根CA对自己的证书签名),下一级CA证书分别由上一级CA签发。这样,从根CA开始逐级签发的证书就会形成多个可信任的链状结构,每一条路径称为一个证书链。
· 本地证书是本设备持有的证书,由CA签发。
由于用户名称的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书吊销,即废除公钥及相关的用户身份信息的绑定关系。在PKI系统中,可以通过发布CRL(Certificate Revocation List,证书吊销列表)的方式来公开证书的吊销信息。当一个或若干个证书被吊销以后,CA签发CRL来声明这些证书是无效的,CRL中会列出所有被吊销的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。
一个PKI体系由终端PKI实体、CA、RA和证书/CRL发布点四类实体共同组成。
PKI实体是PKI服务的最终使用者,可以是个人、组织、设备或计算机中运行的进程。一份证书是一个公钥与一个实体身份信息的绑定。PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。
一个有效的PKI实体参数中必须至少包括以下参数之一:
(1) DN(Distinguished Name,识别名),包含以下参数:
· 实体通用名。对于DN参数,实体的通用名必须配置。
· 实体所属国家代码,用标准的两字符代码表示。例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码
· 实体所在地理区域名称
· 实体所属组织名称
· 实体所属组织部门名称
· 实体所属州省
(2) FQDN(Fully Qualified Domain Name,完全合格域名),是PKI实体在网络中的唯一标识
(3) IP地址
CA是一个用于签发并管理数字证书的可信PKI实体。其作用包括:签发证书、规定证书的有效期和发布CRL。
RA是一个受CA委托来完成PKI实体注册的机构,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书,用于减轻CA的负担。建议在部署PKI系统时,RA与CA安装在不同的设备上,减少CA与外界的直接交互,以保护CA的私钥。
证书/CRL发布点用于对用户证书和CRL进行存储和管理,并提供查询功能。通常,证书/CRL发布点位于一个目录服务器上,该服务器可以采用LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议、HTTP等协议工作。其中,较为常用的是LDAP协议,它提供了一种访问发布点的方式。LDAP服务器负责将CA/RA服务器传输过来的数字证书或CRL进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书或者CRL。
设备基于PKI域管理证书,并为相关应用(比如SSL)基于PKI域提供证书服务。PKI域是一个本地概念,一个PKI域中包括了证书申请操作相关的信息,例如PKI实体名称、证书申请使用的密钥对、证书的扩展用途等。
导入证书是指,将PKI实体有关的CA证书、本地证书导入到PKI域中保存。如果设备所处的环境中没有证书的发布点、CA服务器不支持通过SCEP协议与设备交互、或者证书对应的密钥对由CA服务器生成,则可采用此方式获取证书。
证书导入之前:
· 需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。
· 必须存在签发本地证书的CA证书链才能成功导入本地证书,这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书中携带的。因此,若设备和本地证书中都没有CA证书链,则需要首先执行导入CA证书的操作。
导入本地证书时:
· 如果用户要导入的本地证书中含有CA证书链,则可以通过导入本地证书的操作一次性将CA证书和本地证书均导入到设备。
· 如果要导入的本地证书中不含有CA证书链,但签发此本地证书的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书。
· 如果要导入的证书文件中包含了根证书,则需要确认该根证书的指纹信息是否与用户的预期一致。用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息。
· 如果导入的本地证书中包含了密钥对,则需要输入密钥对口令。用户需要联系CA服务器管理员取得口令的内容。导入过程中,系统首先根据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对。若该PKI域中没有任何密钥对的配置或已有的密钥对的配置与证书中的密钥对不一致,则设备会根据证书中的密钥对的算法及证书的密钥用途,重新生成相应的密钥对配置。
导入CA证书时:
· 如果要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备。
· 如果要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备。
PKI域中已存在的CA证书、本地证书可以导出到文件中保存,导出的证书可以用于证书备份或供其它设备使用。
请求证书的过程就是PKI实体向CA自我介绍的过程。PKI实体向CA提供身份信息,以及相应的公钥,这些信息将成为颁发给该PKI实体证书的主要组成部分。设备可以为PKI实体生成证书申请信息,之后由用户通过带外方式(如电话、电子邮件等)将该信息发送给CA进行证书申请。
在请求本地证书之前,必须保证当前的PKI域中已经存在CA证书且指定了证书请求时使用的密钥对。
· PKI域中的CA证书用来验证获取到的本地证书的真实性和合法性。
· PKI域中指定的密钥对用于为PKI实体申请本地证书,其中的公钥和其他信息交由CA进行签名,从而产生本地证书。
生成证书申请时,如果本地不存在PKI域中所指定的密钥对,则系统会根据PKI域中指定的名字、算法和长度自动生成对应的密钥对。
通过应用证书访问控制策略,可以对安全应用中的用户访问权限进行进一步的控制,保证了与之通信的服务器端的安全性。例如,在HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)应用中,HTTPS服务器可以通过引用证书访问控制策略,根据自身的安全需要对客户端的证书合法性进行检测。
一个证书访问控制策略中可以定义多个访问控制规则,每一个访问控制规则都是一个动作与一个证书属性组的关联:
· 动作:表示与该规则匹配的证书是否有效。“允许”表示证书有效;“拒绝”表示证书无效。
· 证书属性组:一系列属性规则的集合,这些属性规则是对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。
· 如果一个证书中的相应属性能够满足一条访问控制规则所关联的证书属性组中所有属性规则的要求,则认为该证书和该规则匹配。
· 如果访问控制规则关联的证书属性组不存在,或者该证书属性组没有配置任何属性,则认为所有证书都能够和该规则相匹配。
· 如果一个证书访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则。
· 若遍历完所有规则后,证书没有与任何规则匹配,则该证书将因不能通过访问控制策略的检测而被认为无效。
· 若安全应用(如HTTPS)引用的证书访问控制策略不存在,则认为该应用中被检测的证书有效。
一个证书属性组中可以定义多个属性规则,每一个属性规则表示了一个证书属性的匹配条件,该匹配条件由属性、操作符、属性域、属性值组成。
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:
操作符 |
DN属性域 |
FQDN//IP属性域 |
包含 |
DN中包含指定的属性值 |
任意一个FQDN/IP中包含了指定的属性值 |
不包含 |
DN中不包含指定的属性值 |
所有FQDN/IP中均不包含指定的属性值 |
等于 |
DN等于指定的属性值 |
任意一个FQDN/IP等于指定的属性值 |
不等于 |
DN不等于指定的属性值 |
所有FQDN/IP均不等于指定的属性值 |
证书属性与属性规则的匹配原则:
· 如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配。只有证书中的相应属性与某属性组中的所有属性规则都匹配,才认为该证书与此属性组匹配。
· 如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配。
QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。
类用来定义一系列的规则来对报文进行分类。
流行为用来定义针对报文所做的QoS动作。
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
QoS策略支持以下应用方式:
· 基于接口应用QoS策略:QoS策略对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、IS-IS、OSPF、RIP、BGP、LDP、RSVP、SSH等。
· 基于VLAN应用QoS策略:QoS策略对通过同一个VLAN内所有接口接收或发送的流量生效。基于VLAN应用的QoS策略不能应用在动态VLAN上,例如GVRP协议创建的VLAN。
· 基于全局应用QoS策略:QoS策略对所有流量生效。
拥塞是指当前供给资源相对于正常转发处理需要资源的不足,从而导致服务质量下降的一种现象。在分组交换以及多用户业务并存的复杂环境下,拥塞又是不可避免的,因此必须采用适当的方法来解决拥塞,通常采用队列的方式完成拥塞管理。下面是三种常用的队列:SP队列,WRR队列和WFQ队列。
图8-1 SP队列示意图
SP队列是针对关键业务类型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。
在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
图8-2 WRR队列示意图
WRR队列在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有8个输出队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100Mbps的端口,配置它的WRR队列的加权值为50、50、30、30、10、10、10、10(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbps的带宽,解决了采用SP调度时低优先级队列中的报文可能长时间得不到服务的问题。
WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
WRR队列分为:
· 基本WRR队列:基本WRR队列包含多个队列,用户可以定制各个队列的权重,WRR按用户设定的参数进行加权轮询调度。
· 分组WRR队列:所有队列全部采用WRR调度,用户可以根据需要将输出队列划分为WRR优先级队列组1和WRR优先级队列组2。进行队列调度时,设备首先在优先级队列组1中进行轮询调度;优先级队列组1中没有报文发送时,设备才在优先级队列组2中进行轮询调度。
在分组WRR队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WRR优先组。
图8-3 WFQ队列示意图
WFQ能够按流的“会话”信息(协议类型、源和目的TCP或UDP端口号、源和目的IP地址、ToS域中的优先级位等)自动进行流分类,并且尽可能多地提供队列,以将每个流均匀地放入不同队列中,从而在总体上均衡各个流的延迟。在出队的时候,WFQ按流的优先级来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。
例如:接口中当前共有5个流,它们的优先级分别为0、1、2、3、4,则带宽总配额为所有(流的优先级+1)的和,即1+2+3+4+5=15。每个流所占带宽比例为:(自己的优先级数+1)/(所有(流的优先级+1)的和)。即每个流可得的带宽分别为:1/15,2/15,3/15,4/15,5/15。
