企业园区网技术建议书1 - 图文

华为数据中心网络技术建议书

内部公开

5) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。

? 802.1X MAC旁路认证

图18 802.1x MAC旁路认证流程

802.1x MAC旁路认证过程如下：

1) 用户终端上电，用户发起ARP或DHCP请求等报文；

2) 园区交换机先向用户终端发起EAP探测报文，如果用户终端已经安装802.1x认证客户

端，则触发用户802.1x接入认证过程，否则进行MAC认证过程；

3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结

果控制其网络访问权限；

4) 用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，

对用户终端健康状态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限；

5) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。

? WEB Portal认证

2016-05-30

版权所有，侵权必究 第29页，共54页

华为数据中心网络技术建议书

内部公开

图19 WEB Portal认证流程

WEB Portal认证过程如下：

1) 用户终端打开WEB页面，发起HTTP请求至园区交换机；

2) 园区交换机进行HTTP重定向，将用户的打开的WEB页面重定向至Portal服务器； 3) 用户访问WEB Portal页面，输入用户名和密码进行认证；

4) Portal服务器通过Portal 2.0协议将用户输入的用户名和密码信息发送给交换机，交换机到

认证服务器进行Radius认证；

5) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结

果控制其网络访问权限；

6) NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，对用户终端健康状

态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限； 7) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。

5.3 园区网络监管/监控

5.3.1 防IP/MAC地址盗用和ARP中间人攻击

? 防IP/MAC地址盗用

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信

2016-05-30

版权所有，侵权必究

第30页，共54页

华为数据中心网络技术建议书

内部公开

任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

? 防ARP中间人攻击

图20 ARP中间人攻击防御

Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP

2016-05-30

版权所有，侵权必究

第31页，共54页

华为数据中心网络技术建议书

内部公开

请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。

5.3.2 防IP/MAC地址扫描攻击

? 防IP扫描攻击

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。

园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

在上述基础上，交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时，接口上的ARP miss不再处理，直接丢弃。

如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。

? 防MAC地址扫描攻击

以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。

交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华为园区交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。

2016-05-30

版权所有，侵权必究 第32页，共54页