SVF系统支持三种接入用户认证方式:MAC、802.1x和Portal,三种认证方式的特征和适用场景如表24-6所示。
表24-6 各种认证方式的特征和适用场景
认证方式 MAC 认证特征 适用场景 不需要安装特殊的客户端软件。 打印机、传真机等哑终端接入认用户每次登录网络不需要输入证的场景。 用户名、密码。 需要根据MAC配置用户,配置复杂。 需要安装特殊的客户端软件。 新建网络、用户集中、信息安全可以配置用户易记的用户名。 要求严格的场景。 用户每次登录网络需要输用户名、密码。 不需要安装特殊的客户端软件。 用户分散、用户流动性大的场可以配置用户容易记住的用户景。 名。 用户每次登录网络需要输用户名、密码。 802.1x Portal 同一个SVF系统内只支持配置一种认证组合。根据实际场景的需求,这种组合可以是MAC、802.1x、Portal中的一种或多种。 有线接入终端认证场景 有线接入终端认证方式
表24-7 有线接入终端认证场景建议的认证方式
场景分类 场景特点 典型终端 建议认证方式备注 组合 打印机等哑终端直接在Parent上配置静态用户。 所有接入终端的AS端口配置802.1x认证。 部门间用户隔离通过用户流量集中式转发+UCL控制。 园区办公 网络封闭,人笔记本电脑、802.1x 员固定,安全打印机 性要求高。 部分笔记本电脑可能会更换位置,如:从办公位置到会议室、从一个部门出差到另外一个部门的办公区。 存在少量哑终端,如:打印机。 网络封闭,终笔记本电脑 端位置密集。 有线终端位置相对固定,一般不限制本地用户互访。 Portal 教育院校 如果需要限制本地用户互访,则采用集中式转发;否则可采用分布式转发,带宽转发效率更高。
有线接入终端认证配置注意事项
建议不要配置MAC与802.1x/Portal的组合,因为认证方式组合后,会先尝试MAC认证,对于802.1x认证的终端并发接入性能会下降。 配置Portal认证时,不支持内置Portal服务器。 不支持DHCPv6、ND触发认证。
当在Parent上配置Free-rule时,Parent会将满足范围条件的Free-rule自动下发到所有AS上(支持下发到S5720EI的Free-rule的ID范围是0~127,支持下发到其他形态AS的Free-rule的ID范围是0~31)。下发到AS的Free-rule中不会携带接口信息。
SVF系统中,NAC认证用户认证成功前的网络访问权限支持通过Free-rule授权,不支持通过UCL组授权。
有线接入终端接入授权注意事项
SVF系统中,不支持对有线用户下发授权VLAN。 无线接入终端认证场景 无线接入终端认证方式
表24-8 无线接入终端认证场景建议的认证方式
场景分类 场景特点 典型终端 建议认证方式备注 组合 高并发漫游期间,非漫游用户不掉线,漫游用户无法保证。 非高并发漫游时,漫游用户不掉线。 采用隧道转发。 高并发漫游期间,非漫游用户不掉线,漫游用户无法保证。 采用隧道转发。 园区BYOD(Bring Your Own Device)办公 网络封闭,人笔记本电脑、802.1x 员固定,安全PAD、手机 性要求高。 特定时刻高并发漫游(上下班、午餐时间)。 教育院校 网络封闭,终笔记本电脑 端位置密集。 特定时刻高并发漫游(课间)。 MAC+Portal 或者 MAC+802.1x
无线接入终端认证配置注意事项
建议配置隧道转发。
24.3.3 安全配置
园区常见的攻击场景
安全相关的配置主要用于防护各种可能的攻击场景。在园区网络中,常见的攻击有:控制面攻击和转发面攻击,各攻击类型不是在所有园区场景都存在,攻击分类及影响如表24-9所示。
表24-9 攻击分类及对应场景
攻击大类 攻击小类 影响 控制面攻源MAC地址固定的Parent的CPU占用率高,部分用户流量中断。 击 ARP报文攻击 源IP地址固定的ARP报文攻击 ARP仿冒网关攻击 ARP欺骗网关攻击 ARP泛洪攻击 Parent上会出现大量网关冲突告警。 用户不能正常访问网络。 用户不能正常学习ARP甚至无法上网。 攻击大类 攻击小类 影响 仿冒DHCP服务器攻击 终端不认证时,用户无法正常获取到规划的地址。 DHCP泛洪攻击 用户无法获取到地址。 转发面攻源IP地址固定的ARP Parent的CPU占用率高,ARP无法正常学习。 击 Miss攻击 目的IP是设备地址的Parent的CPU占用率高,Ping网关出现丢包和不IP报文攻击 通的现象,Telnet很慢,严重情况下会导致BGP、LDP等协议单播IP报文无法及时处理,协议异常。 DDoS攻击 上行口拥塞,正常用户流量中断。 抑制攻击的方法和建议 由于SVF系统将AS明确定位为连接终端的设备,AS的端口直连终端,因此SVF系统缺省情况下已经部署了部分设备安全保障相关的措施,如在AS端口入方向或出方向上进行报文限速等。同时SVF还支持通过命令行对终端接入端口进行安全配置。 抑制各种攻击的方法和建议如表24-10所示。 表24-10 抑制攻击的方法和建议
攻攻击终端认证场景抑制手段 击小类 有线终端接入 无线终端接入 大类 控制面攻击 终端不认证场景抑制手段 有线终端接入 无线终端接入 源已支持自动抑制在AP上配置防攻在AS的端口上配在AP上配置防攻MACARP报文攻击。 击策略。 置ARP报文限速。 击策略。 地址固定的ARP报文攻击 源IP地址固定的ARP报文攻击 ARP在Parent上配置防网关冲突。 仿冒网关攻攻击终端认证场景抑制手段 击小类 有线终端接入 无线终端接入 大类 攻击 ARP配置转发模型为集中式转发。 欺骗网关攻击 ARP终端不认证场景抑制手段 有线终端接入 无线终端接入 当前AS出方向自动开启防ARP泛洪攻击,因此攻击只能影响到所在的AS。泛洪识别到攻击点后,在对应的终端接入端口配置入方向ARP限速。 攻击 仿冒无 DHCP服务器攻击 在AS上配置在AP上配置DHCP Snooping。 DHCP Snooping。 DHC当前AS出方向自动开启防DHCP泛洪攻击,因此攻击只能影响到所在的AS。P泛识别到攻击点后,在对应的终端接入端口配置入方向DHCP限速。 洪攻击 转发面攻击 源IP在Parent上配置ARP Miss限速,针对源IP进行限速。 地址固定的ARP Miss攻击 目的在Parent上配置黑名单。 IP是设备地址的IP报文攻击 DDo端口配置限速,配置广播流量抑制、组播流量抑制、未知单播流量抑制。 S攻击 24.4 SVF特性配置示例 使用注意事项