WFQ和WRR队列调度算法类似,也可以分为基本WFQ队列和分组WFQ队列。在分组WFQ队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WFQ优先组。两者差异如下:WFQ支持带宽保证,可以保证端口流量拥塞时能够获得的最小队列带宽。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。
如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。
按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。
根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。
在配置接口上的优先级模式时,用户可以选择下列信任模式:
· Untrust:不信任任何优先级。
· Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
· DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
设备中提供了三张优先级映射表,分别802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表和DSCP到DSCP映射表。如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。
限速是采用令牌桶进行流量控制。当令牌桶中存有令牌时,可以允许报文的突发性传输;当令牌桶中没有令牌时,报文必须等到桶中生成了新的令牌后才可以继续发送。这就限制了报文的流量不能大于令牌生成的速度,达到了限制流量,同时允许突发流量通过的目的。
评估流量时令牌桶的参数包括:
· 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常配置为CIR。
· 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常配置为CBS,突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走满足报文的转发的令牌;否则说明已经耗费太多令牌,流量超标了。
假如在设备的某个接口上配置了限速,所有经由该接口发送的报文首先要经过限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入QoS队列进行拥塞管理。这样,就可以对该接口的报文流量进行控制。
包过滤是指采用ACL规则对接口、VLAN或全局入方向或出方向的报文进行过滤,即对匹配上ACL规则的报文按照其中定义的匹配动作允许或拒绝通过,对未匹配上任何ACL规则的报文则按照指定的缺省动作进行处理。
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
设备上配置了IP Source Guard功能的接口接收到用户报文后,首先查找该接口上的绑定表项,如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则丢弃该报文。IP Source Guard可以根据报文的源IP地址、源MAC地址和VLAN标签对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:
· IP绑定表项
· MAC绑定表项
· IP+MAC绑定表项
· IP+VLAN绑定表项
· MAC+VLAN绑定表项
· IP+MAC+VLAN绑定表项
静态配置IPv4接口绑定表项适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
静态IPv4接口绑定表项用于过滤接口收到的IPv4报文,这类表项仅在当前接口上生效。
同一个表项不能在同一个接口上重复绑定,但可以在不同的接口上绑定。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
802.1X系统中包括三个实体:。
· 客户端:请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端:局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口,并通过与认证服务器的交互来对所连接的客户端进行认证。
· 认证服务器端:用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。
在接入设备上,802.1X认证方法有三种方式:
· CHAP或PAP认证方法。在这种方式下,设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP或CHAP方法进行认证。CHAP以密文的方式传送密码,而PAP是以明文的方式传送密码。
· EAP认证方法。在这种方式下,设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。
端口支持以下两种接入控制方式:
· 基于端口认证:只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 基于MAC认证:该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。
端口支持以下三种授权状态:
· 强制授权:表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。
· 强制非授权:表示端口始终处于非授权状态。设备端不为通过该端口接入的客户端提供认证服务。
· 自动识别:表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户通过认证,则端口切换到授权状态,允许用户访问网络资源。
该功能开启后,设备会根据周期性重认证时间间隔定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。
该功能开启后,设备会根据周期发送握手请求报文时间间隔定期向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。
在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
· 组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
802.1X Auth-Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
在接入控制方式为基于端口认证的端口上配置Auth-Fail VLAN后,若该端口上有用户认证失败,则该端口会离开当前的VLAN被加入到Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。
当加入Auth-Fail VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于Auth-Fail VLAN内;如果认证成功,则该端口会离开Auth-Fail VLAN,之后端口加入VLAN情况与认证服务器是否下发授权VLAN有关,具体如下:
若认证服务器下发了授权VLAN,则端口加入下发的授权VLAN中。用户下线后,端口会离开下发的授权VLAN,若端口上配置了Guest VLAN,则加入Guest VLAN,否则加入缺省VLAN。
若认证服务器未下发授权VLAN,则端口回到缺省VLAN中。用户下线后,端口仍在缺省VLAN中。
在接入控制方式为基于MAC认证的端口上配置Auth-Fail VLAN后,该端口上认证失败的用户将被授权访问Auth-Fail VLAN里的资源。
当Auth-Fail VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的授权VLAN中,或使其回到端口的缺省VLAN中;如果认证失败,则该用户仍然留在该Auth-Fail VLAN中。
802.1X Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
在接入控制方式为基于端口认证的端口上配置Guest VLAN后,若全局和端口上都使能了802.1X,端口授权状态为auto,且端口处于激活状态,则该端口就被立即加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。
在接入控制方式为基于MAC认证的端口上配置Guest VLAN后,端口上未认证的用户将被授权访问Guest VLAN里的资源。
802.1X Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源。目前,只采用RADIUS认证方式的情况下,在所有RADIUS认证服务器都不可达后,端口才会加入Critical VLAN。若采用了其它认证方式,则端口不会加入Critical VLAN。
根据端口的接入控制方式不同,Critical VLAN的生效情况有所不同。
在接入控制方式为基于端口认证的端口上配置Critical VLAN后,若该端口上有用户认证时,所有认证服务器都不可达,则该端口会被加入到Critical VLAN,之后所有在该端口接入的用户将被授权访问Critical VLAN里的资源。在用户进行重认证时,若所有认证服务器都不可达,且端口指定在此情况下强制用户下线,则该端口也会被加入到Critical VLAN。
已经加入Critical VLAN的端口上有用户发起认证时,如果所有认证服务器不可达,则端口仍然在Critical VLAN内;如果服务器可达且认证失败,且端口配置了Auth-Fail VLAN,则该端口将会加入Auth-Fail VLAN,否则回到端口的缺省VLAN中;如果服务器可达且认证成功,则该端口加入VLAN的情况与认证服务器是否下发VLAN有关,具体如下:
若认证服务器下发了授权VLAN,则端口加入下发的授权VLAN中。用户下线后,端口会离开下发的授权VLAN,若端口上配置了Guest VLAN,则加入Guest VLAN,否则加入缺省VLAN。
若认证服务器未下发授权VLAN,则端口回缺省VLAN中。用户下线后,端口仍在缺省VLAN中。
在接入控制方式为基于MAC认证的端口上配置Critical VLAN后,若该端口上有用户认证时,所有认证服务器都不可达,则端口将允许Critical VLAN通过,用户将被授权访问Critical VLAN里的资源。
当Critical VLAN中的用户再次发起认证时,如果所有认证服务器不可达,则用户仍然在Critical VLAN中;如果服务器可达且认证失败,且端口配置了Auth-Fail VLAN,则该用户将会加入Auth-Fail VLAN,否则回到端口的缺省VLAN中;如果服务器可达且认证成功,则设备会根据认证服务器是否下发授权VLAN决定将该用户加入下发的授权VLAN中,或使其回到端口的缺省VLAN中。
在端口上指定强制认证域为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费,从而防止用户通过恶意假冒其它域账号从本端口接入网络。另外,管理员也可以通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。
EAD(Endpoint Admission Defense,端点准入防御)作为一个网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强了对用户的集中管理,提升了网络的整体防御能力。但是在实际的应用过程中EAD客户端的部署工作量很大,例如,需要网络管理员手动为每一个EAD客户端下载、升级客户端软件,这在EAD客户端数目较多的情况下给管理员带来了操作上的不便。
802.1X认证支持的EAD快速部署功能就可以解决以上问题,它允许未通过认证的802.1X用户访问一个指定的IP地址段(称为Free IP),并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它即不需要用户安装任何客户端软件,也不需要用户手动输入用户名或密码。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
该列表显示了MAC地址被设置为静默MAC的用户信息。
当用户认证失败时,该用户的MAC地址就会被设置为静默MAC。在静默时间内(可通过静默时间间隔设置),来自该列表中的静默MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
· MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码。
· 固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:
· 在系统视图下指定一个认证域,该认证域对所有开启了MAC地址认证的端口生效。
· 在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
用来设置用户空闲超时的时间间隔。若设备在一个下线检测时间间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果在服务器超时时间间隔内设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。
需要注意的是,开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt,否则MAC地址认证延迟功能不生效。
MAC地址认证的Guest VLAN功能允许用户在认证失败的情况下,访问某一特定VLAN中的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时,该端口仍然处于Guest VLAN内;认证成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
MAC地址认证的Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源。目前,只采用RADIUS认证方式的情况下,在所有RADIUS认证服务器都不可达后,端口才会加入Critical VLAN。若采用了其它认证方式,则端口不会加入Critical VLAN。
端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在属于不同VLAN的相同端口再次接入,则,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。
端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式或为IP电话类用户授权VLAN,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。
是否对MAC地址在线用户进行周期性重认证由认证服务器决定。重认证的目的是检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。认证服务器通过下发RADIUS属性来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。
· 当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。
端口对用户进行重认证过程中,重认证服务器不可达时端口上的MAC地址认证用户状态由端口上选择的处理方式决定。在网络连通状况短时间内不良的情况下,合法用户是否会因为服务器不可达而被强制下线,需要结合实际的网络状态来调整。若配置为保持用户在线,当服务器在短时间内恢复可达,则可以避免用户频繁上下线;若配置为强制下线,当服务器可达性在短时间内不可恢复,则可避免用户在线状态长时间与实际不符。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文。
· 未通过认证的用户报文。
如果打开授权失败用户下线功能,当下发的授权ACL、User Profile不存在或者ACL、User Profile下发失败时,将强制用户下线。
如果没有打开授权失败用户下线功能,当下发的授权ACL、User Profile不存在或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Porfile不生效。
当安全MAC地址的保持时间达到设置的安全MAC地址老化时长时,该安全MAC地址将被从安全MAC地址列表中删除。
安全MAC地址的老化时间间隔对所有端口学习到的安全MAC地址以及手工添加的地址均有效。当取值为0时,表示安全MAC地址不会被老化。
当入侵保护模式设置为暂时关闭端口模式,且端口收到非法报文时,系统暂时关闭端口的时长。
配置的OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。
端口安全模式可大致分为以下两大类:
· 控制MAC学习类:无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。
· 认证类:利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所采用的安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表9-1。
工作机制 |
NTK/入侵检测 |
|||
缺省情况 |
noRestrictions |
表示端口的安全功能关闭,端口处于无限制状态 |
无效 |
|
端口控制MAC地址学习 |
autoLearn |
端口可通过手工配置或自动学习MAC地址,这些地址将被添加到安全MAC地址表中,称之为安全MAC地址 当端口下的安全MAC地址数超过端口安全允许学习的最大安全MAC地址数后,端口模式会自动转变为Secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 该模式下,端口不会将自动学习到的MAC地址添加为MAC地址表中的动态MAC地址 |
可触发 |
|
Secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
|||
端口采用802.1X认证 |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
无效 |
|
userLoginSecure |
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
可触发 |
||
userLoginWithOUI |
该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
|||
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|||
端口采用MAC地址认证 |
macAddressWithRadius |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
可触发 |
|
端口采用802.1X和MAC地址认证组合认证 |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.1X认证用户及多个MAC地址认证用户接入 此模式下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
可触发 |
|
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证。允许端口下一个802.1X认证用户及多个MAC地址认证用户接入 非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果000MAC地址认证失败再进行802.1X认证 |
|||
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
当设备检测到一个非法的用户通过端口试图访问网络时,入侵检测特性用于配置设备可能对其采取的安全措施,包括以下三种方式:
· 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
· 永久关闭端口:表示将收到非法报文的端口永久关闭。
· 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过端口暂时关闭时长来设置。
Need To Know特性用来限制认证端口上出方向的报文转发,可支持以下三种限制方式:
· ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。
· ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。
· ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。
配置了Need To Know的端口在以上任何一种方式下都不允许目的MAC地址未知的单播报文通过。
安全MAC地址老化模式有以下两种方式:
· 固定时间老化方式,在该方式下,在安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生。设备缺省采用该方式。
· 无流量老化方式,在该方式下,设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的老化时间内没有任何流量产生,则才会被老化,否则该安全MAC地址不会被老化,并在下一个老化周期内重复该检测过程。下一个周期内若还有流量产生则继续保持该安全MAC地址的学习状态,该方式可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化时间到达之后占用端口资源。
开启该功能后,指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址,且将不能手工添加Sticky MAC地址。关闭该功能后,该端口上的动态类型的安全MAC地址会立即转换为Sticky MAC地址,且用户可以手工添加Sticky MAC地址。
动态类型的安全MAC地址不会被保存在配置文件中,设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下,可将其设置为动态类型的安全MAC地址。
802.1X用户或MAC地址认证用户通过本地认证或RADIUS认证时,本地设备或远程RADIUS服务器会把授权信息下发给用户。通过此功能可实现端口是否忽略这类下发的授权信息。
端口安全允许某个端口下有多个用户同时接入,但是允许的用户数不能超过规定的最大值。
配置端口允许的最大安全MAC地址数有两个作用:
· 控制端口允许接入网络的最大用户数。对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取该设置的值与相应模式下允许认证用户数的最小值;
· 控制autoLearn模式下端口能够添加的最大安全MAC地址数。
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:
· 可以不安装客户端软件,直接使用Web页面认证,使用方便。
· 可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。
· 支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证。
Portal系统中包括五个实体:
· 认证客户端:用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。
· 接入设备:交换机、路由器等宽带接入设备的统称。
· Portal认证服务器:接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。
· Portal Web服务器:负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
· AAA服务器:与接入设备进行交互,完成对用户的认证、授权和计费。
在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。
开启Portal认证服务器的可达性探测功能后,无论是否有接口上使能了Portal认证,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:
· 发送Trap信息:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
· 发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备。
(2) 接入设备在用户上线之后,即开启用户同步检测定时器,在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线。
该功能用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时选择如下两个参数信息:用户的IP地址和初始访问的URL,且初始访问的URL为http://www.abc.com/welcome则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
在Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有接口上使能了Portal认证,开启了Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
· 探测参数
¡ 探测间隔:进行探测尝试的时间间隔。
¡ 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
· 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
¡ 发送Trap信息:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
¡ 发送日志:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器的功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和AAA服务器。
认证客户端和内嵌本地Portal Web 服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal Web服务器支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后使用添加按钮将其上传到设备中。该套自定义页面文件中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙碌页面。本地Portal Web服务器根据不同的认证阶段向客户端推出对应的认证页面。
此功能用于将设备中的一套自定义的认证页面文件设置为系统缺省的认证页面文件。从而本地Portal Web服务器可以根据不同的认证阶段向客户端推出对应的认证页面。如果没有设置缺省认证页面文件,则本地Portal Web服务器功能无法实现。
用户自定义的认证页面为HTML文件的形式,并将其压缩之后使用添加按钮将其上传到设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal Web服务器功能的正常使用和系统运行的稳定性。
(1) 文件名规范
主索引页面文件名不能自定义,必须使用中所列的固定文件名。
主索引页面 |
文件名 |
登录页面 |
logon.htm |
登录成功页面 |
logonSuccess.htm |
登录失败页面 |
logonFail.htm |
在线页面 用于提示用户已经在线 |
online.htm |
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
下线成功页面 |
logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
(2) 页面请求规范
· 本地Portal Web服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(3) Post请求中的属性规范
· 认证页面中表单(Form)的编辑必须符合以下原则:
¡ 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
¡ 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
¡ 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
¡ 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
¡ 下线Post请求必须包含”PtButton”这个属性。
· 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;”>
</form>
· 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
(4) 页面文件压缩及保存规范
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备,并保存在设备的根目录下。
若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
· 将logon.htm文件中的Form的target值设置为“_blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="_blank">
· logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时,可打开接口的网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能。
如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即放开接口控制,当两个服务器均恢复可达性后,再重新启动Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
配置此功能后,设备向Portal认证服务器上传通知类Portal协议报文时使用的源IP地址为设置的BAS-IP地址。
如果没有配置此功能,则设备向Portal认证服务器上传Portal协议报文时使用的源IP地址的选择分为一下两种情况:
· 对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IP地址。
· 对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IP地址。
IPv4探测类型为ARP请求或ICMP请求。
ARP方式的探测只适用于直接方式和二次地址分配方式的Portal认证。ICMP方式的探测适用于所有认证方式。
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户以设置的探测间隔来周期性的发送探测报文。如果在指定探测次数之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备以设置的探测间隔定期检测用户ARP表项是否被刷新过,如果在指定探测次数内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。
设备对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,一个ISP域对应着一套实现AAA(Authentication、Authorization、Accounting,认证、授权、计费)的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
设备支持的认证方法包括:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
· 远端认证(RADIUS):认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。
设备支持的授权方法包括:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
· 远端授权(RADIUS):授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。当远端服务器无效时,可配置备选授权方式完成授权。
设备支持的计费方法包括:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
· 远端计费(RADIUS):计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
每个用户都属于一个ISP域。为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,设备将用户划分为以下几个类型:
· LAN接入用户:例如802.1X认证用户。
· 登录用户:例如Telnet、FTP、终端接入用户(即从Console等接口登录的用户)。
· Portal用户。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备,因此系统中可以存在多个ISP域,其中包括一个缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。
用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
· RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。
RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。
当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。
设备重启后,重启前的原在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。
开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔尝试重发几次。分布式设备单板重启时,Accounting-on功能的实现需要和H3C IMC网管系统配合使用。
H3C的IMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和H3C的IMC RADIUS服务器配合使用。
本地认证泛指由接入设备对用户进行认证、授权和计费,进行本地认证的用户的信息(包括用户名、密码和各种属性)配置在接入设备上。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。
为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。
本系列交换机支持WiNet(Wisdom NetWork,智能网络)技术,通过该技术可以实现对网络设备的集中管理。
WiNet网络具有以下优点:
· 易部署:WiNet网络中只有一台设备被配置为管理设备,通过对管理设备进行简单的Web配置,就可以对整个WiNet网络中的所有设备进行管理。
· 零成本:不需要专门的网管设备,无需另外购买和安装网管软件。
· 即插即用:设备通过以太网口接入到网络中,即可被管理设备自动发现并加入网络。
· 简单快速部署用户网络接入安全认证功能:只需在管理设备上进行简单的Web配置,就可以启动RADIUS服务器功能,并且通过管理设备直接配置成员设备的安全认证端口,操作简单方便。
根据在WiNet网络中所处的地位和功能的不同,可以把设备分为:
(1) WiNet管理设备
WiNet管理设备(Administrator),后面简称为管理设备。在WiNet网络中管理员可以通过管理设备对整个网络进行管理。管理设备是WiNet网络中唯一配置了公网IP地址的设备。
· 每个WiNet网络必须指定唯一的管理设备,并通过该管理设备对WiNet网络中的成员设备进行配置、管理和监控。
· 管理设备会自动收集信息来发现和确定成员设备。
(2) WiNet成员设备
WiNet成员设备(Member),后面简称为成员设备。成员设备是WiNet网络中处于被管理状态的设备。
管理VLAN是指WiNet协议报文通讯所使用的VLAN,WiNet网络的管理VLAN为VLAN 1。它限制了WiNet管理的范围,管理VLAN可实现如下功能:
· WiNet的管理报文都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性;
· 管理设备和WiNet中的其它设备通过管理VLAN实现内部通讯。
部署WiNet网络时,需要保证WiNet管理设备与成员相连的端口(包括级联端口)、管理设备连接外部网络的端口都允许管理VLAN通过。
如图10-1所示,Device B为管理设备,DeviceA、Device C和Device D为成员设备;该WiNet网络的管理VLAN为VLAN 1;管理设备的网管接口为Vlan-interface1,其IP地址为192.168.0.233/24。
图10-1 WiNet典型组网图
用户只需要在管理设备上启动WiNet,其它设备不需要进行任何配置。管理设备启动WiNet后,可以自动发现和确定成员设备。
(1) 进入WiNet设置页面
在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设备支持该功能”。
(2) 启动WiNet
WiNet启动后,不能再对“设置”页面上的配置项进行配置,且<开启WiNet>按钮变为<关闭WiNet>按钮。
管理员必须通过WiNet管理VLAN的虚接口登录管理设备,才能够对成员设备进行管理。
WiNet启动后,通过管理VLAN的虚接口登录管理设备可以对所有成员设备进行管理。
在“WiNet管理”页面可以进行如下操作:
(1) 设置刷新周期:可以按照指定的周期自动刷新页面显示的拓扑图。用户也可以手动刷新页面显示的拓扑图。
(2) 拓扑收集:管理设备开始重新进行拓扑收集。需要注意的是,除了手动触发拓扑收集,系统还会每隔一分钟自动进行一次拓扑收集。
(3) 网络快照:管理设备将当前网络的拓扑保存为基准拓扑,用于对比在不同时间网络拓扑的变化。
(4) 拓扑初始化:将清除管理设备内存中保存的基准拓扑记录和浏览器记录的Cookie信息。
(5) 添加设备:可以添加成员设备。
(6) 在拓扑图上可以用鼠标拖动各设备图标,按用户的需要摆放设备图标的位置。如果用户使用的浏览器设置了可以接受Cookie,则在执行快照操作时,拖动后的各设备位置信息也将被保存下来。
(7) 在拓扑图中对某个设备双击鼠标左键,则弹出该设备详细信息的显示框,可以查看该设备的主机名、MAC地址、设备类型、IP地址、版本等。
(8) 查看WiNet拓扑信息,包括各设备的角色、设备间的连接状态。设备间的连接状态有以下几种:
· 正常连接:基准拓扑中存在,当前拓扑也存在的连接。
· 新增连接:基准拓扑中不存在,当前拓扑中存在的连接。
· 环路阻断:被STP阻塞的连接。需要注意的是,当一个正常连接环路阻断时,显示为黑色虚线;当一个新增连接环路阻断时,显示为蓝色虚线。
· 断路连接:基准拓扑中存在,当前拓扑中不存在的连接。
(9) 在拓扑图中单击选中某个设备,可以查看该设备的面板示意图,并可以对该设备进行管理,包括如下操作:
· 设备命名:在弹出的页面中可以重新设置设备名称。
· 在设备的面板示意图上选择一个或多个二层以太网端口,进行端口布防,可以在选中的端口上启动二层Portal认证功能。管理设备与成员设备相连的端口、管理设备连接外部网络的端口以及管理员接入管理设备的端口上不能进行端口布防。
· 如果选中的设备是成员设备,使用还可以进行如下操作:
¡ 登录到该成员设备的Web页面,对其进行配置和管理。需要注意的是,如果当前用户与成员设备上存在的用户名、密码一致,则可以直接登录到成员设备的Web页面进行操作;否则,只能进入成员设备的Web登录页面,需要输入正确的用户名和密码才能登录。
¡ 将该成员设备恢复到出厂配置,并重启成员设备。
¡ 重新启动成员设备。
通过用户管理功能创建的用户是RADIUS服务器所管理的用户,详细配置如表10-1所示。
表10-1 RADIUS服务器所管理的用户的详细配置
配置项 |
说明 |
用户名 |
设置用户的名称 |
用户密码 |
设置用户的密码和确认密码,二者必须一致。输入的密码如果以空格开头,则开头的空格将被忽略 |
确认密码 |
|
授权VLAN |
设置用户的授权VLAN ID。如果指定了授权VLAN,但接入设备不支持授权VLAN属性,则会导致用户认证失败 |
授权ACL |
设置用户的授权ACL |
过期时间 |
设置用户的有效截止时间,格式为YYYY-MM-DD HH:MM:SS(年-月-日 时:分:秒)。当指定了过期时间的用户进行认证时,如果管理设备当前的系统时间超过了过期时间,则用户认证失败 |
备注信息 |
描述用户的相关信息 |
创建新用户后,该用户会在未激活用户列表中显示,激活后,该用户从未激活用户列表删除,在已激活用户列表中显示。对已激活用户进行删除、修改操作,需要激活,删除、修改操作才能生效。
设备产生的日志信息按严重性可划分为如表11-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
数值 |
信息等级 |
描述 |
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
3 |
error |
表示错误信息,如接口链路状态变化等 |
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
7 |
debugging |
表示调试过程产生的信息 |
系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。
为了保证系统时间的准确性,设备从NTP服务器获取系统时间,并对NTP服务器的身份进行验证。
图12-1 系统时间配置组网图
(1) 配置NTP客户端Device
Device的系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 选择自动同步系统时间,采用的协议为网络时间协议(NTP)。
· 指定需要对时钟源(NTP服务器)进行身份验证。
· 配置身份验证密钥ID为100,密钥值为aabbcc。
· 指定NTP服务器的IP地址为10.1.1.2,工作在服务器模式,并关联身份验证密钥ID。
(2) 配置NTP服务器
在NTP服务器上开启NTP服务,并配置身份验证功能。具体配置方法以采用的NTP服务器为准,配置过程略。
完成上述配置后,可以看到系统时钟处于同步状态,且设备的系统时间与NTP服务器上的系统时间保持一致。
在Switch上配置一个管理员帐户,用于用户采用HTTP方式登录Switch,具体要求如下:
· 用户使用管理员帐户登录时,Switch对其进行本地认证;
· 管理员帐户名称为webuser,密码为12345;
· 通过认证之后,用户被授予角色network-admin。
图12-2 管理员配置组网图
· 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 2。进入VLAN 2的详情页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.20/24。
(1) 配置管理员账户
管理员帐户在“设备 > 维护 > 管理员”页面配置,配置步骤为:
· 添加管理员。
· 配置用户名为webuser,密码为12345。
· 选择角色为network-admin。
· 指定可用的服务为HTTP。
(2) 开启HTTP和HTTPS服务
HTTP服务在“网络 > 服务 > HTTP/HTTPS”页面配置,配置步骤为:
· 开启HTTP登录服务。
· 开启HTTPS登录服务。
(1) 完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。
(2) 用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码以及验证码后,即可成功登录设备的Web页面进行相关配置。
· Switch A与Switch B通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· 在Switch A和Switch B上分别配置二层静态链路聚合组,以提高链路的可靠性。
图12-3 以太网链路聚合配置组网图
(1) 配置以太网链路聚合
以太网链路聚合在“网络 > 接口 > 链路聚合”页面配置,配置步骤为:
· 在Switch A上添加二层聚合组10,指定聚合模式为静态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到该聚合组中。
· Switch B配置与Switch A相同。
(2) 配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
· 在Switch A上创建VLAN 10。进入VLAN 10的详情页面,将与Host A相连的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
· Switch B配置与Switch A相同。
完成上述配置后,在链路聚合页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已经加入到静态聚合组10。Host A能够Ping通Host B。Switch A与Switch B之间的一条链路故障后,Host A仍然能够Ping通Host B。
小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3相连,Switch通过GigabitEthernet1/0/4端口与外部网络相连。现需要实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图12-4 端口隔离配置组网图
端口隔离在“网络 > 接口 > 端口隔离”页面配置,配置步骤为:
· 创建隔离组2。
· 进入隔离组2的详情页面,配置端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3加入隔离组2的接口列表。
完成上述配置后,GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3实现二层隔离,Host A、Host B和Host C彼此之间不能ping通。
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
图12-5 VLAN配置组网图
(1) 配置Switch A
进入Switch A的“网络 > 链路 > VLAN”页面,进行如下配置:
· 在Switch A上创建VLAN 100和VLAN 200。
· 进入VLAN 100的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 100的Untagged端口列表(Host A不识别VLAN Tag);配置端口GigabitEthernet1/0/3加入VLAN 100的Tagged端口列表(Switch B需判断报文所属VLAN)。
· 进入VLAN 200的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 200的Untagged端口列表(Host B不识别VLAN Tag);配置端口GigabitEthernet1/0/3加入VLAN 200的Tagged端口列表(Switch B需判断报文所属VLAN)。
(2) 配置Switch B
Switch B上进行与Switch A相同的VLAN配置,配置过程略。
完成上述配置后,Host A和Host C能够互相ping通,但是均不能ping通Host B和Host D。Host B和Host D能够互相ping通,但是均不能ping通Host A和Host C。
· IP Phone A接入Switch A的Hybrid类型端口GigabitEthernet1/0/1。IP Phone A发出的报文为Untagged报文。
· Switch A上VLAN 2为语音VLAN。
· 手工将Switch A的端口GigabitEthernet1/0/1工作加入语音VLAN,添加OUI地址0011-2200-0000,使该端口专用于传输语音报文。
图12-6 语音VLAN配置组网图
(1) 进入Switch A的“网络 > 接口”页面,配置端口GigabitEthernet1/0/1的PVID为2。
(2) 进入Switch A的“网络 > 链路 > VLAN”页面,进行如下配置:
· 在Switch A上创建VLAN 2。
· 进入VLAN 2的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 2的Untagged端口列表(IP phone A不识别VLAN Tag)。
(3) 进入Switch A的“网络 > 链路 > 语音VLAN”页面,进行如下配置:
· 进入端口列表的添加端口页面,配置端口GigabitEthernet1/0/1加入VLAN 2,端口模式为Manual。
· 进入高级设置页面,配置安全模式为Security。
· 进入OUI表的添加OUI页面,添加OUI地址为0011-2200-0000,掩码为ffff-ff00-0000,描述字符为IP phone A的表项。
完成上述配置后,查看OUI表,可看到当前系统支持的OUI地址包括0011-2200-0000。查看端口列表,可看到GigabitEthernet1/0/1已加入语音VLAN 2。
· 现有一台用户主机Host A,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接Switch的端口GigabitEthernet1/0/1。为防止假冒身份的非法用户骗取数据,在Switch的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台用户主机Host B,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在Switch上添加一条黑洞MAC地址表项,使该用户主机接收不到报文。
· 配置Switch的动态MAC地址表项老化时间为500秒。
图12-7 MAC地址配置组网图
MAC地址在“网络 > 链路 > MAC”页面配置,配置步骤为:
· 增加一条静态MAC地址表项,MAC地址为000f-e235-dc71,出接口为GigabitEthernet1/0/1,且该接口属于VLAN 1。
· 增加一条黑洞MAC地址表项,MAC地址为000f-e235-abcd,属于VLAN 1。
· 进入配置页面,配置动态MAC地址表项的老化时间为500秒。
完成上述配置后,在MAC地址表页面中可以看到已经创建的MAC地址表项,并且Host B无法Ping通Host A。
· 网络中所有设备都属于同一个MST域。Switch A和Switch B为汇聚层设备,Switch C和Switch D为接入层设备。
· 通过配置MSTP,使不同VLAN的报文按照不同的MSTI转发:VLAN 10的报文沿MSTI 1转发,VLAN 30沿MSTI 2转发。
图12-8 MSTP配置组网图
(1) 配置VLAN
VLAN在“网络 > 链路 > VLAN”页面配置。
· Switch A上的配置:
¡ 创建VLAN 10和VLAN 30。
¡ 进入VLAN 10的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
¡ 进入VLAN 30的详情页面,将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。
· Switch B上的配置:
¡ 创建VLAN 10和VLAN 30。
¡ 进入VLAN 10的详情页面,将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
¡ 进入VLAN 30的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。
· Switch C上的配置:
¡ 创建VLAN 10。
¡ 进入VLAN 10的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表。
· Switch D上的配置:
¡ 创建VLAN 30。
¡ 进入VLAN 30的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入VLAN 30的Tagged端口列表。
(2) 配置MSTP
MSTP在“网络 > 链路 > STP”页面配置,配置步骤为:
· Switch A~Switch D上开启STP功能,设置工作模式为MSTP。
· Switch A~Switch D上,在域设置页面,配置MST域的域名为Web,将VLAN 10、30分别映射到MSTI 1、2上,并配置MSTP的修订级别为0。
完成上述配置后,在生成树状态中可以看到各个接口的端口角色、端口状态等信息。
通过在Switch A和Switch B上配置LLDP功能,实现:
· Switch A可以发现Switch B,并获取Switch B的系统及配置等信息。
· Switch B不可以发现Switch A。
图12-9 LLDP配置组网图
LLDP在“网络 > 链路 > LLDP”页面配置。两台设备上的配置分别为:
· 在Switch A上全局开启LLDP功能。进入接口状态页面,在接口GigabitEthernet1/0/1上开启LLDP功能。在高级设置的接口设置页面,开启接口GigabitEthernet1/0/1的最近桥代理功能,并配置该接口的工作模式为只接收报文,使得Switch A能够发现邻居。
· 在Switch B上全局开启LLDP功能。进入接口状态页面,在接口GigabitEthernet1/0/1上开启LLDP功能。在高级设置的接口设置页面,开启接口GigabitEthernet1/0/1的最近桥代理功能,并配置该接口的工作模式为只发送报文,使得Switch B不能够发现邻居。
完成上述配置后,在Switch A的LLDP邻居页面中可以看到Switch B的信息,邻居关系建立;Switch B的LLDP邻居页面中没有邻居信息。
Switch B通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息,并将绑定关系保存在FTP服务器上的文件中。
图12-10 DHCP Snooping配置组网图
(1) 配置DHCP服务器Switch A(具体配置过程略)
(2) 配置FTP服务器
开启FTP服务,配置登录名为User,登录密码为Password。(具体配置过程略)
(3) 配置Switch B
DHCP Snooping功能在“网络 > 链路 > DHCP Snooping”页面配置,配置步骤为:
· 开启DHCP Snooping功能。
· 配置连接合法DHCP服务器的接口GigabitEthernet1/0/1为信任接口。
· 在连接DHCP客户端的接口GigabitEthernet1/0/2上开启表项记录功能。
· 在高级设置页面,配置DHCP Snooping设备的表项备份功能:将DHCP Snooping表项备份到远端服务器,URL地址为ftp://10.1.1.1/database.dhcp,指定访问远端服务器时使用的用户名为User,密码为Password。该URL地址表示远端服务器为FTP服务器、地址为10.1.1.1、备份文件名称为database.dhcp。
完成上述配置后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。在DHCP Snooping上可以查看到记录的DHCP Snooping表项,同时FTP服务器上的文件database.dhcp中也保存了对应的DHCP Snooping表项信息。
Switch通过下行口连接主机,通过接口GigabitEthernet1/0/1连接Device。接GigabitEthernet1/0/1属于VLAN 10,IP地址为192.168.1.2/24。Device接口的IP地址为192.168.1.1/24,MAC地址为10e0-fc01-0001。
为了增加Switch和Device通信的安全性,可以在Switch上为Device配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址对应关系。
图12-11 添加静态ARP表项配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为192.168.1.2/24。
(2) 配置ARP表项
ARP在Switch的“网络 > IP > ARP”页面配置,配置步骤为:
· 添加静态ARP表项。
· 配置IP地址为192.168.1.1。
· 配置MAC地址为10-e0-fc-01-00-01。
· 指定报文转发的VLAN为10,接口为GigabitEthernet1/0/1。
完成上述配置后,在Switch上可以看到新增一条静态ARP表项。
为了避免记忆复杂的IP地址,Switch希望通过便于记忆的主机名访问某一主机。在Switch上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。
在本例中,Switch访问的主机IP地址为10.1.1.2,主机名为host.com。
图12-12 静态DNS配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为10.1.1.1/24。
(2) 配置静态域名解析
进入Switch的“网络 > IP > DNS”页面,配置静态域名解析:主机名为host.com,对应的IPv4地址为10.1.1.2。
完成上述配置后,在Switch上执行ping host.com命令,可以解析到host.com对应的IP地址为10.1.1.2,并能够ping通主机。
为了避免记忆复杂的IP地址,Switch希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。
在本例中:
· 域名服务器的IP地址是2.1.1.2/16,域名服务器上存在域名host.com和IP地址3.1.1.1的对应关系。
· Switch作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。
· Switch上配置域名后缀com,以便简化访问主机时输入的域名。例如,通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。
图12-13 动态DNS配置组网图
(1) 配置路由
在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(具体配置过程略)
(2) 配置域名服务器
在DNS server上添加域名host.com和IP地址3.1.1.1的映射关系。(具体配置过程略)
(3) 在Switch上配置动态域名解析
进入Switch的“网络 > IP > DNS”页面,配置域名服务器地址为2.1.1.2。在高级设置页面,配置域名后缀为com。
完成上述配置后,在Switch上执行ping host命令,可以解析到host对应的IP地址为3.1.1.1,并能够ping通主机。
· Switch为Internet上的用户提供Web服务,使用的域名为whatever.3322.org。
· 为保证Switch的IP地址变化后,Internet上的用户仍然可以利用域名whatever.3322.org访问Switch,Switch需要通过www.3322.org提供的DDNS服务及时通知DNS服务器更新域名和IP地址的对应关系。
· DNS服务器的IP地址为1.1.1.1。Switch通过该DNS服务器将DDNS服务器的域名www.3322.org解析为IP地址61.160.239.78。
图12-14 与www.3322.org互通的DDNS配置组网图
(1) 在DDNS服务器上申请账户
登录http://www.3322.org申请帐户,帐户名为abc,密码为123。(具体配置过程略)
(2) 配置DNS服务器
在DNS服务器上分别创建3322.org和IP地址61.160.239.18、whatever.3322.org和IP地址2.1.1.1的对应关系。(具体配置过程略)
(3) 配置路由
在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(具体配置过程略)
(4) 配置DDNS客户端Switch
# 进入“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为2.1.1.1/24。
# 进入“网络 > IP > 动态DNS”页面配置DDNS,配置步骤为:
· 创建名为3322的动态DDNS策略。
· 配置服务提供商为www.3322.org。
· 配置登录用户名为abc,登录密码为123。
· 配置定时发起更新请求的时间间隔为15分钟。
· 配置关联接口为VLAN接口10,当VLAN接口10的IP地址发生变化后,Switch先通过DNS服务器查到DDNS server的IP地址,然后及时通知DDNS server更新域名和接口IP地址的对应关系。
· 配置FQDN(即关联接口IP地址对应的域名)为whatever.3322.org。
# 进入“网络 > IP > DNS”页面,配置DNS服务器地址为1.1.1.1。
完成上述配置后,修改Switch的VLAN接口10的地址为2.1.1.2/24。一段时间后,在Host上ping域名whatever.3322.org,可以解析到对应的IP地址更新为2.1.1.2。
· Switch通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别连接市场部和技术部,并通过端口GigabitEthernet1/0/3连接Server。
· 通过配置本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
图12-15 端口镜像配置组网图
端口镜像在“网络 > 镜像 > 端口镜像”页面配置,配置步骤为:
· 创建本地镜像组1。
· 配置本地镜像组1的源端口为GigabitEthernet1/0/1和GigabitEthernet1/0/2,并指定对双方向的流量都进行镜像。
· 配置本地镜像组1的目的端口为GigabitEthernet1/0/3。
完成上述配置后,用户可以通过Server监控所有进、出市场部和技术部的报文。
在Switch A、Switch B和Switch C上配置静态路由,实现主机之间的两两互通。
图12-16 IPv4静态路由配置组网图
IPv4静态路由在“网络 > 路由 > 静态路由”页面配置。三台交换机上的配置分别为:
· 在Switch A上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0、掩码长度为0、下一跳地址为1.1.4.2,该路由用来匹配所有的目的IP地址。
· 在Switch B上创建到达Host A所在网段和Host C所在网段的两条IPv4静态路由表项:
¡ 到达Host A所在网段的路由:目的IP地址为1.1.2.0、掩码长度为24,、下一跳地址为1.1.4.1;
¡ 到达Host C所在网段的路由:目的IP地址为1.1.3.0、掩码长度为24、下一跳地址为1.1.5.6。
· 在Switch C上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0、掩码长度为0、下一跳地址为1.1.5.5,该路由用来匹配所有的目的IP地址。
完成上述配置后,在任意一条主机上可以ping通另外两台主机。
通过策略路由控制由Switch A产生的TCP报文的下一跳为1.1.2.2,其它类型报文仍然按照查找路由表的方式进行转发。
图12-17 IPv4本地策略路由配置组网图
IPv4本地策略路由在“网络 > 路由 > 策略路由”页面配置,在Switch A上的配置步骤为:
· 创建节点编号为5,匹配模式为允许的IPv4策略路由pbr。
· 创建IPv4高级ACL 3001,定义规则为允许IP协议类型为6(TCP)的报文通过。
· 指定策略路由pbr的报文匹配规则为IPv4 ACL 3001。
· 设置报文转发下一跳IP地址为1.1.2.2。
· 对本设备发送的IPv4报文应用策略pbr。
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,完成上述配置后:
· 在Switch A上可以成功通过Telnet方式登录Switch B。
· 在Switch A上无法通过Telnet方式登录Switch C。
· 在Switch A上可以ping通Switch C。
· 如图12-18所示,在一个没有三层网络设备的纯二层网络中,组播源Source 1向组播组224.1.1.1发送组播数据,Host A和Host B都是该组播组的接收者,且都使用IGMPv2。
· 由于该网络中没有可运行IGMP的三层网络设备,因此由Switch A来充当IGMP查询器,并将其发出的IGMP查询报文的源IP地址配置为非0.0.0.0,以免影响各交换机上IGMP snooping转发表项的建立从而导致组播数据无法正常转发。
· 为防止交换机在没有相应转发表项时将组播数据在VLAN内广播,在所有交换机上都开启丢弃未知组播数据报文功能。
图12-18 IGMP Snooping配置组网图
IGMP Snooping在“网络 > 组播 > IGMP Snooping”页面配置。三台交换机上的配置分别为:
· 在Switch A的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能和充当IGMP查询器功能,然后将普遍组查询报文和特定组查询报文的源IP地址都配置为192.168.1.10。
· 在Switch B的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。
· 在Switch C的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。
完成上述配置,并且接收者申请加入组播组224.1.1.1之后,在页面上可以看到该组播组对应的IGMP snooping转发表项。
DHCP客户端所在网段为10.10.1.0/24,DHCP服务器的IP地址为10.1.1.1/24。由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息。
图12-19 DHCP配置组网图
(1) 配置DHCP服务器Switch C
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 20。
· 进入VLAN 20的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 20的Tagged端口列表,并创建VLAN接口20,配置VLAN接口20的地址为10.1.1.1/24。
# 在“网络 > 服务 > DHCP”页面配置DHCP服务器功能,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口20工作在DHCP服务器模式。
· 在地址池页面,创建名称为pool1的地址池,配置该地址池动态分配的地址段为10.10.1.0/24,在地址池选项中配置网关地址为10.10.1.1。
· 在高级设置页面,配置冲突地址检查功能中的发送回显请求报文的最大数目为1,等待回显应答报文的超时时间为500毫秒。
(2) 配置DHCP中继Switch B
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 10和VLAN 20。
· 进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的地址为10.10.1.1/24。
· 进入VLAN 20的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 20的Tagged端口列表,并创建VLAN接口20,配置VLAN接口20的地址为10.1.1.2/24。
# 在“网络 > 服务 > DHCP”页面配置DHCP中继功能,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口10工作在DHCP中继模式,并指定DHCP服务器的IP地址为10.1.1.1。
· 在高级设置页面,开启中继用户信息记录功能和中继表项定时刷新功能,配置刷新时间间隔为100秒。
(3) 配置DHCP客户端Switch A
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 10。
· 进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表;并创建VLAN接口10。
# 在“网络 > IP > IP”页面配置DHCP客户端功能,配置步骤为:进入VLAN接口10的详情页面,配置VLAN接口10通过DHCP自动获取IP地址。
完成上述配置后,在DHCP服务器的已分配地址表中可以查看到已分配的IP地址;在DHCP中继表项中可以查看到对应的DHCP中继表项;在DHCP客户端上可以查看到获取的IP地址信息。
· Device A采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。
· Device A作为时间服务器为Device B提供时间同步。
图12-20 NTP配置组网图
(1) 配置NTP服务器Device A
进入Device A的“网络 > 服务 > NTP”页面,配置步骤为:
· 开启NTP服务。
· 配置本地时钟的IP地址为127.127.1.0。
· 配置本地时钟所处的层数为2。
(2) 配置NTP客户端Device B
系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 选择自动同步系统时间,采用的协议为网络时间协议(NTP)。
· 指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并指定时钟源工作在服务器模式。
完成上述配置后,Device B与Device A进行时间同步。此时Device B层数比Device A的层数大1,为3。
· NMS上运行SNMP v2c,需要对Device进行远程访问。
· 当Device上发生紧急事件时,能通过Trap信息自动上报给NMS。
图12-21 SNMP配置组网图
(1) 配置Device
进入Device的“网络 > 服务 > SNMP”页面,配置步骤为:
· 开启SNMP服务。
· 选择版本v2c。
· 新建团体readandwrite,具有读写属性,可访问缺省MIB视图下的所有节点。配置IPv4基本ACL,仅允许1.1.1.2/24使用团体名readandwrite来访问Device。
· 开启Trap功能,将目的主机设置为1.1.1.2,安全字为readandwrite,安全模型为v2c。
(2) 配置NMS
配置NMS使用的SNMP版本为v2c,读写团体名为readandwrite。具体配置请参考NMS的相关手册。
完成上述配置后,NMS上可获取MIB节点sysName的值,值为Device。当Device的接口被用户关闭时,NMS上可以收到linkDowm的Trap信息。
当三个部门访问Internet的流量发生拥塞时,要求按照2:1:1的比例依次调度管理部、研发部和市场部的流量。同时,保证发往Internet的所有数据总速率不得超过15Mbps。
图12-22 QoS配置组网图
(1) 配置QoS策略
QoS策略在“QoS > QoS > QoS策略”页面配置。在接口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4的入方向上应用QoS策略后,修改应用的策略,创建如下三个QoS策略:
· 创建IPv4 ACL 2001,添加一条允许源IP为192.168.1.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为0。
· 创建IPv4 ACL 2002,添加一条允许源IP为192.168.2.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为1。
· 创建IPv4 ACL 2003,添加一条允许源IP为192.168.3.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为2。
(2) 配置优先级映射
优先级信任模式在“QoS > QoS > 优先级映射”页面配置。具体配置为:指定在接口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4的优先级信任模式为信任Dot1p优先级。
优先级映射表在“QoS > QoS > 优先级映射”页面配置。具体配置为:将802.1p优先级到本地优先级映射表中,输入值为0、1、2对应的输出值分别改为0、1、2。
(3) 配置接口的硬件队列
接口的硬件队列在“QoS > QoS > 硬件队列”页面配置。进入接口GigabitEthernet1/0/1的详情页面,配置该接口的队列调度算法为WRR(byte-count),并将编号为0、1、2的队列的字节数分别修改为2、1、1。
(4) 配置接口限速
接口限速在“QoS > QoS > 限速”页面配置。具体配置为:在接口GigabitEthernet1/0/1的出方向上配置限速的CIR为15360千比特每秒。
完成上述配置后,可以在QoS策略页面查看策略的应用状态,也可以在硬件队列页面查看接口下队列的配置情况。
某公司要求,允许总裁办在任意时间、财务部在工作时间(每周工作日的8点到18点)访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
图12-23 通过ACL进行包过滤配置组网图
包过滤在“安全 > 包过滤 > 包过滤”页面配置。配置步骤为:
· 创建接口包过滤策略,在Switch的VLAN接口10的出方向上指定包过滤规则为IPv4 ACL。
· 创建IPv4高级ACL 3000,并按顺序制定三条规则:
¡ 允许协议类型为256(IP),源IP为192.168.1.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0的报文通过。
¡ 创建周期时间段work,指定开始时间为08:00,结束时间为18:00,生效时间为每周一、周二、周三、周四和周五。允许协议类型为256(IP),源IP为192.168.2.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0,生效时间段为work的报文通过。
¡ 拒绝协议类型为256(IP),目的IP为192.168.0.100、通配符掩码为0的报文通过。
· 开启ACL规则的匹配统计功能。
完成上述配置后,在页面上可以看到已经创建的IPv4高级ACL的规则状态和命中报文数。总裁办主机在任何时间都可以ping通财务数据库服务器;在工作时间财务部主机可以ping通该服务器;市场部在任何时间都不能ping通该服务器。
Host A、Host B分别与Device B的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Device A的接口GigabitEthernet1/0/2相连。Device B接到Device A的接口GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。
要求通过在Device A和Device B上配置IPv4静态绑定表项,满足以下各项应用需求:
· Device A的接口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
· Device A的接口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
· Device B的接口GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
· Device B的接口GigabitEthernet1/0/1上只允许Host B发送的IP报文通过。
图12-24 IP Source Guard IPv4静态绑定表项配置组网图
(1) 配置Device A
# 配置各接口的IP地址(略)
# IP Source Guard功能在“安全 > 包过滤 > IP Source Guard”页面配置,配置步骤为:
· 添加静态IPv4表项,接口为GigabitEthernet1/0/1,IP地址为192.168.0.1,MAC地址为00-01-02-03-04-06;
· 添加静态IPv4表项,接口为GigabitEthernet1/0/2,IP地址为192.168.0.3,MAC地址为00-01-02-03-04-05;
(2) 配置Device B
# 配置各接口的IP地址(略)
# IP Source Guard功能在“安全 > 包过滤 > IP Source Guard”页面配置,配置步骤为:
· 添加静态IPv4表项,接口为GigabitEthernet1/0/1,IP地址为192.168.0.2,MAC地址为00-01-02-03-04-07;
· 添加静态IPv4表项,接口为GigabitEthernet1/0/2,IP地址为192.168.0.1,MAC地址为00-01-02-03-04-06;
完成上述配置后,可分别在Device A和Device B的“安全 > 包过滤 > IP Source Guard”页面查看到对应的IP Source Guard表项。
用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
· Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为dm1X。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
图12-25 802.1X用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为802.1X。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1X,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择802.1X。
(4) 在Switch上配置802.1X
802.1X认证在“安全 > 接入 > 802.1X”页面配置,配置步骤为:
· 开启Switch的802.1X认证功能。
· 在接口GigabitEthernet1/0/1上开启802.1X认证功能,指定接入控制方式为基于MAC认证的方式。
· 在接口GigabitEthernet1/0/1的高级设置页面上,指定授权状态为自动识别,端口的强制认证ISP域为dm1X。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案802.1X的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1X的概要信息。
(3) 用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线,在“安全 > 接入 > 802.1X”页面中,可以查看接口GigabitEthernet1/0/1的当前用户数。
用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· Switch对802.1X用户采用本地认证,认证域为abc。
· 802.1X用户的认证名为dotuser,认证密码为12345。
· 端口GigabitEthernet1/0/1上只要有一个802.1X用户认证成功后,从该端口接入的其它用户无须认证就可使用网络资源。
图12-26 802.1X用户的本地认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置本地用户
本地用户在“安全 > 认证 > 本地认证”页面配置,配置步骤为:
· 添加用户,用户名为dotuser,密码为12345。
· 指定可用的服务为LAN接入。
(3) 配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为abc,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证方法为本地认证,授权方法为本地授权,计费方法为不计费。
(4) 配置802.1X
802.1X认证在“安全 > 接入 > 802.1X”页面配置,配置步骤为:
· 开启Switch的802.1X认证功能。
· 在接口GigabitEthernet1/0/1上开启802.1X认证功能,指定接入控制方式为基于端口认证的方式。
· 在接口GigabitEthernet1/0/1的高级设置页面上,指定授权状态为自动识别,端口的强制认证ISP域为abc。
(1) 完成上述配置后,在“安全 > 认证 > 本地认证”页面上可以看到已成功添加的本地用户,在“安全 > 认证 > ISP域”页面上可以看到已经成功添加的ISP域。
(2) 用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线,在“安全 > 接入 > 802.1X”页面中,可以查看到接口GigabitEthernet1/0/1上的当前用户数为1。
用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行MAC地址认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 所有用户都属于认证域2000,认证时采用固定用户名格式,用户名为aaa,密码为qaz123wdc。
· Switch对MAC地址认证用户进行认证时,采用RADIUS认证方式。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
图12-27 MAC地址认证用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为macauth。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为macauth,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择macauth。
(4) 在Switch上配置MAC地址认证
MAC地址认证在“安全 > 接入 > MAC地址认证”页面配置,配置步骤为:
· 开启Switch的MAC地址认证功能。
· 在接口GigabitEthernet1/0/1上开启MAC地址认证功能。
· 在高级设置页面上指定用户名格式为固定用户名格式,用户名和密码分别为aaa、qaz123wdc。
· 在高级设置页面上指定用户认证域为macauth。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案macauth的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的macauth的概要信息。
(3) 用户MAC地址认证成功上线后,在“安全 > 接入 > MAC地址认证”页面中,可以查看接口GigabitEthernet1/0/1的当前用户数。
用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行端口安全认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 端口GigabitEthernet1/0/1上同时允许一个802.1X用户以及一个与指定OUI值匹配的设备接入。
· Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为portsec。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
· 添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。
图12-28 端口安全用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为portsec。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为portsec,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择portsec。
(4) 在Switch上配置端口安全
802.1X认证在“安全 > 接入 > 端口安全”页面配置,配置步骤为:
· 开启Switch的端口安全认证功能。
· 在接口GigabitEthernet1/0/1的高级设置页面上指定端口安全模式为userLoginWithOUI。
· 在接口GigabitEthernet1/0/1的高级设置页面上的802.1X标签下,指定802.1X用户使用的端口的强制认证ISP域为portsec。
· 在高级设置页面上的认证OUIMAC中添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案portsec的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的portsec的概要信息。
(3) 802.1X用户上线后,在“安全 > 接入 > 端口安全”页面中,可以查看接口GigabitEthernet1/0/1的当前用户数为1。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!